בעיה אבטחה ערמומי, התעלם על ידי הרעים

פרנק Boldewin ראה הרבה תוכנות זדוניות בזמנו, אבל אף פעם לא משהו כמו Rustock.C

משמש כדי להדביק מחשבים Windows ולהפוך אותם שרתי דואר זבל לא רצויים, Rustock.C הוא rootkit המתקינה את עצמה על מערכת ההפעלה Windows ולאחר מכן משתמש במגוון של טכניקות מתוחכמות שהופכות אותו כמעט בלתי אפשרי לזהות או אפילו לנתח.

כאשר הוא הראשון התחיל להסתכל על קוד מוקדם יותר השנה, זה פשוט היה לגרום למחשב שלו לקרוס. היה שם הצפנה ברמת הנהג, שהיתה צריכה להיות מפוענחת, והיא נכתבה בשפת הרכבה, תוך שימוש ב"קוד ספגטי ", שהקשה מאוד על בולדווין להבין מה התוכנה אכן עושה. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows]

ניתוח rootkit הוא בדרך כלל עבודה של ערב עבור מישהו עם מיומנויות טכניות של Boldewin. עם זאת, עם זאת, זה היה לוקח לו ימים כדי להבין איך התוכנה עובדת.

כי כל כך קשה לזהות, Boldewin, חוקר אבטחה עם ספק שירותי ה- IT הגרמני GAD, סבור כי Rustock.C היה בסביבה כמעט שנה לפני שמוצרי האנטי-וירוס החלו לגלות את זה.

זהו הסיפור עם rootkits. הם ערמומיים. אבל האם הם איום גדול?

בסוף 2005, מארק רוסינוביץ 'גילה את rootkit המפורסם ביותר. מומחה האבטחה של Windows, רוסינוביץ 'היה מבולבל יום אחד כאשר הוא גילה rootkit על המחשב האישי שלו. לאחר כמה sleuthing, הוא בסופו של דבר גילו כי תוכנת הגנה מפני העתקה בשימוש על ידי Sony BMG מוסיקה בידור למעשה השתמשו rootkit טכניקות כדי להסתיר את עצמה על מחשבים. התוכנה של סוני לא תוכננה לעשות שום דבר זדוני, אבל זה היה כמעט בלתי ניתן לגילוי וקשה מאוד להסיר.

rootkit של סוני הפך אסון יחסי ציבור גדול עבור החברה, אשר בילה מיליונים בהתנחלויות משפטיות עם משתמשים שנפגעו התוכנה. לאחר שלוש שנים, רוסינוביץ ', בחור טכני עם מיקרוסופט, עדיין רואה את זה rootkit שגרם את הצרות ביותר עבור משתמשי המחשב.

אבל rootkit Sony prescribed בעיות עבור ספקי האנטי וירוס מדי. העובדה שאף אחד מהם אפילו לא הבחין בתוכנה הזאת במשך כשנה היתה עין שחורה רצינית לתעשיית האבטחה. למרות שהתחילו את דרכם במכונות יוניקס שנים קודם לכן, בזמן הפיאסקו של סוני, רוטקיטס נחשבו האיום הגדול הבא עבור ספקי אנטי וירוס. חוקרי אבטחה בחנו את השימוש בטכנולוגיית וירטואליזציה כדי להסתיר rootkits ו התלבטו אם rootkit בלתי ניתן לגילוי לחלוטין יכול יום אחד ליצור.

אבל Russinovich עכשיו אומר rootkits לא הצליחו לחיות עד ההייפ שלהם. "הם לא נפוצים כמו שכולם ציפו שיהיו", הוא אמר בראיון. "תוכנה זדונית היום פועלת בצורה שונה מאוד מאז השגעון של rootkit", אמר. "אז … תוכנה זדונית תזרוק חלונות קופצים בכל שולחן העבודה שלך ותשתלט על הדפדפן שלך היום אנחנו רואים סוג אחר לגמרי של תוכנות זדוניות".

תוכנות זדוניות של היום פועל בשקט ברקע, דואר זבל או אירוח אתרי אינטרנט מגעיל שלה בלי קורבן אי פעם לשים לב מה קורה. למרבה האירוניה, למרות שהם בנויים כדי לחמוק מהזיהוי, רוב השורשים המתוחכמים ברמת הקרנל הם לעתים קרובות כל כך חודרניים עד כדי כך שהם מפנים את תשומת הלב לעצמם, אומרים מומחי אבטחה. "זה קשה מאוד לכתוב קוד עבור הקרנל שלך, לקרוס את המחשב ", אמר אלפרד הוגר, סגן נשיא צוות האבטחה של סימנטק. "התוכנה שלך יכולה לדרוך על מישהו אחר בקלות רבה."

Huger מסכים שבעוד rootkits עדיין בעיה עבור משתמשי יוניקס, הם אינם נפוצים במחשבי Windows.

Rootkits מהווים הרבה פחות מאחוז אחד ניסיונות הזיהום שסימנטק עוקבת אחריהם בימים אלה. באשר ל Rustock.C, למרות כל התחכום הטכני שלה, סימנטק יש רק זיהה אותו בטבע כ 300 פעמים."על כל הספקטרום של תוכנות זדוניות, זוהי חתיכה קטנה מאוד והיא מוגבלת כיום", אמר הוגר. "אבל לא כולם מסכימים עם הממצאים של סימנטק. Thierry Zoller, מנהל אבטחת המוצר עם n.runs, טוען כי Rustock.C הופץ באופן נרחב באמצעות רשת העסקים הרוסית הידועה לשמצה, וכי זיהומים הם ככל הנראה בעשרות אלפים.

"Rootkits שימשו כדי להחזיק גישה לא יכול היה להתפשט באופן נרחב ", הוא אמר בראיון שנערך בהודעה מיידית." בסופו של דבר, פושעים יכולים להימנע משורשי שורשים מסיבה פשוטה מאוד: הם פשוט לא זקוק להם.

במקום להשתמש בטכניקות rootkit ערמומי, האקרים פיתחו במקום זאת טכניקות חדשות להקשות על ספקי אנטי וירוס כדי להבדיל בין התוכנה שלהם תוכניות לגיטימיות. לדוגמה, הם עושים אלפי גרסאות שונות של תוכנית זדונית אחת, מערבלים את הקוד בכל פעם, כך שמוצרי האנטי-וירוס מתקשים לראות אותו.

במחצית השנייה של 2007, למשל, סימנטק עקבה כמעט חצי מיליון סוגים חדשים של קוד זדוני, עלייה של 136 אחוזים מהמחצית הראשונה של השנה. מומחי אבטחה אומרים כי המצב הזה עוד יותר גרוע ב -2008. "הדברים שאנחנו נתקלים בהם לא כל כך מסובכים", אומר גרג הוגלונד, מנכ"ל HBGary, חברה שמוכרת תוכנות כדי לסייע ללקוחות להגיב על חדירת מחשבים. "רוב התוכנות הזדוניות שנמצאות שם היום … אפילו לא מנסים להסתיר". לדוגמה, אחד הלקוחות של HB Gari נפגע לאחרונה על ידי התקפה ממוקדת. הרעים ידעו בדיוק מה הם רוצים, ואחרי שפרצו לרשת, העבירו את המידע לפני שהצוות של תגובת האירוע יכול להגיע לשם, אמר הוגלונד. "היה ברור מאוד שהתוקפים ידעו שהם יסתלקו מהנתונים כל כך מהר שהם אפילו לא צריכים להסתתר."