`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Rootkit: малоприятные итоги и неутешительные прогнозы

Статья опубликована в №8 (576) от 27 февраля

0 
 

Сомневаться в актуальности rootkit-угроз сегодня не приходится. Проблема это непростая и решить ее с каждым днем становится все сложнее. Вот почему мы вновь уделяем внимание данной теме, подводя некоторые итоги тех шести месяцев, которые истекли с момента нашего последнего материала (itc.ua/25721).

Опять Рутковская...

Rootkit малоприятные итоги и неутешительные прогнозы
Йоанна Рутковская - отличный специалист в области информационной безопасности и просто красивая женщина

В прошлой статье мы рассказывали о разработанной Йоанной Рутковской прототипной rootkit-программе Blue Pill, основанной на концепции виртуальных машин. В то же время исследовательница создала метод внедрения кода в ядро Windows Vista x64 в обход обязательной проверки сигнатур драйверов, предназначенной для защиты ОС от вредоносного ПО и средств, нейтрализующих DRM-механизмы. Ей удалось отыскать по-своему изящную лазейку в этой преграде. Так как в Windows Vista был разрешен непосредственный (raw) доступ к содержимому жесткого диска из приложений (разумеется, при обладании административными правами), то ничто не мешало с помощью некоторых уловок вызвать перемещение составляющих ядра из оперативной памяти в файл подкачки pagefile.sys, "залезть" в него, найти там секцию драйверов, заменить в одном из них определенную процедуру на rootkit и, наконец, инициировать его загрузку в оперативную память (более детальная информация доступна в презентации "Subverting Vista Kernel For Fun And Profit"). Вполне естественно, что Рутковская, как истинный эксперт, тогда обрисовала и несколько способов решения этой проблемы. Первый состоит в шифровании swap-файла. Второй заключается в запрещении подкачки элементов ядра (при этом жертвуется в худшем случае порядка 80 MB RAM, что, в общем-то, не играет особой роли при рекомендуемом для Windows Vista объеме памяти в 1 GB). И наконец, третий - блокирование непосредственного доступа к диску для ПО пользовательского уровня. Вместе с тем она пояснила, что последний (самый легкий способ) на самом деле не является приемлемым выходом из положения хотя бы из соображения о совместимости приложений. Ведь, скажем, программа управления разметкой дисков должна записывать данные на диск, находясь как раз в пользовательском режиме. Стало быть, разработчикам требуется создать в дополнение к данному ПО драйвер, посредством которого и будет совершаться запись, и его необходимо подписать (читай - приобрести сертификат). А когда он станет доступным, вероятному взломщику нужно будет лишь "одолжить" его и эксплуатировать на свой лад. Однако, как ни странно, в Microsoft отдали предпочтение именно этому половинчатому способу. Время покажет, оправдан ли такой выбор. Если нет, то, быть может, воспользуются каким-нибудь другим способом разрешения вопроса, но до этого момента большинство неискушенных пользователей новой ОС будут оставаться уязвимыми для данной угрозы. Опытные же могут сами о себе позаботиться, вручную отключив подкачку ядра (посредством редактирования реестра либо прибегнув к специальным средствам тонкой настройки параметров ОС - например утилите X-Setup Pro, которую можно получить по адресу (www.x-setup.net).

"Яблочный яд"

Rootkit малоприятные итоги и неутешительные прогнозы
Защититься от программ типа PCI-rootkit можно, переведя устройство в режим "только чтение". Жаль, что в новых картах такие переключатели встречаются все реже

В Blue Pill Рутковской применяется технология аппаратной виртуализации AMD SVM (сегодня более известная как AMD-V) и написан данный концептуальный VMBR (virtual machine-based rootkit) для Windows Vista x64. Исследовательница отмечала, что перенести эту программу на другие платформы, также как и реализовать подобную с нуля, знающему свое дело специалисту не составит особого труда. Действительно, так и произошло - в октябре прошлого года Дино Дай Зови (Dino Dai Zovi), участник группы Matasano Security (www.matasano.com), специализирующейся на решениях, связанных с безопасностью ПО, представил общественности VMBR Vitriol, в основе которого лежит расширение команд Intel VT-x. И ориентирован он уже не на Windows Vista, а на Mac OS X. Действует данный rootkit во многом подобно Blue Pill: переносит запущенную ОС в аппаратно-поддерживаемую виртуальную машину и устанавливается в виде гипервизора. В результате rootkit становится практически необнаруживаемым и может свободно проворачивать свои "темные дела". Благо что как и в случае с разработкой Рутковской, Vitriol и его исходные тексты публично недоступны.

PCI-rootkit: еще одна проблема

Rootkit малоприятные итоги и неутешительные прогнозы
Созданный российской командой программистов Rootkit Unhooker реализует востребованную в недалеком будущем функцию обнаружения VMBR-инструментов

Джон Хисман, который ранее заявил о принципиальной возможности создания rootkit, размещенного в постоянной памяти BIOS, в середине ноября 2006 г. опубликовал документ, где привел информацию о реализации и обнаружении программ, "обитающих" в памяти PCI-карт (в данном случае под собирательным термином PCI подразумеваются собственно PCI, AGP и PCI-E). Обычно в ППЗУ хранятся дополнительный код, используемый при инициализации карт, команды самопроверки и перехвата прерываний. Для него сейчас преимущественно применяются микросхемы типа EEPROM - их особенностью является перепрограммирование прямо из ОС, не извлекая чипа из карты. Поэтому для внедрения вредоносного ПО кибер-злоумышленнику достаточно получить права администратора и воспользоваться каким-либо инструментом, подходящим для перезаписи данного устройства. После включения компьютера программа будeт запущена, и для выполнения различных действий (к примеру - кражи конфиденциальной информации) ей необходимо лишь дождаться загрузки ОС. Дальше, как говорится, дело техники...

Но как бороться с этой угрозой? Во-первых, поскольку злонамеренный код после загрузки операционной системы подвергает изменениям ядро, следует выяснить, какие действия он совершил (где находятся перехватчики вызовов и какие структуры были модифицированы). А эти операции можно проводить различными доступными анти-rootkit-инструментами. Во-вторых, запуск PCI-rootkit можно предотвратить с помощью микроконтроллера Trusted Platform Module (TPM). Одной из функций TPM является организация защиты процедуры начальной загрузки компьютера - он осуществляет проверку целостности BIOS, а содержимое памяти присутствующих в системе устройств сопоставляется с заведомо корректными данными. Следовательно, TPM попросту не допустит исполнения PCI-rootkit. Не может не радовать то обстоятельство, что этот модуль сейчас находит широкое применение. Так, к примеру, в вычислительных средствах сухопутных войск США (U.S. Army) TPM - обязательный компонент. Кроме того, данный модуль применяется в компьютерах Apple, в частности, для проверки, запускается ли интерпретатор PowerPC-Intel на аутентичном оборудовании компании.

Анти-rootkit: Wintel и не только

Rootkit малоприятные итоги и неутешительные прогнозы
Известное анти-rootkit-средство теперь доступно и в Mac OS X

К счастью, события происходят не только в стане врага, если так можно выразиться, но и защитников. Сегмент анти-rootkit-средств развивается быстрыми темпами. Отрадно, что помимо инструментов от независимых авторов, появляются профессионально написанные программы - "пристреливаются" разработчики защитного ПО, среди которых BitDefender, McAfee, Trend Micro, Avira и Panda Software. Конечно, и в тех, и в других все чаще реализуется схожая функциональность; различия в них, в основном, касаются интерфейса. И тем не менее, все еще попадаются решения, возможности которых уникальны. Одним из них, по нашему мнению, является Rootkit Unhooker (RkU), созданное российской группой программистов UG North в среде Borland Delphi 5 (на момент написания статьи актуальной была версия 3.20). RkU распространяется в виде инсталляционного файла, отдельно доступны локализации: русская, португальская, испанская, французская и две китайские. При запуске программа проверяет собственную целостность, чтобы убедиться, не находится ли она сама под властью rootkit. Инструмент позволяет детектировать перехваты обращений к системной таблице дескрипторов (SSDT), скрытые процессы, драйверы и файлы. Доступ к каждой из этих функций осуществляется через вкладки в окне программы, и при выборе ее содержимое автоматически обновляется (кроме вкладки с файлами - здесь требуется вызывать сканирование при помощи соответствующей кнопки). Присутствует также вкладка "Отчет", которая интегрирует расширенную информацию по всем категориям. При обнаружении скрытого процесса его можно снять, используя стандартный API, закрыть, вычистив всю его виртуальную память, физически удалить его файл с диска, а также их комбинации. Однако едва ли не самой интересной функцией RkU считается детектор виртуальных машин (ВМ), для выяснения, не запущена ли ОС в виде ВМ, она использует расчеты о затратах процессорного времени при выполнении низкоуровневых команд. В виртуализированной среде они должны совершаться дольше, чем в обычной. Но нет гарантии, что это сработает, так как показания счетчиков можно "подкорректировать".

