Rootkit: новые угрозы и средства борьбы с ними

С момента выхода нашего последнего материала, касающегося темы rootkit, минуло чуть более девяти месяцев. За это время в данной области произошло несколько довольно важных событий. Поэтому сегодня мы попробуем, если так можно выразиться, наверстать упущенное хотя бы частично, и рассказать вкратце о главных из них. Завершит статью обзор современных средств борьбы с rootkit.

Немного эпидемиологии

По информации, представленной в апреле фирмой McAfee, за последние три года количество созданного на базе rootkit-технологий ПО увеличилось в 7 раз, при этом его сложность возросла более чем в 4 раза. Эксперты из антивирусного дивизиона Microsoft отмечают, что 20% всего вредоносного ПО, удаляемого из операционной системы Windows XP SP2, приходится именно на долю rootkit. А главным источником распространения эпидемии выступает... Open Source среда – сказываются доступность исходных текстов, готовых модулей и инструментальных средств, наличие многочисленных специализированных сайтов совместной разработки и тематических блогов. К примеру, на самом популярном ресурсе трудится более 42 тыс. человек (впрочем, как над технологиями сокрытия данных, так и над средствами противодействия им).

Опять Руссинович...

После разыгравшегося в конце прошлого года скандала вокруг концерна Sony BMG, в начале текущего тень упала на две другие известные компании, как ни парадоксально, поставщиков программных средств защиты – корпорацию Symantec и ЗАО «Лаборатория Касперского». Главной действующей фигурой инцидента выступил все тот же неугомонный Марк Руссинович (Mark Russinovich).

Итак, первой была Symantec. В ее продукте Norton SystemWorks, с целью предотвращения случайных удалений файлов, еще с 90-х годов использовалась функция Protected Recycle Bin. В стандартном Windows-каталоге «Корзина» она создает подкаталог NProtect, который с помощью специального драйвера-фильтра маскируется от функций Windows API. Однако доступ к нему оказывается открытым. Естественно, подобным механизмом сокрытия посторонних файлов могут воспользоваться и взломщики. В ответ на претензию Руссиновича Symantec немедленно выпустила обновление, обеспечивающее видимость NProtect на системном уровне.

IceSword обнаружил скрытый сервис Vanquish rootkit

Похожая ситуация произошла и с «Антивирусом Касперского». Дело в том, что еще в пятой версии этого продукта использовалась технология под названием iStreams, основанная на альтернативных потоках данных NTFS, в которых сохраняются контрольные суммы файлов. Если они остаются неизменными, повторное сканирование не требуется, что существенно ускоряет завершение операции. Хотя воспользоваться этими данными злоумышленник практически не может, факт остается фактом: они скрыты и пользователь не знает, что происходит в его системе. После публикации Руссиновича представители «Лаборатории Касперского» признали свой промах и в новой версии KAV вместо iStreams применили ее модификацию под названием iSwift без альтернативных потоков.

Но корректно ли в обоих случаях говорить именно о rootkit? Все зависит от точки зрения. Руссинович вместе с авторами книги «Rootkits: Subverting the Windows Kernel» Грегом Хогландом (Greg Hoglund) и Джеймсом Батлером (James Butler) используют схожие определения. При этом в них, по сути, ничего не говорится о целях собственно сокрытия данных. С другой стороны как в Symantec, так и в «Лаборатории Касперского» предпочитают толковать rootkit сугубо в контексте вредительских намерений и, следовательно, отказываются относить свои разработки к их ряду. Поэтому они выступают за создание реального определения, не допускающего разночтений, от которых могут пострадать «доброкачественные» технологии из их продуктов. Однако такое предложение встречает сопротивление со стороны экспертов в области безопасности, считающих, что строгое определение может узаконить применение rootkit-подобных программ, а каждая из них представляет потенциальную опасность. Так или иначе, но дискуссия не сдвинулась с мертвой точки...

BIOS-rootkit: не угроза, но предупреждение

О возможности появления и распространения нового вида rootkit-программ в середине января заявил главный консультант по безопасности британской компании Next-Generation Security Software Джон Хисман (John Heasman). Произошло это на вашингтонской конференции Black Hat Federal. Хисман утверждает, что реализация rootkit, размещенного (и, как результат, спрятанного) во флэш-памяти базовой системы ввода/вывода (BIOS) вполне осуществима. Для этого необходимо освоить высокоуровневый язык программирования ASL (ACPI Source Language), затем написать на нем rootkit-программу, скомпилировать ее в AML (ACPI Machine Language) и записать во флэш-память BIOS. «Благо», инструментальные средства разработки на языке ASL широко доступны. Исследователь сообщил о тестировании им базовых функций, таких, как получение прав доступа и чтение содержимого физической памяти.

Лишь несколько потайных ключей реестра – еще не повод для беспокойства

Такого рода rootkit не страшны ни форматирование жесткого диска, ни переустановка ОС – их предельно трудно выявить, а ликвидировать можно только путем перезаписи флэш-памяти корректным кодом. Утешает лишь то, что для создания и распространения BIOS-rootkit существует немало преград. Так, достаточно запретить перепрошивку BIOS с помощь соответствующих настроек или перемычки на материнской плате (не исключено, что в будущем BIOS сама будет проверять свою контрольную сумму и т. д.). Очевидно также, что во флэш-памяти BIOS проблематично скрыто разместить полновесную rootkit-программу, там, по всей видимости, могут поместиться лишь какие-то специфические функции.

VMBR: не так страшен черт, как его рисуют

В середине марта сотрудники Microsoft Research и Мичиганского университета объявили о совместном создании SubVirt – концептуального, принципиально нового rootkit, фактически не поддающегося обнаружению. SubVirt основывается на концепции виртуальных машин (virtual machine based rootkit, VMBR), а главная идея состоит в том, чтобы вынести вредоносный код за пределы ОС и воспрепятствовать его обнаружению традиционными средствами.

F-Secure BlackLight без проблем обнаружил процесс malware.exe, скрытый при помощи FU rootkit, – остается только переименовать соответствующий файл и удалить его после перезагрузки системы

Сначала SubVirt через известные дыры в современных ОС проникает в компьютер «жертвы». Далее создается дополнительный программный слой – монитор виртуальных машин (virtual machine monitor, VMM) – между ОС и аппаратурой. Затем при каждой загрузке ПК управление переходит именно к VMM, загружающему для видимости пользовательскую ОС, а вместе с ней – другую, в среде которой и выполняется вредоносное ПО, получающее таким образом полный доступ к оборудованию. Очевидно, что в подобной архитектуре выявить клавиатурных шпионов, троянских коней и пр. с помощью привычных антивирусов и брандмауэров станет практически невозможно.

Пока же SubVirt грозен в теории, а на практике с ним нетрудно справиться. Поскольку он вносит определенные изменения на жесткий диск, его можно обнаружить в автономном режиме, загрузившись с какого-то съемного носителя. Кроме того, известные на сегодня VMM оперируют виртуальными устройствами, которые отличаются от базового оборудования, а смена драйверов явно привлечет внимание. К тому же архитектура x86 не позволяет достичь высокого уровня виртуализации, из-за существующих чувствительных, привилегированных команд наподобие SIDT/SGDT/SLDT. Благодаря этому виртуальный режим легко «засекается» с помощью специальных средств, таких, например, как Red Pill.

Однако, 3 августа на Black Hat Briefings в Лас-Вегасе была представлена другая концептуальная разработка VMBR-класса – Blue Pill. Проект создания совершенно не поддающегося обнаружению rootkit занял у польской исследовательницы Йоанны Рутковской (Joanna Rutkowska), сотрудницы COSEINC Research, всего несколько месяцев. По ее словам, стоящая за Blue Pill идея несложна: ОС принимает «синюю таблетку» (Blue Pill) и оказывается в своеобразной «Матрице» под полным контролем ультратонкого гипервизора. Рутковская отмечает, что Blue Pill написан специально для Windows Vista x64, но без использования каких-либо дефектов данной ОС, и потому перенос на 64-битовые Linux или *BSD не составит особого труда. В основу также положена технология аппаратной виртуализации AMD SVM (Security Virtual Machine), но в отличие от SubVirt, Blue Pill – временный, устанавливаемый «на лету» rootkit, «обитающий» в физической памяти компьютера. В этом свои плюсы и минусы. Например, такая схема неплохо подходит для инфицирования серверов, которые редко перезагружаются, но вряд ли годится для десктопов. Однако в COSEINC Research исследуется возможность эмуляции завершения работы и перезагрузки ОС. Применение аппаратной виртуализации также препятствует детектированию посредством Red Pill.

Спрятанные от 2xExplorer файлы и каталог Vanquish rootkit выявлены программой GMER

Согласно Рутковской, обнаружение Blue Pill может произойти лишь в том случае, если его «выдаст» ошибка, закравшаяся в реализацию самой технологии SVM. Но есть и другой способ, хотя и довольно трудный, – необходимо тщательно следить за симптомами вероятного заражения, такими, как нетипичная занятость системных ресурсов и снижение производительности. Увы, вылечить систему скорее всего удастся только посредством форматирования жесткого диска.

К счастью, широкое распространение Blue Pill вряд ли получит. Во-первых, его код не станет достоянием общественности, поскольку COSEINC собирается использовать Blue Pill лишь в своих специальных тренингах по передовым технологиям. Во-вторых, в Microsoft намерены до выпуска финальной версии Windows Vista внести в систему определенные изменения, делающие невозможным применение подобных VMBR. Наконец, в-третьих, по мнению экспертов в области безопасности, создание VMBR-программ – процедура хотя и осуществимая, но крайне трудоемкая. По сложности эта работа сопоставима с созданием ОС, поэтому вряд ли окажется по зубам большинству кибер-злоумышленников.

Анти-rootkit

Впрочем, продолжают развиваться и средства борьбы с rootkit-угрозами. В свое время мы познакомили читателей лишь с несколькими из них, но с тех пор появились десятки новых. Перед тем, как начать обзор, отметим, что любые подобные программы рекомендуется запускать с внешних накопителей, дабы воспрепятствовать их обману вредоносным ПО.

