Ребятам о руткитах.

Previous Entry Поделиться Next Entry
16 ноября, 2011
e_kaspersky
// Или занимательная компьютерная проктология.

Честно говоря, публиковать этот пост – в этом есть некий риск. Не исключаю, что далеко не все читатели моего блога действительно настолько технически любопытны, чтобы интересоваться «руткитами» -  техническими подробностями компьютерного зловредства и анти-зловредства. Ведь не всех интригует тема глубины кроличьей норы – большинство интересуется только вкусом и ценой крольчатины. Но – иду на риск и предлагаю две таблетки. Красную и синюю (как было у Нео). // кстати, где-то был интересный вопрос – а что бы произошло, если бы Нео слопал обе таблетки? :)

Итак – таблетка красная.

Тема интересная, но о ней в прессе почти как о покойнике – или ничего или леденящие душу, не имеющие ничего общего с реальностью страшилки. Ну, есть и много чисто технических публикаций, но широкой аудитории от этого проблема никак не становится понятнее.

А проблема есть.

Увы, большинство антивирусов откровенно задвигают на защиту от руткитов. А способность бороться с ними, во-первых, свидетельствует о технологической продвинутости и вообще антималварной экспертизе разработчика. Как следствие – на реальный уровень доверия, который этот разработчик заслуживает. А во-вторых, это прямо влияет на среднюю температуру по больнице и разгул кибер-негодяев в глобальном масштабе. Половина ботнетов используют руткит-технологии и умение антивирусов выводить эту заразу – лучшая защита от сетевого криминала.

Обо всём этом ниже и по порядку.

Начнём с азов. Что такое руткит?

Немного юниксовой археологии. Изначально термином «руткит» называли скрытые «закладки» в код стандартных юниксовых (линусковых) утилей – благо исходный код юни/лину-ксов открыт, втыкай что ни попадя. Главной задачей этих закладок было дождаться коннекта от удалённого «хозяина» и дать ему полный доступ к ресурсам системы (сделать хозяина «рутом» - потому и «руткит»). Т.е. умельцы-самоделкины, компиляющие систему сами из непроверенных источников, самостоятельно ставили себе «троянcкую закладку», которая позволяла неведомым хакерам из немеряных пространств Инета получать контроль над системой и рулить по своему усмотрению.

Достаточно популярный был термин, который был скопи-пиз.. пастен любителями «громких названий» для обозначения Виндовых зловредностей. Так *-никс термин давно забыт, используется теперь везде в приложении ко всему, что «прячется в системе».

Итак, «руткит» в современном понимании – это вовсе не страшный-престрашный вредонос, как можно прочитать в популярных статьях. Руткит  в современном понимании – это просто технология сокрытия присутствия софта в системе. Инструментов тому много – перехват системных функций, изменение прав доступа, залочивание файлов, манипуляции с объектами ядра и много другого. И вредоносность этой технологии прямо зависит от фантазии автора. Вроде кухонного ножа – смотря как его использовать. Он может оказаться и полезной домашней утварью, а может быть и опасным холодным оружием в бытовых разборках. Например, руткиты используются в системах защиты от пиратства и эмуляторах разных устройств.

Но так повелось, что широкой публике эта технология больше известна с ярлыком плохиша. Много марвари (причём самой сложной и опасной) действительно использует руткиты, чтобы скрывать себя как от пользователя, так и от защитного ПО. Например, Stuxnet, TDSS, Sinowal и Rustock. Список очень длинный.

Историю, классификацию и прочие технические подробности по руткитам смотрите в Википедии. Также рекомендую вот эту обзорную статью по эволюции технологии. А я пойду дальше.

Руткиты – реально очень сложная технология. Некоторые из них научились обходить даже такие навороченные системы защиты как Patch Guard и цифровую подпись для драйверов. Я не сомневаюсь, что у кибер-негодяев такие спецы на вес золота. Да и сразу видно, что мало кто может себе позволить – например, у шикарно распиаренного McAfee Shady RAT (за которым, якобы, стояло некое правительство) этого не было.

