Проблема скрытой безопасности, игнорируемая плохими парнями

Фрэнк Болдевин видел в свое время много вредоносного программного обеспечения, но никогда ничего подобного Rustock.C.

Используется для заражения ПК с Windows и превращения их в невольные спам-серверы, Rustock.C - руткит который устанавливает себя в операционной системе Windows, а затем использует множество сложных методов, которые делают почти невозможным обнаружение или даже анализ.

Когда он впервые начал смотреть код в начале этого года, это просто вызвало бы сбой его компьютера, Было шифрование на уровне драйвера, которое нужно было расшифровать, и оно было написано на языке ассемблера, используя «структуру кода спагетти», из-за которой Boldewin чрезвычайно затруднялся выяснить, что на самом деле делает программное обеспечение.

[далее] Как удалить вредоносное ПО с вашего ПК с Windows]

Анализ руткита - это, как правило, вечерняя работа для кого-то с техническими навыками Boldewin. Однако с Rustock.C ему потребовалось несколько дней, чтобы выяснить, как работает программное обеспечение.

Поскольку это так сложно обнаружить, Болдевин, исследователь безопасности с немецким поставщиком IT-услуг GAD, считает, что Rustock.C был вокруг почти год назад, прежде чем антивирусные продукты начали его обнаруживать.

Это история с руткитами. Они подлые. Но являются ли они серьезной угрозой?

В конце 2005 года Марк Руссинович обнаружил самый известный руткит. Эксперт по безопасности окон, Русинович был сбит с толку однажды, когда обнаружил руткит на своем ПК. После некоторого слежки он в конце концов обнаружил, что программное обеспечение для защиты от копирования, используемое Sony BMG Music Entertainment, фактически использовало методы руткитов, чтобы спрятаться на компьютерах. Программное обеспечение Sony не предназначалось для каких-либо вредоносных действий, но было практически невозможно обнаружить и было чрезвычайно сложно удалить.

Руткит Sony стал крупной пиар-катастрофой для компании, которая потратила миллионы на юридические расчеты с пользователями, которые пострадали от программного обеспечения.

Три года спустя Русинович, технический сотрудник Microsoft, по-прежнему считает, что руткит вызвал наибольшую проблему для пользователей компьютеров.

Но руткит Sony также поставил перед собой проблемы и для антивирусных вендоров. Тот факт, что ни один из них даже не заметил этого программного обеспечения примерно на год, был серьезным черным глазом для индустрии безопасности.

Хотя они начали свое производство на машинах Unix несколько лет назад, во время фиаско Sony были рассмотрены руткиты следующая большая угроза для поставщиков антивирусных программ. Исследователи безопасности исследовали использование технологии виртуализации, чтобы скрыть руткиты, и обсудили, может ли когда-нибудь быть обнаружен полностью необнаруживаемый руткит.

Но Руссинович теперь говорит, что руткиты не оправдали своей шумихи. «Они не так распространены, как все ожидали, что они будут», - сказал он в интервью.

«Вредоносное ПО сегодня действует совсем по-другому, когда происходит увлечение руткитом», - сказал он. «Тогда … вредоносная программа будет бросать всплывающие окна по всему вашему рабочему столу и захватывать ваш браузер. Сегодня мы видим совершенно другой тип вредоносного ПО».

Сегодняшняя вредоносная программа работает спокойно на заднем плане, рассылает спам или размещает свои неприятные веб-сайты без жертва когда-либо замечает, что происходит. По иронии судьбы, хотя они созданы для того, чтобы избежать обнаружения, самые сложные руткиты уровня ядра часто настолько невероятно навязчивы, что они привлекают внимание к себе, говорят эксперты по безопасности.

«Очень сложно написать код для вашего ядра, сбой вашего компьютера », - сказал Альфред Хьюгер, вице-президент подразделения Symantec Security Response. «Ваше программное обеспечение может легко справиться с кем-то другим».

Huger соглашается с тем, что, хотя руткиты по-прежнему являются проблемой для пользователей Unix, они не широко распространены на компьютерах с ОС Windows.

Rootkits составляют значительно меньше 1 процента всех попытки заражения, которые Symantec отслеживает в эти дни. Что касается Rustock.C, несмотря на всю техническую изощренность, Symantec обнаружил это только в дикой природе примерно в 300 раз.

«В целом спектр вредоносных программ - это очень маленький кусочек, и сегодня он имеет ограниченный риск», - сказал Хьюгер.

Однако не все согласны с выводами Symantec. Тьерри Золлер, директор по безопасности продуктов с n.runs, говорит, что Rustock.C был широко распространен через пресловутую российскую бизнес-сеть и что инфекции, скорее всего, составляют десятки тысяч.

«Руткиты были использованы для доступа к скомпрометированной целью как можно дольше и никогда не имевшей целью широко распространяться », - сказал он в интервью, проведенном через мгновенное сообщение.

В конце концов, преступники могут избегать руткитов по очень простой причине: они просто не делают нуждаются в них.

Вместо того, чтобы использовать подлые методы руткитов, хакеры вместо этого разработали новые методы, которые затрудняют для поставщиков антивирусных программ различие между их программным обеспечением и законными программами. Например, они производят тысячи разных версий одной вредоносной программы, каждый раз смешивая код, чтобы антивирусные продукты не могли определить время.

Во второй половине 2007 года, например, Symantec отслеживал почти полмиллиона новых типов вредоносного кода, что на 136 процентов больше, чем в первом полугодии. Эксперты по безопасности говорят, что в 2008 году эта ситуация еще хуже.

«Мы сталкиваемся с тем, что мы сталкиваемся не так сложно», - сказал Грег Хоглунд (Greg Hoglund), генеральный директор компании HBGary, которая продает программное обеспечение, чтобы помочь клиентам реагировать на компьютерные вторжения. «Большинство вредоносных программ, которые сейчас существуют … даже не пытаются скрыть».

Например, один из клиентов HB Gary недавно был атакован целенаправленной атакой. Плохие парни точно знали, чего они хотят, и, войдя в сеть, вытащили информацию, прежде чем команда реагирования на инциденты компании могла даже добраться туда, сказал Хоглунд. «Было очень ясно, что нападавшие знали, что они так быстро уйдут с данными, что им даже не нужно скрываться».