Ερευνητές της Microsoft προειδοποιούν για μια απειλή η οποία και θα φέρει μεγάλες αλλαγές στην θεώρηση που είχαμε ως τώρα για το τι εστί ασφάλεια στα Windows. Τα Rootkits για Windows ειναι γεγονός.
Η συνάντηση που είχαν στο San Francisco στο πλαίσιο του RSA Security Conference, ήταν αποκαλυπτική. Οι δηλώσεις έγιναν κυρίως από την ομάδα εργασίας για την ασφάλεια της Microsoft και πιο συγκεκριμένα οι Mike Danseglio και Kurt Dillard.
Με ονόματα όπως “Hacker Defender,” “FU” και “Vanquish,” τα εν λόγω προγράμματα ενσωματώνονται πλήρως στο λειτουργικό σύστημα και μάλιστα στο ίδιο το Kernel. Με ιδιαίτερες μεθόδους, αποκρύπτουν την παρουσία τους ολοκληρωτικά από τις διεργασίες του συστήματος (processes), όπως επίσης και από κάθε άλλο σημείο που θα μπορούσε να ελέγξει κανείς ψάχνοντας για την παρουσία τους, όπως registry, network monitoring, outbound connections κλπ.
Επιτρέπουν την παρακολούθηση του Η/Υ στόχου εξ αποστάσεως όπως τα Trojans. Βέβαια δεν περιορίζονται σε αυτό, εφόσον εγκατασταθούν σε ένα σύστημα μπορούν να πραγματοποιήσουν οποιαδήποτε κακόβουλη ενέργεια με δικαιώματα λογαριασμού SYSTEM καθώς πρόκειται για ενσωματωμένες διεργασίες σε βασικές διεργασίες του συστήματος.
Για να συνδέονται με τον έξω κόσμο δεν χρησιμοποιούν κάποιες ειδικές ports αλλά κάποιες ήδη χρησιμοποιούμενες από τα ίδια τα Windows όπως η port 135. Αυτό το κάνουν με τέτοιο τρόπο που να μην παρενοχλούν την οποιαδήποτε νόμιμη διεργασία χρησιμοποιεί την ίδια port. Με αυτό τον τρόπο, δεν γίνονται αντιληπτά ούτε μέσω παρακολούθησης της outbound κίνησης.
Πολύ εξελιγμένες περιπτώσεις root kits, κρυπτογραφούν την επικοινωνία τους με το internet ώστε ακόμη και αν χρησιμοποιήσουμε packet sniffers δεν θα μπορέσουμε να αντιληφθούμε τι δεδομένα διακινούνται και εάν αυτά είναι φυσιολογικά ή επικοινωνία ενός root kit.
Οι αναλυτές της Microsoft δημιουργούν ένα εργαλείο-ομάδα εργασίας με όνομα Strider http://research.microsoft.com/sm/strider/#goal η οποία και ασχολείται επισταμενα με το θέμα και υποστηρίζει πως μπορεί να εντοπίζει ενσωματωμένα root kits.
Για τον εντοπισμό παραποίησης βασικών αρχείων συστήματος, πρέπει να χρησιμοποιήσουμε bootable CD όπως τα Windows PE και να προβούμε σε σύγκριση ενός καθαρού συστήματος με ένα άλλο σύστημα ώστε να εντοπίσουμε τις διαφορές στα ίδια τα αρχεία. Κάτι τέτοιο μπορεί να γίνει και με το ERD Commander.
Πάντως, σύμφωνα με τον Mike Danseglio της Microsoft, ο μόνος τρόπος καθαρισμού ενός συστήματος μολυσμένου με root kit είναι το Format!!
Από τα παραπάνω γίνεται βέβαια κατανοητό πως τα εν λόγω προγράμματα δεν μπορούν αλλά και δεν θα μπορούν να εντοπίζονται από antivirus, firewalls και λοιπά εργαλεία.
Πηγή:
http://www.computerworld.com/securitytopics/security/story/0,10801,99843,00.html
