2008-01-09

鬼鬼祟祟的 MBR rootkit

Stealth MBR rootkit
http://www2.gmer.net/mbr/

Jan 2th, 2008

2005 年,來自於 eEye Digital Security 的研究者,Derek Soeder 與 Ryan Permeh 演示 eEye BootRoot(http://research.eeye.com/html/tools/RT20060801-7.html)。用在他們計畫當中的技術不是新的,而且在 DOS 時代就已經很風行,不過他們首度成功地在 Windows NT 環境中利用它。eEye Digital Security 的研究員略過了某部份 -- BootRoot 如同舊時 DOS Stealth MBR (http://en.wikipedia.org/wiki/Stealth_virus_(computers))病毒,並不會隱藏受感染磁區(sectors)的真實內容,它不過是被創造來展現傷害 Windows NT OS 的可能方式。

不幸的是,所有的 Windows NT 家族(包括 VISTA)仍具有相同的瑕疵 -- MBR 能在 usermode 下遭到篡改。然而,微軟在 pagefile attack(http://theinvisiblethings.blogspot.com/2006_10_01_archive.html)之後,在 VISTA 上利用 userland code 封鎖對於磁碟磁區的寫入存取,然而,磁碟的第一個磁區(譯註:MBR 所在之處,包含 Boot Partition Loader與分割表等重要資訊)依然未受保護!


無法無天的 Rootkit

在 2007 年末,stealth MBR rootkit 由 MR Team 的成員(感謝 Tammy & MJ)發現。若 MBR 依然未受保護,看來以這種方式感染 NT 系統在不久的將來會更加猖獗。

MBR rootkit 的「優勢」:

  • 完全控制機器開機過程 -- 程式碼在 OS 開始之前就載入。
  • rootkit 無須以檔案方式存在 -- 程式碼可存在於某磁區上,而且無法把它當成一般檔案刪除。
  • rootkit 無須任何登錄項目,因為它由 MBR code 載入。
  • 能夠隱匿自己,rootkit 只需要控制磁碟的少數磁區。

※ 相關報導:

FEST 贏家的研究可能革新電腦設計
新款防護晶片問世 駭客沒輒

PCI 卡,下一個 rootkits 天堂?
台灣販售的全新硬碟 暗藏木馬病毒
多核心 CPU 之攻擊
從刷卡安全有漏洞 到肺結核個資外洩
駭客攻入美國國家實驗室

沒有留言: