Złośliwe programy: bootkit na celowniku
2027-01-20 09:00:00

Reklama:

Złośliwe programy: bootkit na celownikuZłośliwe programy: bootkit na celowniku Firma Kaspersky Lab, producent rozwiązań do ochrony danych, opublikowała raport zatytułowany "Bootkit: wyzwanie 2008 r.". Artykuł przedstawia szczegółową analizę incydentu z 2008 roku, który najlepiej obrazuje zagrożenie, jakie stanowi MalWare 2.0 - nowa generacja szkodliwych programów. W raportach Kaspersky Lab często pojawia się termin MalWare 2.0 oznaczający model złożonych szkodliwych programów, które pojawiły się pod koniec 2006 roku. Najbardziej typowymi przykładami, a zarazem pierwszymi reprezentantami MalWare 2.0, są robaki Bagle, Warezov oraz Zhelatin. Model Malware 2.0 charakteryzuje się następującymi cechami: brakiem jednego centrum kontroli sieci zainfekowanych komputerów aktywnym wykorzystywaniem metod mających na celu uniemożliwienie analizy szkodliwego kodu oraz prób przejęcia kontroli nad botnetem krótkotrwałymi masowymi wysyłkami szkodliwego kodu skutecznym wykorzystywaniem socjotechniki wykorzystywaniem szeregu różnych metod w celu rozprzestrzeniania szkodliwych programów i stopniowym odchodzeniem od wykorzystywania metod przyciągających uwagę (np. e-mail) wykorzystywaniem wielu modułów (zamiast jednego) w celu dostarczania różnych szkodliwych funkcji Ewolucja MalWare 2.0 przysparza branży antywirusowej wielu kłopotów. Największy problem, według ekspertów, polega na tym, że tradycyjne rozwiązania antywirusowe, oparte wyłącznie na wykorzystywaniu sygnaturowej lub heurystycznej analizy plików, nie potrafią skutecznie zwalczać ataków wirusów (nie mówiąc już o leczeniu zainfekowanych systemów). Spośród incydentów mających miejsce w 2008 roku reprezentujących zagrożenie, jakie stanowi MalWare 2.0, Kaspersky Lab wspomnieć historię rootkita Rustock. W rootkicie tym zaimplementowano wiele nowych technologii, metod i podejść, które mogą mieć istotny wpływ na przyszłą ewolucję MalWare 2.0. Najnowszy z takich incydentów, opisany w raporcie Kaspersky Lab, jasno obrazuje współczesną sztukę wojny, jaka toczy się między twórcami wirusów a firmami antywirusowymi, i pokazuje wagę nowych technologii ochrony. Interesujący incydent ponownego uruchamiania się komputerów W połowie sierpnia 2008 r. na forach internetowych użytkownicy zaczęli się skarżyć, że po odwiedzeniu przez nich pewnych stron internetowych ich komputery zaczęły ponownie się uruchamiać. Co spowodowało takie zachowanie komputerów - nie wiadomo. Jedyne możliwe wyjaśnienie sugerowało, że przyczyna restartu komputerów znajduje się na odwiedzonych stronach. Wstępne oględziny ekspertów, podejrzanych stron niczego nie ujawniły - strony okazały się nieszkodliwe. W większości przypadków, szkodliwi użytkownicy, którzy chcą zainfekować maszyny, włamują się na legalne strony i umieszczają odsyłacze do swoich zasobów, które zawierają exploity na tych stronach. Technika ta nosi nazwę drive-by download. Gdy użytkownik odwiedzi zainfekowaną stronę, na jego maszynie zostanie zainstalowany szkodliwy kod, bez jego wiedzy czy zgody. Jednak na stronie niczego nie wykryto - żadnych podejrzanych ramek iframe czy skryptów. Problem można było przypisać automatycznemu restartowi systemu Windows po zainstalowaniu aktualizacji; było to dość prawdopodobne, zwłaszcza że incydent ten zbiegł się w czasie z opublikowaniem przez firmę Microsoft najnowszej