Разумеется, и бороться с руткитами не так-то уж просто. С точки зрения интеграции в операционную систему и способности контролировать внутренние процессы руткиты равнозначны антивирусам. Как следствие – удаление руткита, а в частности лечение зараженного компьютера – задача нетривиальная. Но равные права нужно понимать буквально – у каждого также одинаковые возможности. И вот тут начинается реальный поединок мозгов и экспертизы.

Противостояние идёт по трём направлениям –  детект  модулей руткита (недопущение заражения), самозащита (чтобы руткит не вынес антивирус из памяти) и нападение (использование недостатков руткита для его нейтрализации и удаления).




Самое неприятное, что сейчас большинство антивирусов в борьбе с руткитами ограничиваются только детектом. Тупо вносят в базу данных хэши файлов-компонентов, тем самым позволяя детектировать руткит только в неактивном состоянии. В лучшем случае выпустят stand-alone утилиту для лечения (как в последней версии Нортона).

Оно и понятно: задетектить сигнатурой или того хуже - cтырить детект у соседа через мультисканер большого ума не надо. А вот проанализировать сложный код, подкрутить эвристику, сделать дженерик детект на всё семейство, перехватывать вредоносные скрипты, закрывать уязвимости в стороннем софте, разработать нормальную лечилку – для этого нужны и мозги и экспертиза. В результате и защита получается – решето. Немного подправили процесс – руткит уже не детектится. А о лечении активного заражения вообще речи не идёт.

Недавно на anti-malware.ru вышел свежий тест на способности разных продуктов лечить активное заражение руткитами. Ну, во-первых, просто приятно + респект нашему AMR (Anti-Malware Research). Так держать, очень горжусь как результатом, так и прогрессом по сравнению с прошлым годом. Во-вторых, из этой таблички очень просто понять, кто реально занимается исследованиями, а кто ориентируется на разные нерелевантные горе-тесты. В-третьих – это повод в нескольких словах рассказать про наши анти-руткит технологии.

У нас есть две собственные разработки против руткитов. Первая, QScan – такая универсальная таблетка против руткитов. Вторая, MARK – заточена под конкретные руткиты и их методики маскировки. Если QScan не справляется с чем-то, на помощь приходит MARK, проводит сложные хирургические мероприятия в памяти и передаёт «пациента» обратно QScan’у. У обеих технологий куча особенностей и хитростей. Например, QScan умело обходит руткитовые перехватчики – он разбирает файлы системного реестра и посекторно собирает файлы для сканирования. Дальше не буду углубляться – слишком сложно, да и тут много ноу-хау, которые ждут своей очереди в патентных бюро разных стран. Главное – налицо результат – наши продукты впереди всех по защите от руткитов!

Вот. А MARK мы сделали ещё в 2008 году. QScan появился годом позже. С тех пор постоянно их развиваем. Обе технологии - часть нашего антивирусного движка и присутствуют в коммерческих (консьюмерских и корпоративных) продуктах и бесплатных утилитах (например, наша Virus Removal Tool).



Я думаю, что чем дальше, тем руткиты будут становиться сложнее. И тем шире будет их применение. Уже сейчас старенький руткит можно запросто купить на чёрном рынке за пару сотен долларов и прикрутить к своей малвари. Да и сама технология тоже не стоит на месте -эволюционирует вместе с операционной системой! Руткиты начали поддерживать x64 (а мы что? Мы тоже их там ловим!), даже несмотря на то, что в x64 ОС усилили защиту от различных перехватов/модификаций системы. Плюс кибер-негодяи вовсю используют буткиты, а на повестке дня уже стоят биоскиты.

