A hátrányos biztonsági probléma, amit a rosszfiúk figyelmen kívül hagytak

Frank Boldewin rengeteg rosszindulatú programot látott az idejében, de soha nem hasonlított Rustock.C-re.

A Windows PC-k megfertőzésére és spam-kiszolgálókká való átalakítására használják, a Rustock.C egy rootkit amely telepíti magát a Windows operációs rendszerre, majd olyan különféle kifinomult technikákat használ, amelyek szinte lehetetlen észlelni vagy akár elemezni is.

Amikor először elkezdte nézni a kódot az év elején, egyszerűen csak a számítógépe összeomlásához vezetne. Volt titkosítási szintű titkosítás, melyet vissza kellett törölni, és a "spagetti-kódszerkezet" segítségével összeállították az összeszerelési nyelvet, ami miatt Boldewin rendkívül nehéz kitalálni, hogy mi a szoftver valójában.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A rootkit elemzése jellemzően egy esti munka Boldewin technikai ismereteivel rendelkező személy számára. A Rustock.C azonban sok időt töltött ahhoz, hogy kitalálhassa, hogyan működik a szoftver.

Mivel ilyen nehéz észrevenni, Boldewin, a német IT-szolgáltató GAD biztonsági kutatója úgy véli, hogy a Rustock.C körül volt közel egy évig, mielőtt a vírusirtó termékek elkezdtek észlelni.

Ez a történet a rootkitekkel. Csupaszok. De komoly fenyegetés?

2005 végén, Mark Russinovich felfedezte a leghíresebb rootkitot. Egy ablak biztonsági szakértője, Russinovich egy pillanatra elkápráztatta, amikor felfedezett egy rootkitot a számítógépén. Némi habozás után végül felfedezte, hogy a Sony BMG Music Entertainment által használt másolásvédelmi szoftver valójában rootkit-technikákat használ a számítógépek elrejtésére. A Sony szoftverét nem úgy tervezték, hogy bármi rosszat is megtegyen, de gyakorlatilag észrevehetetlen és rendkívül nehéz eltávolítani.

A Sony rootkittje jelentős PR-katasztrófává vált a vállalat számára, amely milliókat költött a településeken olyan felhasználókkal, akiket a szoftver érintett.

Három évvel később, Russinovich, a Microsoft műszaki szakembere még mindig úgy tekinti, hogy a rootkit okozta a legnagyobb problémát a számítógépes felhasználók számára.

De a Sony rootkit előfordult problémákat a víruskereső gyártók számára is. Az a tény, hogy egyikük sem észlelte ezt a szoftvert kb. Egy évig, komoly fekete szem volt a biztonsági ipar számára.

Bár a korábbi évekhez képest a Sony fiasco idején kezdtek elindulni a Unix gépeken, a rootkiteket a következő nagy fenyegetés a víruskereső gyártók számára. A biztonsági kutatók feltérképezték a virtualizációs technológiák használatát a rootkitek elrejtésére, és vitatták, hogy egyáltalán nem lehet észrevenni a rootkit egy napot.

Russinovich azt állítja, hogy a rootkitek nem tudták eleget tenni a hype-nek. "Ezek nem annyira elterjedtek, mint azt mindenki elvárta tőlük," mondta egy interjúban.

"A Malware ma nagyon eltérő módon működik, amikor a rootkit őrület folytatódott" - mondta. "Akkor … a rosszindulatú programok az egész asztalra dobtak, és átveszik a böngésződet, ma pedig egy teljesen más típusú kártevőt látunk."

A mai rosszindulatú program a háttérben csendesen fut, áldozat észreveszi, mi folyik itt. Ironikus módon, bár felépültek az észlelés elkerülésére, a legfejlettebb rendszermag-szintű rootkiták gyakran olyan hihetetlenül behatolóak, hogy felhívják magukra a figyelmet, a biztonsági szakértők azt mondják.

"Nagyon nehéz megírni a rendszermag kódját, ami nem összeomlik a számítógéped "- mondta Alfred Huger, a Symantec Security Response csapatának alelnöke. "A szoftver könnyedén léphet be valaki másra."

Huger egyetért azzal, hogy míg a rootkitek továbbra is problémát jelentenek a Unix felhasználók számára, ezek nem terjednek el a Windows PC-ken.

A rootkitek sokkal kevesebb, mint 1% a Symantec által kísérletezett fertőzések napjainkban. Ami a Rustock.C-t illeti, technikai kifinomultsága ellenére a Symantec csak 300-szor észlelte vadon.

"Az egész malware spektrumban ez egy nagyon kicsi darab, és ma már csak korlátozott kockázat" - mondta Huger.

Mindazonáltal nem mindenki egyetért Symantec megállapításával. Thierry Zoller, a n.runs termékbiztonsági igazgatója szerint a Rustock.C széles körben elterjedt a hírhedt orosz üzleti hálózaton keresztül, és a fertőzések valószínűleg több tízezerben vannak.

"A Rootkit-eket egy veszélyeztetett célt, ameddig csak lehetséges, és soha nem volt a célja széles körben elterjedni "- mondta egy azonnali üzenetben elhangzott interjúban.

Végül a bűnözők egy egyszerű okból elkerülhetik a rootkiteket: egyszerűen nem

Ahelyett, hogy csúnya rootkit-technikákat alkalmaztunk volna, a hackerek új technikákat fejlesztettek ki annak érdekében, hogy megakadályozzák a víruskereső gyártók számára a különbséget szoftverük és törvényes programok között. Például egy rosszindulatú program több ezer különböző verzióját csinálják, miközben minden alkalommal megrontják a kódot, így a vírusölő termékek nehezen észlelik.

2007 második felében például a Symantec közel félmillió új típusú rosszindulatú kód, 136 százalékkal az első félévben. A biztonsági szakértők szerint ez a helyzet 2008-ban még rosszabb.

"Az a dolgok, amelyeken átfutunk, nem olyan bonyolult" - mondta Greg Hoglund, a HBGary elnök-vezérigazgatója, amely szoftvereket értékesít, hogy segítsen az ügyfeleknek a számítógépes beavatkozásokra reagálni. "A legtöbb malware jelenleg manapság … nem is próbálja elrejteni."

Például a HB Gary ügyfeleinek egyikét nemrégiben célzott támadás érte. A rosszfiúk pontosan tudták, mit akarnak, és miután a hálózatba törtek be, eltorlaszolták az információkat, mielőtt a vállalat incidensekért felelős csapata még oda is jutott volna, mondta Hoglund. "Nagyon világos volt, hogy a támadók tudták, hogy gyorsan el fogják kapni az adataikat, hogy nem is kell elrejteniük."