AVG Anti-Rootkit, как и большинству других современных средств борьбы с rootkit, по плечу знаменитый HxDef

Начнем, пожалуй, с китайской разработки IceSword. Не так давно она получила англоязычный интерфейс, но вся документация пока доступна только на китайском. На момент написания статьи последней версией программы был релиз 1.18, не требующий инсталляции – достаточно распаковать архив. IceSword – это развитый диспетчер задач, способный показывать скрытые процессы и сервисы, открытые/прослушиваемые порты, драйверы, записи системной таблицы дескрипторов (SSDT), перехваченные системные сообщения, ключи реестра и файлы. Программа может останавливать rootkit (сервис, процесс) и удалять соответствующие ему записи реестра. IceSword одним из первых научился обнаруживать известный Hacker Defender (HxDef).

Довольно прилично функционирует польский анти-rootkit под названием GMER. Текущая версия GMER – 1.0.10, первая с англоязычным интерфейсом. Установка также не требуется, интерфейс простой и понятный. Она позволяет обнаруживать скрытые файлы, ключи реестра, процессы, сервисы, драйверы, перехватывающие обращения к SSDT, таблицы диспетчеризации прерываний (IDT) и пакеты запросов ввода/вывода. Документация по программе отсутствует, зато на ее сайте можно найти неплохие демонстрационные видеоролики.

Helios, по утверждению специалистов из MIEL Labs, является передовой системой обнаружения вредоносного ПО. Она создана на основе .NET и для своей работы требует наличия на компьютере соответствующей среды исполнения. Текущая версия 1.1a в установке не нуждается. Helios находит и удаляет современные rootkit-программы (при этом даже возможно восстановление инфицированных приложений), а также «иммунизирует» ПО за счет проверки целостности, блокирования физической памяти, ограничения загрузки драйверов, тщательного контроля за доступом к файловой системе. Другая ее важная особенность – работа в фоновом режиме с уведомлением пользователя об аномалиях в реальном времени. К сожалению, компания серьезно обеспокоена патентной защитой своего ПО, поэтому предоставляет для загрузки только так называемый открытый релиз (public release), не включающий некоторые уникальные технологии. Продукт отлично документирован, к тому же на ее сайте выложены демонстрационные видеоролики.

Не скрываемый драйвер FU rootkit, msdirectx.sys, без труда распознан «Антивирусом Касперского»

Совсем недавно увидела свет первая версия еще одного анти-rootkit-инструмента, Sophos AntiRootkit. В пакет (выполненный в виде инсталлятора) входят два варианта программы: с графическим интерфейсом (sargui.exe) и консольный (sarcli.exe). Для выявления присутствия rootkit Sophos AntiRootkit сканирует исполняемые процессы, реестр и разделы жесткого диска. Версия для командной строки наделена способностью работать в локальных сетях. После обнаружения известных rootkit создается список подлежащих уничтожению файлов, не влияющих на целостность ОС. Программа также позволяет удалять неопознанные скрытые файлы, но запрещает перемещение потайных важных системных модулей. С документацией у Sophos AntiRootkit все в порядке, программа в деталях описана в статьях и заметках, доступных на странице проекта, а также во входящих в дистрибутив сопутствующих материалах.

Отличным rootkit-детектором для начинающих пользователей является F-Secure BlackLight Rootkit Eliminator. Программа пока находится на стадии бета-тестирования и подобно Sophos AntiRootkit представлена в двух вариантах – каждый из них распространяется отдельно и не требует установки. Однако, позволяя находить скрытые процессы, файлы и каталоги, BlackLight не имеет функций удаления или остановки процессов. С ее помощью можно лишь обнаружить признаки присутствия rootkit и переименовать скрытые им файлы – после перезагрузки системы они станут видимыми и их можно удалить самостоятельно.

Неплохое впечатление производит вышедшая буквально на днях первая бета-версия AVG Anti-Rootkit от компании GRISOFT – для ее получения необходима регистрация. Программа имеет предельно простой интерфейс и предназначена для нахождения и удаления скрытых объектов файловой системы, заявлена также возможность обнаружения rootkit, использующих NTFS ADS. Документация, увы, пока напрочь отсутствует.

Завершить этот краткий обзор средств борьбы с rootkit-угрозами хочется довольно многообещающей концептуальной разработкой под названием RAIDE (Rootkit Analysis IDentification Elimination), бета-версия которой была представлена в марте на амстердамской конференции Black Hat Europe Питером Сильберманом (Peter Silberman) и уже упоминавшимся Джеймсом Батлером. Целью проекта является создание универсального средства борьбы с rootkit, а основным методом – так называемая «перекомпоновка», делающая видимыми все скрытые объекты. К примеру, известная rootkit-программа FU прячет свои процессы с помощью DKOM (Direct Kernel Object Manipulation), т. е. путем модификации кода ядра, отвечающего за учет использования системных ресурсов и аудит. RAIDE же выполняет обратные действия, после чего любое антивирусное ПО свободно вычислит и удалит соответствующие файлы. Заинтересовавшиеся могут подробнее прочесть об этом решении в исследовательской статье Сильбермана, а также в соответствующей презентации с Black Hat Europe.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365