Новаторские подходы хакеров — — «руткиты» rootkits

Если «троянцы», о которых говорилось выше, можно обнаружить с помощью системных утилит, то представителей этого класса можно вычислить, только используя специальные утилиты.

«Руткиты» представляют собой современный, несколько более продвинутый вариант «троянских коней». Следует отметить, что некоторые антивирусные компании не разделяют «руткиты» и «троянцы», относя их к одной категории зловредных программ. Однако «троян» прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster. A выдавал себя за приложение MSN Messenger), а вот «руткиты» используют для маскировки более продвинутые методы, забираясь в систему достаточно глубоко.

Термин «руткит» пришел из мира Unix. Изначально этим словом обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система — регистрировать. Обычно к таким инструментам относят программу-«сниф-фер», с помощью которой прослушивается сеть для возможного перехвата ценной информации (например, пароля), модифицированный набор основных системных программ, а также сценарии для очистки файлов журналов. Для дистанционного управления запускается нелегальный сервис удаленного доступа, открывающий сетевой порт, который «не замечают» модифицированные системные утилиты. При этом для сохранения максимальной приближенности к оригинальному файлу такие утилиты имитируют дату его создания и размер. Все программы подобной направленности были объединены в набор программ под названием Root Kits. Отсюда, собственно, и произошло слово «руткит».

Долгое время «руткиты» были привилегией Unix-систем, но, как известно, хорошие идеи обычно просто так не пропадают, и в конце XX века стали массово появляться «руткиты», предназначенные для Microsoft Windows. Интересно, что о «руткитах» заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества «руткитов» — вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники, «руткиты» станут массово применяться и в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала «руткит», обнаружить который невозможно. Вполне вероятно, мы встретимся с этим изобретением в новых версиях Windows.

Но обычному пользователю от этого не легче. Кроме того, технология «руткитов» потенциально может быть использована для создания нового поколения программ-шпионов и «червей», и обнаружить такое приложение после его проникновения на компьютер практически невозможно. Однако и это, видимо, еще не самое плохое… Так, в январе 2006 года Джон Хесман, сотрудник компании Next-Generation Security Software, заявил о том, что набор функций по управлению электропитанием компьютера (так называемый ACPI — Advanced Configuration and Power Interface) позволяет создавать программы, реализующие «руткиты», которые могут храниться во flash-памяти BIOS. Прототип такого приложения уже создан, и использование flash BIOS, без сомнения, еще больше затруднит его обнаружение.

Практически все современные версии «руткитов» могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования всех «руткитов» лежит модификация данных и кода программы в памяти операционной системы.

В зависимости от того, с какой областью памяти работают «руткиты», их можно разделить на следующие виды:

• *.системы, работающие на уровне ядра (Kernel Level, или KLT);
• *.системы, функционирующие на пользовательском уровне (User Level).

Первый известный «руткит» для системы Windows, NT Rootkit, был написан : — 1999 году экспертом в области безопасности Грегом Хоглундом (Greg Hoglund); в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, а также использовал и другие способы маскировки.

Самым известным на сегодняшний день «руткитом» является Hacker Defender. Эта программа работает в режиме пользователя и маскируется исключительно за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению. То есть любое приложение, работающее в сети, может быть использовано для взаимодействия с взломщиком. Кроме того, «руткит» умеет скрывать файлы и процессы, записи в реестре и открытые порты, а также может неправильно показывать количество свободного места на днске. Он прописывается в автозагрузку, оставляя для себя «черный вход», и «прослушивает» все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который и укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Кроме того, он полиморфен: для шифрования исполняемых файлов «руткита» обычно используется утилита Morphine (Все современные версии «руткитов» могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения. Одним из наиболее опасных «руткитов» является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно).

Если вы обнаружили «руткит», это еще не значит, что вы сможете просто избавиться от него. Для защиты от уничтожения пользователем или антивирусом в «руткитах» применяется несколько технологий, которые, кстати, уже начинают встречаться и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй немедленно восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливается.

Кроме того, популярен метод блокировки доступа к файлу. При этом файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы вроде MoveOnBoot, то, скорее всего, либо запись об этой операции будет через некоторое время удалена, либо файл будет переименован.

Любопытный способ защиты использует «червь» Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку — замаскированный процесс, невидимый на вкладке Процессы в окне Диспетчера задач. Любое приложение, которое попытается обратиться к этому процессу, тут же уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят все эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации. Поэтому единственный действительно надежный способ уничтожить такую программу — отформатировать жесткий диск и заново установить операционную систему.

С сожалением отмечу, что существующие сегодня специализированные программы, предназначенные для обнаружения «руткитов», и традиционные антивирусы не дают 100%-й гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации «руткитов» или включить часть кода в любую шпионскую программу. Однако основное «умение» «руткитов» — прочно закрепиться в системе, а не только проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.