łaty. Sytuacja okazała się jednak o wiele poważniejsza. Podczas przeprowadzania dochodzenia eksperci Kaspersky Lab wykorzystali maszyny wirtualne, za pośrednictwem których odwiedzali podejrzane strony. Nie ograniczali się do odwiedzenia tych stron, ale również przechodzili z jednej części strony do innej i klikali odsyłacze. Po pewnym czasie komputer testowy uruchomił się ponownie. Analiza systemu przeprowadzona przez ekspertów wykazała zmiany w sektorze rozruchowym. Takie zmiany mogły wskazywać na obecność bootkita w systemie. Jednak od marca 2008 roku nie wykryto żadnych nowych wariantów bootkita. Czy to możliwe, że bootkit powrócił? Przechwytując wszystkie połączenia sieciowe z maszyny ofiary, DLL skanuje ruch w celu znalezienia kontaktu ze stronami bankowymi. Wszystkie dane wprowadzone przez użytkownika na takich stronach zostaną wysłane do serwera szkodliwego użytkownika. Złośliwe programy: bootkit na celowniku Podmienione odsyłacze Gdy już Kaspersky Lab ustalił, które strony i które odsyłacze powodowały restart komputerów użytkowników, mógł przeprowadzić bardziej szczegółową analizę. Jak się okazało, szkodliwi użytkownicy zastosowali stosunkowo oryginalne (aczkolwiek nie nowe) podejście do wstrzykiwania odsyłaczy. Do stron, na które włamali się, nie dodali własnej ramki iframe czy też skryptów, ponieważ tego typu modyfikacje są bardzo łatwe do wykrycia. Zamiast tego w miejsce "legalnych" odsyłaczy wstawiali "szkodliwe". Legalny odsyłacz wyglądał tak: < a < B >atm.n****.com< /B >< /a > Po włamaniu się na stronę odsyłacz ten wyglądał tak: < a < B > atm.n****.com< /B >< /a > Informacje o witrynach, takich jak ***.com/cgi-bin/index.cgi?dx, zaczęły pojawiać się w Internecie mniej więcej na początku czerwca 2008 roku. Były to głównie skargi właścicieli witryny oraz użytkowników legalnych witryn dotyczące dziwnych odsyłaczy, które pojawiły się w zaufanych zasobach. Stało się jasne, że w Internecie znajdowało się wiele takich "centrów infekcji"; jednak mimo wielu różnych nazw domen wszystkie z nich utrzymywane były na wspólnych serwerach. Spersonalizowane exploity Co się stanie, gdy użytkownik kliknie podmieniony odsyłacz? Kaspersky Lab wyjaśnia, że zerwer przetworzy przychodzące zapytanie, uzyskując informacje o tym, z jakiej strony "przyszedł" użytkownik, jakiej używa przeglądarki, jakie zainstalował wtyczki, oraz zdobędzie adres IP użytkownika. Przy pomocy tych informacji serwer przydzieli użytkownikowi unikatowe ID, które zostanie następnie zapisane na serwerze. Przykładem takiego ID przydzielanego odwiedzającemu przez zainfekowany serwer jest index.cgi@ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006 Ostatnie cyfry ID pokazują, że użytkownik posiadał zainstalowaną szóstą wersję programu Acrobat Reader. Dla każdego indywidualnego użytkownika tworzony jest następnie exploit. Jeśli na komputerze użytkownika zainstalowana jest podatna na ataki wersja Acrobata, na maszynę taką zostanie pobrany exploit PDF. Jeśli zainstalowany jest Real Player, zostanie pobrany exploit dla tego programu itd. W zależności od przydzielonego użytkownikowi ID serwer wygeneruje klucz zaciemniania, który zostanie wykorzystany w celu zaszyfrowania odpowiedniego exploita. Złośliwe programy: bootkit na celowniku W większości przypadków pobierane były exploity wykorzystujące luki w przetwarzaniu plików PDF, SWF oraz QuickTime. Lista luk w zabezpieczeniach