Idén is számíthatunk a rejtőzködő kártevőkre

Amit a rootkit-ekről tudni kell

Mi az a rootkit? Olyan kártékony szoftver, amelynek célja korlátlan, illetéktelen és rejtett hozzáférés megszerzése a számítógép erőforrásaihoz. A rootkit megkerüli például az operációs rendszerben található ACL adathozzáférés-jogosultsági listákat, és nem elégszik meg a bejelentkezett felhasználó nevében elérhető futtatási lehetőségekkel sem - azok a modern operációs rendszereknél többnyire csak korlátozott hatáskört nyújtanak.

Twitter megosztás
Cikk nyomtatása
A kártékony kód gépbe juttatásához a hackerek gyakran emberi hibát vagy hiszékenységet kihasználó trükköket alkalmaznak (úgynevezett social engineering). A bejutatott rootkit-nek az operációs rendszer alatti szinten történő aktivizálódásához esetleg már a szoftver-biztonsági rések, különösen a "nulladik napi" sebezhetőségek kihasználásához is érteniük kell a támadóknak.
A bejutott rootkit lételeme a rejtőzködés. Az elindított kártevő igyekszik észrevétlen maradni a felhasználó és a biztonsági eszközök előtt. A vírusírók ügyelnek arra, hogy a rootkit hatására az éppen futó programok (alkalmazások, operációs rendszer) viselkedése ne változzon meg feltűnő vagy nyilvánvalóan leleplező módon. Ha ez nem megoldható, akkor a rootkit aktívan hazudik: az álcázás fenntartása érdekében hamis adatokat továbbít a többi szoftver és a felhasználó felé.
A rootkit végső célja a kártékony kiber-tevékenység támogatása, például a billentyű-leütések naplózása vagy a hálózati kapacitás illetéktelen felhasználása adatok kiszivárogtatására, spamküldésre. Ezeket a feladatokat általában külön modul, úgynevezett "payload" formájában készítik el a vírusírók, és a rootkit segítségével juttatják célba. Aktivizálódásuk után gyakran további ártó kódok töltődnek le az áldozat számítógépére.
 
Észrevétlenül ártani nem könnyű
 
Szerencsére nem minden kártevő rootkit. Leginkább a rejtőzéssel ponttal kapcsolatos problémák a felelősek azért, hogy alkalmazásuk eddig nem vált általánossá a kiber-bűnözésben. Ilyen kártevőt írni komoly szakértelmet igényel, mert a legegyszerűbb kivitelben is legalább három trükköt be kell vetni az észlelés elkerülése érdekében:
  • A futó rootkit nem látszódhat a feladat-kezelő folyamat-listájában;
  • A rootkit fájljai nem látszódhatnak a lemezmeghajtó fájl-listájában, és az általuk elfoglalt hely nem hiányozhat a tárterület kiszámításakor;
  • A rootkit-et indító kulcs-paraméterek nem látszódhatnak a Windows Registry-szerkesztőjében.
 
Az ilyen trükkökhöz szükséges API-manipulációk nem túl stabilak, mivel a Microsoft havonta ad ki biztonsági javításokat a Windows-hoz, amelyekkel a tisztességes programok számára többnyire semleges, a kártevőket viszont néha padlóra küldő változtatásokat vezet be a rendszerben. A TDSS (TidServ) rootkit 2010 februárjában lefagyást okozva ütközött a friss MS10-015 foltozófájllal, így sok felhasználó a Microsoft hibaüzenet-tudásbázis portálján értesült arról, hogy a gépén rejtőzködő kártevő található.
Sok olyan felhasználó is van, aki nem foltozza az operációs rendszert, mert illegális vagy túl régi Windows-verziót futtat. A rootkit-készítők velük sem mindig járnak jobban: az embargó alatt álló Iránban például még sok régi gép üzemel, régi Windows-zal. A dollármilliókért kifejlesztett Stuxnet hadiféreg rootkit-meghajtója nem győzte kivárni az operációs rendszer betöltődését a lassú gépeken, és lefagyást okozott - leleplező bizonyítékot nyújtva az ügyben vizsgálódó belorusz víruskutatóknak.
 
Járatlan úton haladnak
 
Előfordul, hogy a rejtőzködő kártevők programozói kilépnek az operációs rendszer határain túlra. Megpróbálkoznak a merevlemezt kezelő eszköz-meghajtó program (például atapi.sys) "felturbózásával", hogy az képes legyen írni-olvasni a fájlrendszeren kívüli üres területeket, amelyeket nem mindegyik védelem ellenőriz, így ideálisak a veszélyes kódok tárolására.
Mivel számos PC-konfiguráció van forgalomban, a támadóknak alaposan utána kell nézniük, hogy milyen hardver-függő kódot támadjanak, és tesztelniük kell a kompatibilitás (mellékhatás- és lefagyás-mentesség) igazolása érdekében. El lehet látni az úgynevezett MBR rendszertöltő felületet is ártó kóddal - csak nehogy például egy másik operációs rendszert telepítsen a felhasználó a meglévő mellé, mert ekkor felülíródhat a rootkit-et még a Windows beindulása előtt aktivizáló kódrészlet és utasítás.
A legradikálisabb lépést a külső álcázás, a meggyőzően ártalmatlan hamis azonosság felvétele jelenti, amely a Stuxnet esetén például a kártékony fájlok érvényes, de nem törvényes úton szerzett digitális aláírással való hitelesítésében nyilvánult meg. Ez az eljárás komoly sérülést okozott a kulcslopás áldozatául esett elektronikai gyártó cégeknek, és hozzájárult a netes tanúsító infrastruktúrába vetett bizalom megingásához. Az alkalmazásukkal kapcsolatos különféle nehézségek ellenére a rootkit-ek természetesen létező, komoly veszélyt jelentenek, és nem kis számban fertőznek meg számítógépeket. Éppen ezért termékeik kifejlesztésekor az info-biztonsági cégek is számba vették, hogy milyen eszközökkel lehet védekezni a rejtőzködő kártevők ellen.
 
Megelőző jellegű felismerés:
  • A rootkit még nem aktivizálódott állapotában való felismerése;
  • A hálózaton vagy adathordozón átvitt ártó fájlok elfogását célozza, eszközei;
  • A webes átjárók és levelező-szerverek tartalomszűrő vírusvédelme;
  • A helyi gépen futó levelezés- és webböngészés-védelem;
  • A helyi gépen folyamatosan futó, valós idejű víruskeresés, mind a beépített tárolókra, mind a cserélhető perifériákra másolt fájlok tekintetében;
  • A helyi gépen futó behatolás-védelem (HIPS) modul, a hálózati felhőn alapuló fájl-reputáció vizsgálattal kiegészítve.
 
Észlelési tevékenység, riasztás:
  • HIPS, avagy a helyi gépen futó behatolás-védelem, amely a programok viselkedését figyelő és korlátozó funkcióval felszerelve észlelheti, ahogyan a rootkit megpróbál "horgonyt vetni" a gépben, és ebből a célból illetéktelenül módosítja a rendszer-folyamatokat.
  • Hagyományos vírusvizsgálat végezhető olyan különleges eszköz-meghajtókon keresztül, amelyek a fájl- és registry-tartalom kiolvasásakor nem hagyatkoznak a rootkit által esetleg félrevezetett Windows API-kra. Így megláthatják a már aktívan rejtőzködő kártevőt is. (Ekkor azonban fennáll a veszély, hogy a technikai trükk miatt a védelem maga is gyanússá válik például egy másik biztonsági szoftver szemében.)
  • A Windows rendszermag, avagy kernel teljes memória-képének fájllá formálása és hagyományos vírusvizsgálata. Ez speciális technológiát igényel.
  • A rejtőzködő rootkit-ek felismerése egyedi, Windows alatt futó vagy indítólemezről (Boot CD-ről) működő segédprogrammal is történhet. Előnyösebb, ha a fertőzött gépen kétség merül fel a már telepített vírusvédelem működőképességét illetően.
  • Az IPS/IDS eszközök alkalmazása és az emberi szemmel végzett napló-ellenőrzések fontosak a rootkit által végzett jogosulatlan hálózati forgalmazás (kártevő-letöltési, frissítési események, adatlopással kapcsolatos "hazatelefonálás") felismerése érdekében. A Duqu kémeszköz például egy csillagászati felvételhez kapcsolva juttatta ki Iránból a hírszerzőknek szánt adatokat.
 
Mentesítési tevékenység
 
A rootkit-incidensek megoldása során nem mindig van lehetőség a maximális biztonságot szavatoló teljes törlés és újratelepítés kivitelezésére. Ha azonban egy nagyon értékes adatokkal, jelszavakkal dolgozó gép lett a fejlett fertőzés áldozata, ne sajnáljuk az időt erre a fontos feladatra, hiszen 100 százalékos biztonságot csak az újratelepítéssel kaphatunk.
Amennyiben mégis mentesítésre van szükség, az önálló rootkit-érzékelő segédprogramok képesek lehetnek leállítani a rejtőzködő folyamatokat, de ez esetben a szokásosnál nagyobb a téves detektálás veszélye. Ilyenkor hasznos, ha az egyedi irtó-eszköz rendelkezik Felhő-alapú reputációs lekérdező képességgel, amellyel a hálózaton át azonnal korrigálhatja az esetleges téves felismerést - de egyébként is érdemes szakemberre bízni a mentesítést.
Rootkit-megtisztítás terén az infobiztonsági képességek még javíthatók. A célzott mentesítésre, például kifejezetten a TDSS, a Cidox vagy a Zero-Access fenyegetés-családok ellen felkészített segédprogramok működése megfelelő. Az általános anti-rootkit eszközök még további fejlesztésre szorulnak a modern rejtőzködő kártevők jobb észlelése és a pontosabb ítélkezés érdekében, ezért az idei év első harmadában több antivírus gyártótól is várhatunk újításokat.