Podstępny problem bezpieczeństwa, zignorowany przez złych facetów

Frank Boldewin widział w swoim czasie wiele złośliwych programów, ale nigdy nie było takich jak Rustock.C.

Używany do infekowania komputerów z systemem Windows i przekształcania ich w nieświadome serwery spamu, Rustock.C jest rootkitem instaluje się w systemie operacyjnym Windows, a następnie wykorzystuje różnorodne zaawansowane techniki, które niemal uniemożliwiają wykrycie lub nawet analizę.

Kiedy po raz pierwszy zaczął przeglądać kod na początku tego roku, spowodowałoby to awarię komputera. Było szyfrowanie na poziomie kierowcy, które musiało zostać odszyfrowane, i było napisane w języku asemblerowym, używając "struktury kodu spaghetti", co bardzo utrudniało Boldewinowi zorientowanie się, co właściwie robi oprogramowanie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Analiza rootkita to zwykle praca dla kogoś, kto ma techniczne umiejętności Boldewina. Z Rustock.C, jednak zajęło mu kilka dni, aby dowiedzieć się, jak działa oprogramowanie.

Ponieważ jest to bardzo trudne do wykrycia, Boldewin, badacz bezpieczeństwa z niemieckim dostawcą usług informatycznych GAD, uważa, że ​​Rustock.C był w pobliżu przez prawie rok, zanim produkty antywirusowe zaczęły go wykrywać.

To jest historia z rootkitami. Są podstępne. Ale czy są one poważnym zagrożeniem?

Pod koniec 2005 roku Mark Russinovich odkrył najbardziej znany rootkit. Ekspert bezpieczeństwa Windows, Russinovich był zdziwiony pewnego dnia, kiedy odkrył rootkita na swoim komputerze. Po pewnym utajnieniu odkrył, że oprogramowanie zabezpieczające przed kopiowaniem używane przez Sony BMG Music Entertainment w rzeczywistości używało technik rootkitów do ukrywania się na komputerach. Oprogramowanie Sony nie zostało zaprojektowane do czynienia z niczego złośliwego, ale było praktycznie niewykrywalne i niezwykle trudne do usunięcia.

Rootkit firmy Sony stał się poważną katastrofą PR dla firmy, która wydała miliony na legalne rozliczenia z użytkownikami, na których oprogramowanie miało wpływ..

Trzy lata później Russinovich, pracownik techniczny Microsoftu, nadal uważa to za rootkit, który spowodował najwięcej problemów dla użytkowników komputerów.

Ale rootkit Sony zapowiadał problemy również dla producentów oprogramowania antywirusowego. Fakt, że żaden z nich nawet nie zauważył tego oprogramowania przez około rok, był poważnym podbitym okiem dla branży bezpieczeństwa.

Choć mieli oni początek w maszynach Unix wiele lat wcześniej, w czasie fiaska Sony, rootkity zostały uznane następne duże zagrożenie dla dostawców oprogramowania antywirusowego. Naukowcy zajmujący się bezpieczeństwem badali wykorzystanie technologii wirtualizacji do ukrywania rootkitów i zastanawiali się, czy pewnego dnia uda się stworzyć całkowicie niewykrywalny rootkit.

Ale Russinovich mówi teraz, że rootkity nie spełniły swojego hype. "Nie są tak rozpowszechnione, jak wszyscy się tego spodziewali", powiedział w wywiadzie.

"Szkodliwe oprogramowanie działa dziś bardzo odmiennie od tego, kiedy szaleje rootkit" - powiedział. "Wtedy … złośliwe oprogramowanie rzuciłoby wyskakujące okienka na twój pulpit i przejąłoby twoją przeglądarkę. Dzisiaj widzimy zupełnie inny rodzaj złośliwego oprogramowania."

Dzisiejsze złośliwe oprogramowanie działa cicho w tle, wysyłając spam lub hosting jego paskudnych stron internetowych bez ofiara kiedykolwiek zauważyła, co się dzieje. Jak na ironię, pomimo tego, że są one stworzone do unikania wykrycia, najbardziej wyrafinowane rootkity na poziomie jądra są często tak niewiarygodnie inwazyjne, że zwracają na siebie uwagę, mówią eksperci bezpieczeństwa.

"Bardzo trudno jest napisać kod dla jądra, który nie rozbić komputer "- powiedział Alfred Huger, wiceprezes zespołu ds. bezpieczeństwa w firmie Symantec. "Twoje oprogramowanie może łatwo wejść na kogoś innego".

Huger zgadza się, że rootkity wciąż stanowią problem dla użytkowników systemu Unix, ale nie są rozpowszechnione na komputerach z systemem Windows.

Rootkity stanowią znacznie mniej niż 1 procent wszystkich próbę infekcji, którą Symantec śledzi obecnie. Jeśli chodzi o Rustock.C, pomimo całej swojej technicznej wyrafinowania, Symantec zauważył to zaledwie w środowisku około 300 razy.

"W całym spektrum szkodliwego oprogramowania jest to bardzo mały fragment, który ma dziś ograniczone ryzyko" - powiedział Huger.

Nie wszyscy jednak zgadzają się z ustaleniami firmy Symantec. Thierry Zoller, dyrektor ds. Bezpieczeństwa produktów w n.runs, mówi, że Rustock.C był szeroko rozprowadzany przez notoryczną Russian Business Network i że infekcje są najprawdopodobniej w dziesiątkach tysięcy.

"Rootkity były wykorzystywane do utrzymywania dostępu do skompromitował cel tak długo, jak to możliwe, i nigdy nie miał na celu jego szerokiego rozpowszechnienia "- powiedział w wywiadzie przeprowadzonym za pośrednictwem wiadomości błyskawicznej.

W końcu przestępcy mogą uniknąć rootkitów z bardzo prostego powodu: po prostu nie Potrzebuję ich.

Zamiast używać podstępnych technik rootkitów, hakerzy opracowali nowe techniki, które utrudniają producentom oprogramowania antywirusowego odróżnianie oprogramowania od legalnych programów. Na przykład tworzą tysiące różnych wersji jednego szkodliwego programu, za każdym razem przekręcając kod, aby produkty antywirusowe miały problemy z jego wykryciem.

Na przykład w drugiej połowie 2007 roku firma Symantec wyśledziła prawie pół miliona nowe typy szkodliwego kodu, o 136 procent więcej niż w pierwszej połowie roku. Eksperci od bezpieczeństwa twierdzą, że ta sytuacja jest jeszcze gorsza w 2008 roku.

"To, co napotykamy, nie jest tak skomplikowane," powiedział Greg Hoglund, dyrektor generalny HBGary, firmy sprzedającej oprogramowanie, które pomaga klientom reagować na włamania komputerowe. "Większość szkodliwego oprogramowania, które obecnie tam jest … nawet nie próbuje się ukryć".

Na przykład jeden z klientów HB Gary został niedawno trafiony przez ukierunkowany atak. Źli faceci wiedzieli dokładnie, czego chcieli, i po włamaniu się do sieci przesiali informacje, zanim zespół reagowania na incydenty firmy zdążyli się tam dostać, powiedział Hoglund. "Było oczywiste, że atakujący wiedzieli, że tak szybko znikną z danych, że nawet nie musieli się ukrywać."