wykorzystywanych przez szkodliwych użytkowników jest stosunkowo długa i nieustannie uaktualniana. Poniżej Kaspersky Lab wymienił najczęściej wykorzystywane luki w zabezpieczeniach: CVE-2007-5659 CVE-2006-0003 CVE-2006-5820 CVE-2007-5779 CVE-2008-1472 CVE-2007-0018 CVE-2006-4777 CVE-2006-3730 CVE-2007-5779 CVE-2008-0624 CVE-2007-2222 CVE-2006-0005 CVE-2007-0015 Po stworzeniu exploita dla danego użytkownika szkodnik zaczyna działać na zaatakowanej maszynie poprzez niezabezpieczoną aplikację. W czasie gdy exploit działa na komputerze, pobierany jest trojan dropper. Program ten wykorzystuje unikatowe ID użytkownika oraz klucz serwera, które są przechowywane w bazie danych serwera. Z zewnątrz wszystko wygląda całkowicie nieszkodliwie i nie wzbudza żadnych podejrzeń: po uruchomieniu exploita serwer zwraca rzeczywisty adres strony, którą użytkownik chciał odwiedzić, oraz stronę, do której prowadzi podmieniony odsyłacz kliknięty przez użytkownika. Ofiara uzyskuje dostęp do zasobu, do którego chciała uzyskać dostęp, nie zdając sobie sprawy, że komputer został podłączony do innego serwera i zainfekowany. Ponadto, jeśli użytkownik ponownie kliknie podmieniony odsyłacz, exploit nie zostanie ponownie uruchomiony, ani nie nastąpi kolejna próba infekcji - użytkownik zostanie natychmiast przekierowany na legalna stronę. Zainfekowany serwer prowadzi bazę danych odwiedzających, przez co żadne ID nie jest wykorzystywane dwukrotnie. Powrót Neosploita Na jakiej podstawie wygenerowane zostały "indywidualne" exploity dla użytkowników? Ku zaskoczeniu Kaspersky Lab, tu właśnie eksperci natknęli się na coś, co uważali za przeszłość: panel administracyjny Neosploit. Pakiet exploitów Neosploit znany jest od około połowy 2007 roku, gdy zaczęto sprzedawać go na czarnym rynku za kilka tysięcy dolarów (od $1 000 do $3 000). Stanowił on poważną konkurencję dla innych zestawów malware, takich jak MPack oraz IcePack. Pod koniec 2008 roku pojawiły się informacje, jakoby znana grupa cyberprzestępców odpowiedzialna za stworzenie, dystrybucje i wsparcie Neosploita przestała istnieć. Przedstawiciele tej grupy wydali następujące oświadczenie: "Niestety, wspieranie naszego produktu nie jest już możliwe. Przepraszamy za wszelkie niedogodności, ale biznes to biznes i czas poświęcany temu projektowi nie przynosi korzyści. Przez ostatnie kilka miesięcy robiliśmy wszystko, aby zaspokoić potrzeby naszych klientów, jednak w pewnym momencie musieliśmy zaprzestać wsparcia. Byliśmy z wami przez 1,5 roku i mamy nadzieję, że był to dobry okres dla waszego biznesu". Złośliwe programy: bootkit na celowniku Zdaniem Kaspersky Lab takie nagłe "zamknięcie interesu" oznacza zazwyczaj, że organy ścigania prowadzą dochodzenie przeciwko grupie lub przestępcy planują coś "większego" i przygotowują sobie alibi. Panel administracyjny Neosploita, który został użyty do generowania exploitów, tworzenia i zarządzania bazami danych zainfekowanych użytkowników itd., jest plikiem wykonywalnym napisanym w języku programowania C++ i skompilowanym w taki sposób, aby mógł działać w systemach Linux i FreeBSD. Każda próba zainfekowania użytkownika i wygenerowania exploita powoduje, że serwer Neosploit łączy się z serwerem, który prawdopodobnie rejestruje liczbę połączeń (w momencie przeprowadzania analizy serwer był zlokalizowany na Ukrainie). Autorzy Neosploita mogą monitorować wykorzystywanie swoich tworów i/lub opłaty za swoje usługi na podstawie liczby zainfekowanych użytkowników. Możliwe, że jeżeli nie będzie można nawiązać połączenia z serwerem, exploit nie zostanie wygenerowany, a użytkownik nie zostanie zainfekowany. Po załadowaniu się do systemu trojan dropper uruchamia się poprzez niezabezpieczoną aplikację, wypakowuje z siebie program instalacyjny bootkita i wysyła do niego unikatowe ID użytkownika. Następnie instalator modyfikuje sektor rozruchowy i umieszcza w sektorach dysku twardego główne ciało szkodliwego programu. Przykład wpisu w obszarze startowym dysku: CreateFileA(".RealHardDisk0", GENERIC_WRITE GENERIC_READ, FILE_SHARE_READ FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0) Jeżeli wszystkie te działania zostaną pomyślnie wykonane w systemie, trojan dropper przesyła polecenie ponownego uruchomienia komputera. To właśnie ten nieoczekiwany restart systemu, który ma miejsce w czasie gdy użytkownik jest on-line, wzbudził podejrzenie użytkowników, którzy usiłując dociec, co się dzieje, zaczęli pisać o tym na forach. Po powtórnym uruchomieniu komputera bootkit przechwytuje szereg funkcji systemowych i zaczyna działać w systemie - ukrywając swoje działanie i funkcjonując jako bot w sieci zombie. Złośliwe programy: bootkit na celowniku Migrujące centrum kontroli Wszystkie technologie, jakie wykrył Kaspersky Lab podczas analizowania mechanizmu przenikania, w opinii ekspertów wyglądają interesująco; niektóre są oryginalne (na przykład podmienianie odsyłaczy, zaciemnianie exploitów w locie dla określonego systemu), ogólnie jednak żadna z nich nie jest unikatowa. Z podobnymi technologiami specjaliści spotkali się już wcześniej, jednak przed sierpniem 2008 roku nie zdarzyło się, aby wszystkie z nich zostały wykorzystane w ramach jednego ataku. Eksperci zwracają uwagę, że wykrycie takich botnetów jest bardzo trudne, a nawet gdy zostaną już wykryte, trudno je rozbić. Szkodliwy użytkownik może w każdej chwili przenieść centrum kontroli na dowolną z dziesiątek, lub nawet setek, specjalnie przygotowanych domen. Nawet gdy centrum kontroli zostanie zidentyfikowane, w ciągu kilku godzin zostanie przeniesione na inną domenę. A wtedy, aby je znaleźć, trzeba będzie analizować pakiety sieciowe wysyłane przez boty szukające swojego nowego domu. Kaspersky Lab nie ma wątpliwości, że metoda ta ma na celu zarówno zwalczanie konkurencji, która może próbować ukraść botnet, jak również utrudnianie działania firm antywirusowych i organów ściągania. Generowanie nazw domen według specjalnego algorytmu oraz rejestrowanie powstałych domen umożliwia szkodliwemu użytkownikowi przemieszczanie centrum kontroli przez długi czas. W celu rejestrowania domen wykorzystuje się wiele zajmujących się tym organizacji pochodzących z różnych części świata: Ameryki, Afryki, Azji i Europy. Użyte przez właściciela dane rejestracyjne zawierają wyraźne ślady rosyjskie, chociaż same dane są bez wątpienia fałszywe. Centrum kontroli wykorzystuje najróżnorodniejsze usługi hostingowe na świecie, potrafi w ciągu kilku minut przenieść się do nowego hostingu, co uniemożliwia zamknięcie go, nie wpływa jednak negatywnie na jego funkcjonalność. Metoda ta przypomina technologię Fast-Flux, która jest aktywnie wykorzystywana przez robaki z rodziny Zhelatin (robak Storm). Jednak Fast-Flux pozwala tylko na ciągłą zmianę adresów IP zainfekowanych domen, podczas gdy technologia zaimplementowana w bootkicie umożliwia zmienianie domen jak również adresów IP. Centrum kontroli zawiera bazę danych zarejestrowanych domen, które mogą być wykorzystane do hostingu centrum kontroli. Złośliwe programy: bootkit na celowniku Złośliwe programy: bootkit na celowniku Jeżeli nie jest możliwe połączenie się z centrum kontroli, bot użyje specjalnego algorytmu, aby wygenerować nazwy domen .com, .net oraz .biz. Liczba wygenerowanych nazw domen zależy od aktualnej daty i czasu. Backdoor próbuje połączyć się z każdą z tych domen i wysłać specjalnie utworzony pakiet jako klucz autoryzacji. Jak tylko jedna z domen okaże się tą "właściwą" (np. zaakceptuje pakiet i odpowie przez wysłanie własnego unikatowego pakietu), bot połączy się z nią jako klient botnetu i zacznie szyfrować komunikację z centrum kontroli. Z reguły w wyniku tej komunikacji na maszynę ofiary pobierany jest dodatkowy moduł (DLL). Moduł szpiegujący Od początku 2008 roku botnet zbadało wielu ekspertów z branży, jednak badanie ograniczyło się do części rootkita i prób wyjaśnienia, w jaki sposób funkcjonuje botnet. Badanie to - którego wyniki są znane ekspertom - nie dało odpowiedzi na najważniejsze dla nas pytania: "Dlaczego?" lub, mówiąc inaczej: "gdzie w tym wszystkim są pieniądze?" Opisując historię bootkita, Kaspersky Lab chciał nadać ostateczne szlify. W tym celu musiał dokładnie zrozumieć, co tak wyrafinowany bootkit ukrywał w systemie. Po tym, jak maszyna ofiary połączy się z centrum kontroli botneta, uzyskuje zaszyfrowany pakiet o rozmiarze przekraczającym 200KB. Następnie bootkit odszyfrowuje ten pakiet, wewnątrz którego znajduje się plik DLL, który bootkit ładuje do pamięci, a który nie istnieje jako plik na dysku! W rezultacie bootkit sprawia, że załadowany DLL jest niewidoczny podczas analizy systemu przy użyciu tradycyjnych metod. Jest również niewidoczny dla większości programów antywirusowych. Naturalnie, ładowanie kodu do pamięci oznacza, że podczas powtórnego uruchamiania systemu kod znika, przestaje istnieć, a system staje się czysty (z wyjątkiem obecności bootkita w systemie). Ma to jednak pewne plusy: program antywirusowy, który skanuje pamięć podczas startu systemu operacyjnego nie wykryje niczego podejrzanego - z tej prostej przyczyny, że nie ma niczego podejrzanego do wykrywania. Jednak, jak tylko komputer połączy się z Internetem, bootkit nawiązuje połączenie z centrum kontroli i ładuje DLL na maszynę ofiary. Aby odpowiedzieć na to pytanie Kaspersky Lab postanowił przyjrzeć się historii Sinowala (tak bowiem klasyfikuje tego bootkita). Pod koniec 2007 roku, gdy pojawił się bootkit, nazwa ta była już stosowana: duża liczba trojanów szpiegujących służących do kradzieży danych (głownie danych dostępu do kont bankowości online) otrzymywała nazwę Trojan-Spy.Win32. Sinowal. Podczas analizy bootkita eksperci zauważyli, że algorytm zaciemniania ciała bootkita był identyczny z algorytmem zaciemniania wykorzystywanym przez trojana o nazwie Trojan-Spy.Win32.Sinowal. W końcu doszli do wniosku, że autorzy bootkita i trojana szpiegującego to te same osoby. Przed przeprowadzeniem szczegółowej analizy DLL podobieństwo między użytymi algorytmami zaciemniania było jedynym potwierdzeniem, że te dwa szkodliwe programy pochodzą z tego samego źródła. Gdy specjaliści wydobyli ukryty DLL z pamięci komputera i zbadali, w jaki sposób działa, nie mieli już wątpliwości: DLL jest identyczny z trojanem Trojan-Spy.Win32.Sinowal i wykonuje te same funkcje co trojan szpiegujący. Po autoryzacji botnetu w sieci na maszynę ofiary pobierany jest moduł DLL, którego celem jest kradzież haseł i przechwytywanie ruchu sieciowego. Sinowala można nazwać uniwersalnym złodziejem. Po tym, jak znajdzie się w systemie, natychmiast zaczyna skanować w celu znalezienia wszystkich dostępnych haseł do szeregu różnych aplikacji.     Moduł szpiegujący może uruchomić atak man-in-the-middle, wykorzystując bootkita jako platformę posiadającą pełny dostęp do zasobów systemu operacyjnego. Pozwala to modułowi szpiegującemu przechwycić informacje poufne wprowadzone za pośrednictwem przeglądarki. Moduł ten posiada prawie wszystkie funkcje programu szpiegującego, od banalnego przechwytywania danych wprowadzanych za pośrednictwem klawiatury do subdomen chronionych połączeń SSL. Podczas łączenia się ze stroną https program szpiegujący może otworzyć dodatkowe okna w przeglądarce w celu autoryzacji. Do takiego okna użytkownik może przez pomyłkę wprowadzić dane dotyczące swojego konta, ponieważ okno to wydaje się być częścią strony banku. Program szpiegujący może przekierować zapytania użytkownika na strony phishingowe. Wszystkie przechwycone dane są szyfrowane i wysyłane do wyspecjalizowanego serwera. Zainfekowana sieć Z raportu wynika, że zarówno pierwszy bootkit, który pojawił się pod koniec zeszłego roku, jak i Rustock rozprzestrzeniały się za pośrednictwem zasobów grupy IframeBiz. Jednak, bootkit pojawił się w zupełnie inny sposób: scenariusz był znacznie bardziej techniczny i wiele należało tu zawdzięczać epidemii spowodowanej przez Rustocka i Sinowala. Złośliwe programy: bootkit na celowniku Zmierzenie skali epidemii poprzez zliczanie użytkowników, którzy skarżyli się, że ich komputery uruchamiają się powtórnie, nie byłoby najwłaściwsze. Kategoryczną odpowiedź mogłyby dostarczyć statystyki centrum kontroli botnetu; jednak eksperci nie mieli pełnego dostępu do panelu administracyjnego. Mimo to byli w stanie podać pewne dane liczbowe. Badając incydent, Kaspersky Lab wyróżnił pięć głównych serwerów wykorzystywanych do pobierania exploitów. Aby przedstawić skalę zjawiska, dość powiedzieć, że w ciągu 24 godzin serwery te odwiedziło ponad 200 000 użytkowników ze Stanów Zjednoczonych. Jak już wspomniano w raporcie, panel administracyjny wykorzystywany do kontrolowania botnetu nieustannie zmienia lokalizację według specjalnego algorytmu. Jednak nie wszystkie boty łączą się z nim, gdy jest "w ruchu". Biorąc to pod uwagę, z analiz wynika, że rozmiar botnetu osiągnął prawie 100 000 botów, co stanowi dość dużą liczbę. Należy zauważyć, że dane te dotyczą tylko amerykańskich użytkowników. Autorzy bootkita podjęli ogromny wysiłek, aby stworzyć dobrze zabezpieczony, wysoce mobilny pakiet i starannie zaplanowali każdy etap, od zainfekowania użytkownika po zarządzanie botnetem. Zależało im, aby nie popełnić błędów, nawet w takich drobnych kwestiach jak wstrzykiwanie ramki iframe do kodu strony. Z raportu wynika jednak, że mimo wyrafinowanych technologii wykorzystanych przez autorów bootkita współczesne produkty antywirusowe powinny potrafić zapobiec przeniknięciu szkodliwego kodu do komputera. Podejście zastosowane przez cyberprzestępców (tzn. nakłonienie użytkowników do odwiedzenia zainfekowanych stron i wygenerowanie unikatowych exploitów) miało na celu nie tylko