Служба новостей IDG, Бостон
Новое поколение мощных программ мониторинга почти невозможно обнаружить с помощью современных продуктов защиты
Специалисты по информационной безопасности корпорации Microsoft предупреждают пользователей о появлении нового поколения мощных инструментов мониторинга программных систем, или rootkit, которые почти невозможно обнаружить с помощью современных продуктов защиты и которые могут представлять собой серьезную угрозу предприятиям и индивидуальным пользователям.
Исследователи обсудили растущую опасность, которая может исходить от rootkit, на семинаре, прошедшем в рамках конференции RSA Security Conference. Вредоносные программы-шпионы распространяются все шире, и вскоре на их основе может быть создано очередное поколение массовых программ-шпионов и червей.
Майк Дансеглио и Курт Диллард из подразделения Microsoft Security Solutions Group заявили, что программы под названиями Hacker Defender («Защитник хакеров»), FU и Vanquish («Покорить»), представляют собой принципиально новое поколение программных средств удаленного мониторинга систем, существовавшего уже давно.
Такие программы используются хакерами для контроля, атак и поиска информации на машине тайком от ее владельца либо с помощью вируса, либо вслед за взломом защиты компьютера.
После установки многие rootkit начинают скрыто работать в фоновом режиме, но их можно обнаружить путем анализа процессов в памяти инфицированной системы, передачи информации с машины или путем проверки вновь установленных программ.
Однако сейчас все большее распространение получают ядерные варианты rootkit, меняющие само ядро или обработку запросов к ядру. Авторы rootkit также добиваются немалого прогресса в маскировке своих созданий.
Фактически некоторые из самых новых вариантов rootkit могут перехватывать запросы или «системные вызовы», которые передаются к ядру, и отфильтровывать запросы, генерируемые rootkit. В итоге традиционные признаки того, что программа работает, такие как имя исполняемого файла, именованный процесс, который использует часть памяти компьютера или конфигурационные установки в регистре операционной системы, невидимы администраторам и средствам обнаружения вторжений.
Диллард считает, что, поскольку технологии rootkit постоянно совершенствуются и скорость, с которой методики переносятся из rootkit в программы-шпионы, увеличивается, такие решения могут стать орудиями организованных сетевых криминальных групп, которые ценят скрытое, агрессивное программное обеспечение.
Один из rootkit, получивший название Hacker Defender и обнаруженный около года назад, даже применяет шифрование для защиты своих внешних контактов и для связи с внешним миром может использовать «традиционные» порты, такие как TCP-порт 135, не прерывая работу других приложений, которые взаимодействуют через этот порт.
Ядерные rootkit невидимы для многих инструментов обнаружения вторжений, в том числе для антивирусных систем, сетевых сенсоров для обнаружения вторжений и средств, предназначенных для борьбы с программами-шпионами.
Фактически некоторые из самых мощных инструментов для обнаружения rootkit созданы самими авторами rootkit, а не компаниями, специализирующимися на вопросах защиты.
Существует мало стратегий для обнаружения ядерных rootkit в инфицированных системах, особенно потому, что каждый rootkit ведет себя отлично от других и использует разные стратегии для собственной маскировки.
Диллард заметил, что иногда можно обнаружить rootkit ядра при анализе инфицированной системы с другой машины по сети. Еще одна стратегия обнаружения rootkit заключается в использовании Windows PE, сокращенной версии операционной системы Windows XP. Эту ОС можно запустить с компакт-диска, а затем сравнить профиль «чистой» операционной системы с инфицированной системой.
Согласно статье, опубликованной в Microsoft Research, в Microsoft даже разработали инструментарий, получивший название Strider Ghostbuster, который способен обнаруживать rootkit, сравнивая «чистую» и подозрительную версии Windows и анализируя различия, которые могут свидетельствовать о работе rootkit.
Пока же, как считает Дансеглио, единственный надежный способ избавиться от rootkit — полностью удалить всю информацию с инфицированного жесткого диска и заново установить операционную систему.