"Лаборатория Касперского" опубликовала аналитическую статью "Буткит: вызов 2008", посвящённую одному из самых значительных инцидентов 2008 года в области компьютерной безопасности.
В ней показано, насколько изощрёнными становятся в последнее время действия создателей вредоносных программ. Кроме того, среди них самих в последнее разыгрываются настоящие сражения за возможность контроля над виртуальным пространством.
В статье представлен детальный анализ одного из последних инцидентов 2008 года, демонстрирующих опасность MalWare 2.0. История с буткитом показывает современные способы ведения войны между вирусописателями и антивирусными компаниями. Цель статьи - показать важность разработки и внедрения новых технологий информационной защиты.
Развитие MalWare 2.0 порождает ряд проблем для антивирусной индустрии. Одной из важнейших является проблема неспособности традиционных антивирусных решений, основанных исключительно на сигнатурном или эвристическом методах анализа файлов, надёжно противодействовать атакам MalWare 2.0, не говоря уже о неспособности таких решений лечить поражённые системы.
После создания буткит стал технологическим прорывом в индустрии вирусописательства, а теперь он, кроме всего прочего, оснащён мощными инструментами распространения и функционирования в составе ботнета. Буткит различными способами противодействует выявлению вредоносной программы на ранних стадиях заражения, стремится заразить максимальное число пользователей и препятствует выведению ботнета из строя.
Масштабы организации работы рассмотренного в статье буткита и технологические решения, применённые при его создании, поражают воображение: это низкоуровневое программирование; эксплуатация уязвимостей десятков сторонних программ; переходы из режима загрузки ОС в нулевое, третье кольцо и обратно; создание приложений на C++ для *nix-операционных систем; криптографические протоколы; протоколы авторизации ботов в системе и многое другое.
Для заражения компьютеров пользователей злоумышленники применили довольно необычный способ внедрения ссылок на интернет-сайты. Уже имеющиеся на сайте "честные" гиперссылки заменялись на "зловредные". Чтобы произошло заражение компьютера, пользователь должен не только открыть страницу взломанного сайта, но и нажать на подменённую ссылку. После нажатия на ссылку сервер обрабатывает входящий запрос и получает информацию о том, с какого сайта пришёл посетитель, каков его IP-адрес, какой у него браузер и какие плагины к браузеру установлены. На основании этой информации пользователю присваивается уникальный идентификатор (ID), который в дальнейшем хранится на сервере. После этого формируется эксплойт для конкретного посетителя, который при помощи уязвимого приложения начинает исполняться на машине жертвы. В ходе его работы на компьютер загружается троянская программа-дроппер, сформированная сервером с использованием уникального ключа сервера и идентификатора пользователя.
После загрузки в систему троянская программа-дроппер запускается при помощи уязвимого приложения, извлекает из себя программу-установщик буткита и передаёт ему уникальный ID пользователя. После этого установщик осуществляет изменения загрузочного сектора и размещает основное тело вредоносной программы в секторах жёсткого диска. Если все эти действия в системе успешно выполнились, дроппер даёт компьютеру команду на перезагрузку. Затем буткит перехватывает ряд системных функций и начинает полноценно работать в системе - скрывать своё присутствие и функционировать в качестве бота в составе зомби-сети.
После первого соединения с центром управления ботнетом заражённая машина получает зашифрованный пакет данных, который принимает и расшифровывает буткит. Внутри оказывается библиотека DLL, которая загружается буткитом в память компьютера и не существует в виде файла на диске. Таким образом, буткит способен обеспечить полную невидимость загруженной DLL как при анализе состояния системы традиционными способами, так и при проверке её подавляющим большинством антивирусных программ. DLL представляет собой модуль для кражи паролей и перехвата сетевого трафика пользователя.
Другим нестандартным решением злоумышленников стал мигрирующий центр управления ботнетом. Центр перемещался с сайта на сайт до 2-3 раз в течение одного дня. Подобные ботнеты очень трудно обнаружить, а обнаружив, вывести из строя. В любой момент злоумышленники могут перевести центр управления на любой из десятков или даже сотен заранее подготовленных доменов. Данная методика предназначена для борьбы как с конкурентами, которые могут попытаться "угнать" ботнет, так и с антивирусными компаниями и правоохранительными органами.
Ясно, что разработка системы заняла несколько месяцев, а её функционирование требует постоянной отладки и дополнительных затрат на приобретение или создание всё новых и новых эксплойтов, доменов, хостинговых площадок и т.д. Создание, планирование, реализация и поддержка такой структуры вряд ли могут осуществляться силами одного-двух человек. Очевидно, что речь идёт о нескольких группах киберпреступников, которые работают в тесном контакте друг с другом и отвечают каждая за свой участок работы.
История с буткитом отражает весь спектр основных угроз информационной безопасности пользователей. Все методы и технологии, рассмотренные в статье, в настоящее время активно используются в подавляющем большинстве вредоносных программ. Заражение через браузер, руткит-технологии, ботнеты, кража пользовательских данных, криптография, обфускация, противодействие антивирусным программам - всё, что раньше встречалось по отдельности, применяется в бутките.
Среди средств противодействия таким комплексным угрозам можно назвать веб-антивирус, фильтрацию трафика, поведенческие анализаторы, "песочницы", системы анализа сетевого трафика и межсетевые экраны. Одними из наиболее действенных способов защиты от подобных угроз являются технологии блокирования известных заражённых вредоносным кодом сайтов. Инцидент с ботнетом доказал, что современный антивирус должен обладать функционалом, позволяющим успешно бороться не только с руткитами, но и с такими их разновидностями, как буткиты.
Сергей ДМИТРИЕВ
Полную версию статьи "Буткит: вызов 2008" читайте на информационно-аналитическом портале Viruslist.com (www.viruslist.com/ru/analysis?pubid=204007635).
Горячие темы