Rootkit малоприятные итоги и неутешительные прогнозы
О серьезности rootkit-угрозы можно судить по появлению... книги из серии "Для чайников"

Мы никогда не касались средств борьбы с rootkit для UNIX-подобных систем. Причина, очевидно, кроется в том, что данные ОС сравнительно мало распространены в качестве настольных систем и, как результат, угроз им создается меньше (невзирая на то, что rootkit пришли именно из этого мира). И тем не менее, инструменты противодействия технологиям сокрытия информации здесь имеются. Наиболее известными являются две программы-детекторы: chkrootkit и Rootkit Hunter. Обе предназначены для работы в консольном режиме и поддерживают почти все современные ОС UNIX/Linux. Функционируют они также во многом подобно - проводят ряд тестов, проверяя загружаемые модули ядра (LKM) и подвергаемые частым посягательствам вредоносного ПО данные, ведут поиск скрытых файлов и некорректных прав доступа бинарных.

К сожалению, кибер-злоумышленники начинают обращать внимание и на ОС Mac OS X, долгое время остававшуюся неприкосновенной. Для противодействия rootkit-средствам для этой среды недавно одним энтузиастом была создана специальная упрощенная в использовании версия Rootkit Hunter (www.christian-hornung.de/tools.html). Программа еще не была протестирована на платформе x86.

Безрадостная будущность

Rootkit малоприятные итоги и неутешительные прогнозы
В конце января нынешнего года концерн Sony BMG наконец-то урегулировал претензию Федеральной торговой комиссии о скрытном внедрении средств управления цифровыми правами в музыкальные компакт-диски. По соглашению компания обязуется произвести замену купленных до 31 декабря 2006 г. дисков, содержащих rootkit-подобные механизмы, и возместить ущерб в размере 150 долл., нанесенный каждому компьютеру потребителя в результате попыток деинсталляции ПО

Итак, с событиями не так давно минувших дней мы ознакомились. Давайте теперь разберемся, чего можно ожидать в перспективе. Для этого мы прибегнем к опубликованному 25 января 2007 г. прогнозу об угрозах информационной безопасности на этот год, составленный группой исследователей из компании CA (www.ca.com/ca_2007_internet_threat_outlook/). В нем говорится, что создатели вредоносного ПО будут все чаще комбинировать средства вроде "троянских коней" и "червей" с механизмами сокрытия информации. Уровень их профессионализма будет неуклонно расти, и для проникновения в компьютеры они будут постепенно отходить от малоэффективной практики спам-рассылок вредоносного ПО, отдавая предпочтение применению zero-day-уязвимостей популярных приложений, преимущественно Web-браузеров (itc.ua/26845). Относительно rootkit-программ эксперты прогнозируют быстрый рост количества и качества технологий ядерного типа, невзирая на появление разного рода охранных решений, таких, например, как PatchGuard, реализованной в 64-битовых версиях Windows Vista. В общем, о cпокойной жизни говорить пока рано, хотя отчасти утешает то, что разработчики средств обеспечения безопасности пристально следят за ситуацией - ведь, как говорится, предупрежден - значит вооружен.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT