Ένας ύπουλος προβληματισμός ασφαλείας, αγνοούμενος από τους κακούς Boldewin είχε δει πολύ κακόβουλο λογισμικό στην εποχή του, αλλά ποτέ τίποτα Rustock C.

Χρησιμοποιήθηκε για να μολύνει τους υπολογιστές των Windows και να τους μετατρέψει σε ανεπιθύμητους διακομιστές spam, Rustock.C είναι rootkit που εγκαθιστά τον εαυτό του στο λειτουργικό σύστημα των Windows και στη συνέχεια χρησιμοποιεί μια ποικιλία προηγμένων τεχνικών που καθιστούν σχεδόν αδύνατο τον εντοπισμό ή ακόμα και την ανάλυση.

Όταν ξεκίνησε να εξετάζει τον κώδικα νωρίτερα αυτό το έτος,. Υπήρχε κρυπτογράφηση σε επίπεδο οδηγού, το οποίο έπρεπε να αποκρυπτογραφηθεί και γράφτηκε σε γλώσσα συναρμολόγησης, χρησιμοποιώντας τη "δομή του κώδικα των σπαγγέτι", που κατέστησε εξαιρετικά δύσκολο για τον Boldewin να καταλάβει τι ακριβώς κάνει το λογισμικό.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Η ανάλυση ενός rootkit είναι συνήθως μια εργασία βράδυ για κάποιον με τις τεχνικές δεξιότητες του Boldewin. Ωστόσο, με τον Rustock.C, χρειάστηκαν αρκετές μέρες για να καταλάβει πώς λειτουργεί το λογισμικό.

Επειδή είναι τόσο δύσκολο να εντοπιστεί, ο Boldewin, ερευνητής ασφάλειας με τον γερμανικό πάροχο υπηρεσιών πληροφορικής GAD, πιστεύει ότι ο Rustock.C ήταν γύρω για σχεδόν ένα χρόνο πριν ξεκινήσει η ανίχνευση προϊόντων προστασίας από ιούς.

Αυτή είναι η ιστορία με τα rootkits. Είναι ύπουλες. Αλλά είναι μια μεγάλη απειλή;

Στα τέλη του 2005, ο Mark Russinovich ανακάλυψε το πιο διάσημο rootkit. Ένας εμπειρογνώμονας ασφάλειας των Windows, ο Russinovich ήταν μπερδεμένος μια μέρα όταν ανακάλυψε ένα rootkit στον υπολογιστή του. Μετά από κάποια συζήτηση, τελικά ανακάλυψε ότι το λογισμικό προστασίας αντιγραφής που χρησιμοποιούσε η Sony BMG Music Entertainment χρησιμοποίησε πραγματικά τεχνικές rootkit για να κρυφτεί στους υπολογιστές. Το λογισμικό της Sony δεν σχεδιάστηκε για να κάνει τίποτα κακόβουλο, αλλά ήταν σχεδόν ανυπόληπτο και εξαιρετικά δύσκολο να καταργηθεί.

Το rootkit της Sony έγινε μια μεγάλη καταστροφή PR για την εταιρεία, η οποία δαπάνησε εκατομμύρια σε νομικούς συμβιβασμούς με χρήστες που επηρεάστηκαν από το λογισμικό

Τρία χρόνια αργότερα, ο Russinovich, ένας τεχνικός συνεργάτης της Microsoft, εξακολουθεί να θεωρεί ότι είναι το rootkit που προκάλεσε το μεγαλύτερο πρόβλημα για τους χρήστες υπολογιστών.

Αλλά τα προβλήματα rootkit της Sony προκάλεσαν επίσης προβλήματα για τους προμηθευτές antivirus. Το γεγονός ότι κανένας από αυτούς δεν είχε ακόμη παρατηρήσει αυτό το λογισμικό για περίπου ένα χρόνο ήταν ένα σοβαρό μαύρο μάτι για τον κλάδο της ασφάλειας.

Αν και ξεκίνησαν σε μηχανές Unix χρόνια νωρίτερα, κατά τη στιγμή του fiasco της Sony, την επόμενη μεγάλη απειλή για τους προμηθευτές antivirus. Οι ερευνητές της ασφάλειας διερεύνησαν τη χρήση της τεχνολογίας εικονικοποίησης για να αποκρύψουν τα rootkits και συζήτησαν αν θα μπορούσε να δημιουργηθεί κάποια στιγμή ένα εντελώς ανιχνεύσιμο rootkit.

Ωστόσο, ο Russinovich λέει τώρα ότι τα rootkits δεν κατάφεραν να ανταποκριθούν στη διαφημιστική τους δημοσιότητα. "Δεν είναι τόσο διαδεδομένοι όσο όλοι περίμεναν ότι θα είναι", δήλωσε σε συνέντευξή του.

«Το malware σήμερα λειτουργεί πολύ διαφορετικά από το πότε έφτασε η τρέλα ριγκίκτι», είπε. Στη συνέχεια βλέπουμε ένα εντελώς διαφορετικό είδος κακόβουλου λογισμικού. "

Το κακόβουλο λογισμικό του σήμερα τρέχει ήσυχα στο παρασκήνιο, το spamming ή τη φιλοξενία των δυσάρεστων ιστότοπων του χωρίς την το θύμα παρατηρώντας πάντα τι συμβαίνει. Ειρωνικά, αν και είναι κατασκευασμένα για να αποφεύγουν την ανίχνευση, τα πιο εξελιγμένα rootkits σε επίπεδο πυρήνα είναι συχνά τόσο απίστευτα ενοχλητικά που εφιστούν την προσοχή στον εαυτό τους, λένε οι ειδικοί ασφαλείας.

"Είναι εξαιρετικά δύσκολο να γράψετε κώδικα για τον πυρήνα σας να συντρίψετε τον υπολογιστή σας ", δήλωσε ο Alfred Huger, αντιπρόεδρος της ομάδας ασφάλειας της Symantec. "Το λογισμικό σας μπορεί να προχωρήσει σε κάποιον άλλον αρκετά εύκολα."

Ο Huger συμφωνεί ότι ενώ τα rootkits εξακολουθούν να αποτελούν πρόβλημα για τους χρήστες του Unix, δεν είναι διαδεδομένοι σε υπολογιστές με Windows.

Τα Rootkits αποτελούν πολύ λιγότερο από το 1% τις δοκιμασμένες λοιμώξεις που παρακολουθεί η Symantec αυτές τις μέρες. Όσο για το Rustock.C, παρά την τεχνική του πολυπλοκότητα, η Symantec το έχει εντοπίσει στο φυσικό περιβάλλον περίπου 300 φορές.

"Σχετικά με το φάσμα κακόβουλου λογισμικού, είναι ένα πολύ μικρό κομμάτι και είναι σήμερα περιορισμένου κινδύνου", δήλωσε ο Huger.

Ωστόσο, δεν συμφωνούν όλοι με τα ευρήματα της Symantec. Ο Thierry Zoller, διευθυντής ασφάλειας προϊόντων με n.runs, λέει ότι το Rustock.C διανεμήθηκε ευρέως μέσω του διαβόητου Ρώσου Επιχειρηματικού Δικτύου και ότι οι μολύνσεις είναι πιθανότατα στις δεκάδες χιλιάδες.

"Τα Rootkits χρησιμοποιήθηκαν για να έχουν πρόσβαση σε ένα όσο το δυνατόν περισσότερο και δεν είχε ποτέ το στόχο να διαδοθεί ευρέως », δήλωσε σε συνέντευξή του μέσω άμεσου μηνύματος.

Στο τέλος, οι εγκληματίες μπορεί να αποφεύγουν τα rootkits για έναν πολύ απλό λόγο:

Αντί να χρησιμοποιούν λοξή τεχνικές rootkit, οι χάκερ έχουν αντ 'αυτού αναπτύξει νέες τεχνικές για να καταστήσουν δύσκολο για τους πωλητές προστασίας από ιούς να λένε τη διαφορά μεταξύ του λογισμικού τους και των νόμιμων προγραμμάτων τους. Παραδείγματος χάριν, κάνουν χιλιάδες διαφορετικές εκδόσεις ενός κακόβουλου προγράμματος, αναβαθμίζοντας τον κώδικα κάθε φορά, ώστε τα προϊόντα προστασίας από ιούς να έχουν δυσκολία να το εντοπίσουν.

Το δεύτερο μισό του 2007, για παράδειγμα, η Symantec παρακολούθησε σχεδόν μισό εκατομμύριο νέους τύπους κακόβουλου κώδικα, αυξημένος κατά 136% από το πρώτο εξάμηνο του έτους. Οι ειδικοί της ασφάλειας λένε ότι η κατάσταση αυτή είναι ακόμα χειρότερη το 2008.

"Τα πράγματα που αντιμετωπίζουμε δεν είναι τόσο περίπλοκα", δήλωσε ο Greg Hoglund, Διευθύνων Σύμβουλος της HBGary, μιας εταιρείας που πωλεί λογισμικό για να βοηθήσει τους πελάτες να ανταποκριθούν στις εισβολές υπολογιστών. "Το μεγαλύτερο μέρος του κακόβουλου λογισμικού που υπάρχει εκεί σήμερα … δεν προσπαθεί καν να κρυφτεί."

Για παράδειγμα, ένας από τους πελάτες της HB Gary χτυπήθηκε πρόσφατα από μια στοχευμένη επίθεση. Οι κακοί ήξεραν ακριβώς τι ήθελαν και, αφού έσκαψαν στο δίκτυο, έσπρωξαν τις πληροφορίες, ενώ η ομάδα αντιμετώπισης περιστατικών της εταιρείας μπορούσε ακόμη και να φτάσει εκεί, δήλωσε ο Hoglund. "Ήταν πολύ σαφές ότι οι επιτιθέμενοι ήξεραν ότι θα έχανε τα δεδομένα τόσο γρήγορα που δεν έπρεπε καν να κρύψουν."