zainfekowanie jak największej liczby użytkowników, ale również zwalczanie różnych technologii zastosowanych w obecnych produktach antywirusowych. Tak więc podmienianie odsyłaczy zamiast dodawania ramki iframe ma na celu zwalczanie tradycyjnego skanowania ruchu sieciowego; takie skanowanie powoduje, że podejrzana ramka iframe jest sprawdzana bardziej rygorystycznie lub całkowicie blokowana. Biorąc pod uwagę dziesiątki, a czasami nawet setki legalnych stron, na które włamują się szkodliwi użytkownicy, aby dodać do nich szkodliwy kod, najlepszym sposobem ochrony przed takimi zagrożeniami jest zaimplementowanie technologii, która blokuje nieznane szkodliwe strony. Exploity generowane są automatycznie dla każdego nowego użytkownika, jednak w przeciwieństwie do kodu exploita, który zmienia się za każdym razem, mechanizm zaciemniania pozostaje taki sam. To oznacza, że oprogramowanie antywirusowe jest w stanie wykryć zaciemniony skrypt przy pomocy wykrywania sygnaturowego lub heurystycznego. Jeżeli mimo wszystko exploit zostanie pobrany na maszynę ofiary, nie będzie w stanie uruchomić się, jeśli użytkownik regularnie łata swój system operacyjny i aplikacje. Skaner luk w zabezpieczeniach potrafi wykryć "dziurawe" aplikacje. Kaspersky Lab założył jednak, że użytkownik ma zainstalowaną "dziurawą" aplikację, dzięki czemu exploit mógł się uruchomić. Na maszynę ofiary zostanie pobrany dropper bootkita: ten plik wykonywalny jest tworzony na serwerze dla każdego użytkownika, dlatego wykrywanie na podstawie sygnatur jest utrudnione. Na tym etapie najskuteczniejszą metodą stosowaną przez produkt antywirusowy będzie ochrona proaktywna, która umożliwia analizowanie nieznanych plików, określenie ich funkcji i przeprowadzenie analizy heurystycznej kodu i zachowania szkodliwego programu. Złośliwe programy: bootkit na celowniku Jeżeli w momencie infekcji użytkownik nie ma zainstalowanego wystarczająco skutecznego rozwiązania antywirusowego, bootkit, który przeniknął do systemu, uruchomi się przed systemem operacyjnym i rozwiązaniem antywirusowym. Pozwala to bootkitowi kontrolować istotne funkcje systemowe i ukryć swoją obecność na zainfekowanej maszynie. Jednakże szkodliwy kod można wykryć i zneutralizować przy pomocy programu antywirusowego wyposażonego w moduł ochrony przed rootkitami, rozpoczynając od skanowania pamięci systemu, a następnie sektora startowego. W swoim czasie bootkit stanowił dla twórców wirusów przełom technologiczny. Obecnie bootkit jest wyposażony w potężną procedurę i funkcje rozprzestrzeniania w ramach botnetu. Eksperci Kaspersky Lab nie mają wątpliwości, że rozwinięcie takiego systemu zajęło kilka miesięcy, wymagało zapewnienia jego płynnego działania oraz nakładów na nabycie lub stworzenie nowych exploitów, domen, hostingu itd. Co więcej stworzenie, zaplanowanie, zaimplementowanie i obsługa takiego systemu nie byłoby możliwe dla jednej czy dwóch osób. Jest on wynikiem pracy nie jednej, ale kilku grup cyberprzestępców, którzy ściśle ze sobą współpracują, odpowiadając za oddzielne obszary projektu. Zdaniem ekspertów historia bootkita pokazuje, jak dalece problemy bezpieczeństwa informacji dotykają zwykłych użytkowników. Wszystkie przeanalizowane wyżej technologie są obecnie aktywnie wykorzystywane w przeważającej większości szkodliwych programów.     [

January 4th, 2007 by Author

Posted in Suspendisse iaculis | Edit | 23 Comment »