Имхо, забивать на это направление малвари как это делает большинство антивирусных компаний – неправильно, недальновидно и вообще неуважительно по отношению к пользователям. У них создаётся ложное чувство защищённости – какой-нибудь троян может нормально себе жить-поживать на компьютере под защитой такого антивируса и «тырить всё»! И кому это надо?? Ясно кому!

В общем, смотрите, что себе ставите на компьютер. И не забывайте про сыр и мышеловки.



А синяя таблетка уже и не нужна – всё равно же ничего не помните! :)
Метки: ,
Previous Entry Поделиться Next Entry

Пользователь другого АВ. :)

evik5v

2011-11-18 16:35 (UTC)

http://www.imageup.ru/img180/snimok678334782.png.html
Эти парни на АМ как минимум ВАМ подсуживают, откуда у Вас 100% когда я могу найти кучу проблемной для Вас малварки.
:)

http://www.youtube.com/user/nodikess

1. Во первых я думаю что ЛК плохо разбираются в продукции конкурентов, и мало чего не понимают в развитии IT технологий. Будущие покажет кто улетней.
;)
2. Во вторых, я могу протестировать с ещё большем "успехом" KIS 2012. :)
3. В третьих, мне не кажутся технологии ЛК чем-то продвинутым, если сравнивать, то почти по всем позициям они мне кажутся очень отсталыми.
:)

Re: Пользователь другого АВ. :)

e_kaspersky

2011-11-29 21:53 (UTC)

Тролль забрёл? :)
Тролли - я вас не боюсь! Особенно когда голоден!

Почему я считаю, что это тролль:
1. Выдано четыре говно-утверждения по поводу моей компании и продуктов,
2. Ни приведено ни единого факта, только "я думаю", "я могу", "мне кажутся".
3. Надо бы вообще посмотреть на этого "другого пользователя" внимательнее - но лень.

// у Российского Есета опять бюджет на соц-сети и форумы появился? :)

У меня дома 3 мака и ни одного руткита. Что я делаю не так?
Вообще, под мак возможно написать вирусы, но гораздо сложнее, ввиду технологической особенности операционной системы. Ну не мне Вам рассказывать.
Я реально забыл о всяких малварах и антивирусах с переходом на мак, чего всем желаю.

Если все переползут на Мак, то туда же переползут и все кибер-мерзавцы со всеми зловредами. А уцелевшие пользователи Винды будут гордо утверждать, что на Виндовз больше вирусов-троянов нет!.. Ну сколько можно...

Я пробовал этот самый Мак - читайте по тэгу. Если бы мне нужен был бы только Веб для новостей, ЖЖ и чатов, а также минимальная почта - я бы на Маке и остался. Но мне еще и работать иногда надо...

Евгений, в Вас говорит коммерсант, но не программист. Печально, что коммерция побеждает все человеческое.

По поводу работы на мак - ересь полная. Ну сколько можно...

p.s. Я работаю на маке в Автокаде. Делаю проекты для ТВ студий.

Может сначала почитать что и в каких условиях не идет? а потом делать выводы ))))

Да читал я этот троллинг. Комментарии людей говорят о многом.

Главная причина, почему Евгению не нравится Мак, в том, что потенциально он отбирает хлеб с маслушкой у коммерсанта. Делать там нечего антивирусам. Эвристическим, мегаалгоритмическим. Все очень просто.

Читать и понять - все таки часто не совпадающее понятие ;)
Вы может представить что есть много людей которым Мак не подходит?

Конечно, могу. Разработчикам антивирусного ПО он абсолютно точно не подходит.

И все?
Автокад это не единственная прикладная задача ;)
И.... Софт подбирается (в т.ч. и операционка) под выполняемые задачи

Кстати антивирусы под Мак не выпустил только ленивый

Выпустить то выпустили. Покупают ли? ))

18го ноября запустили наш АВ для Мак в App Mac Store (США, частично в Европе). Вот что сообщают с проекта: "За сутки продаж продукт попал в «App Store Top 100 utilities» во всех странах, где был запуск. Во Франции вообще на первом месте в данной категории. Во всех странах обогнали по популярности главного конкурента – Intego Virus Barrier Plus".

