Prawie schowany rootkit

Ostatnio w ramach zabijania długich wieczorów postanowiłem przyjrzeć się jakiemuś malware. Tym razem wybór padł na coś z rodziny Trojan:Win32/Alureon. Jest to (przynajmniej częściowo) rootkit , który dla przedłużenia swojej bytności w systemie, ukrywa się. Jeśli zrobi to dobrze, nie będzie widać podejrzanych procesów, plików, kluczy w rejestrze, tak więc ofiara może nie zauważyć gościa w systemie.

Sprawdzając system po infekcji w sposób wcześniej opisywany rzeczywiście nie znalazłem nowych (podejrzanych) plików. Okazało się natomiast, że w rejestrze jednak coś zostało. Pojawił się klucz HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACYTDSSSERV.SYS\0000_ , a w nim pojawiły się wpisy: Service: TDSSserv.sys Legacy: 1 ConfigFlags: 0 Class: LegacyDriver ClassGUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} DeviceDesc: TDSSserv.sys Pliku TDSSserv.sys oczywiście nie ma co szukać (zarówno po całej nazwie, jak i po fragmentach, poza tym akurat ten klucz nie koniecznie zawiera nazwę pliku), gdyż się maskuje. W takim wypadku można wygenerować listę plików bez korzystania z API systemu operacyjnego. Tutaj pomocny może być Sleuthkit, a konkretnie ils. Po przerobieniu wyników na format CSV, w okolicach czasowych, gdy wspomniany klucz został utworzony, można odnaleźć utworzone/zmodyfikowane pliki o nazwach:

Wszystkie one zaczynają się od TDSS , szukając więc tej frazy, znajduje się jeszcze coś w rezultacie handle:

244: File (R—) C:\WINDOWS\system32\TDSSoiqh.dll 318: File (—–) \Device\NamedPipe\TDSScmd 31C: File (R—) C:\WINDOWS\system32\drivers\TDSSpqxt.sys

Całkiem spory punkt zaczepienia do dalszej ewentualnej analizy.

Oryginał tego wpisu dostępny jest pod adresem Prawie schowany rootkit

Autor: Paweł Goleń