И вообще-то, юноша, с Вами дискутировать становится как-то неинтересно - Вы несёте какую-то исключительную ахинею.

1. Мне в первую очередь нужен нормальный полноценный Офис, нормально работающий и в оффлайн тоже. Офис на Маке я смог использовать только в онлайне. Я задолбался таскать с собой два ноута - Мак для работы в сети и PC (тогда был Вайо) для работы в самолётах (в которых я провожу 400-500 часов в год).

2. Меня обозвали коммерсантом... Ну, тогда Вы - религиозный мак-фанатик, компенсирующий свои комплексы причастностью к секте.

Ну чем Мак лучше, чем, например, Lenovo ThinkPad? Ну чем? Я пока обраружил два недостатка Леново.
а) цена. Он вроде бы дороже.
б) клавиши не подсвечиваются.

Всё! Мммм.. Нет, не всё. Один мой знакомый маковод поделился со мной Великой Тайной. Оказывается, что самое вайжное - Мак греется меньше. С Маком на коленках гораздо комфортнее ползать по Инету сидя в сортире. Да, аргумент, не спорю - и, наверное, для многих.

1. Я использую офис оффлайн. Еще раз перечитаю, почему Вы не смогли им пользоваться нормально.

2. Коммерсант - это обидное? Ну что есть, то есть. Parallels я уважаю как разработчиков, так и коммерсантов. Вы же в последнее время погрязли в маркетинге и пускаете пыль в глаза ддя увеличения продаж. ПРОДАЖИ ПРОДАЖИ ПРОДАЖИ - УРА!!!

Lenovo? Смотря какая модель. Главное отличие thinkpad и mac - операционная система. Это самый главный недостаток. А еще экран, камера, тачпад. Ох, какой у macbook air тачпад! Fu*in' awesome!

Греется Мак возможно и сильнее - это не аргумент.

Выбирать мак из-за опрационки и сидеть в параллелях - это конечно да, сильно.

Клоун, где я написал, что сижу в параллелях? Уважать и сидеть - это разные вещи.

Забыл еще одну вещь указать...
Какой процент web серверов в интернете работают на *NIX системах? Достаточно популярная платформа, не правда ли? Но что-то я не вижу конца света и сайты работают.

Ну, главная причина, наверное, банальна. Доля инсталляций Nix-систем (десктопы и сервера) еще меньше, чем доля Мака. Ага? И онлайн-банкингом там никто не пользуется. И в онлайн-игры не играют. И тп. Ничего интересного для кибер-криминала.

Посему заражения Nix-сисем - это истории уникальные и единичные. Зато весьма профессиональные...

Доля nix серверов меньше, чем доля Мака? То есть все в сети работает на Windows сервер? ))

Да полно интереса для преступников. Потырить карты из базы покупателей, личные данны... да полно там всего...

Я онлайн-банкингом (Альфабанк) пользуюсь на Маке через Safari. Вертел я на х... как трояны так и никчемные антивирусы для мака.

Евгений, насколько коммерчески привлекателен Ваш продукт под Мак? Вы же знаете статистику. Наверное платиновые продажи? ))

Будем надеятся что на фишинг вы не нарветесь

Действительно, особенно когда подтверждение приходит по СМС.
Еще я использую виртуальные карты (альфабанк дает такую возможность) для покупки в интернет. И антивирус тут не помогает совсем. Тут другие правила игры.



Антивирус может помочь, если о знает что ссылка фишинговая
В моем банке СМС приходит после транкзанции, что денежка тю-тю - доставлена получателю ;)

В моем банке для того, чтобы прошла оплата, нужно ввести код из СМС.
Меняйте банк. А вообще, спор бесполезен. На Виндовс машинах я использую Dr web - быстрее, приятнее.
Удачи Вам во всем!

?

Log in

No account? Create an account