Zagrożenia internetowe III kw. 2010

Przeczytaj także: Zagrożenia internetowe II kw. 2010

Jak już wspominaliśmy, certyfikaty cyfrowe są wykorzystywane przez większość dużych firm rozwijających oprogramowanie. Informacje niezbędne do stworzenia podpisu cyfrowego są przechowywane na podłączonych do Internetu komputerach producentów. W zeszłym roku mogliśmy obserwować skutki zainfekowania stacji roboczych programistów wirusem koncepcyjnym Virus.Win32.Induc, który został zintegrowany z programami na wczesnych etapach łączenia i kompilacji kodu. W tym samym dniu, w którym narzędzia antywirusowe wykryły tego wirusa, wykryto również setki legalnych programów. Jeżeli chodzi o certyfikaty, sytuacja jest jeszcze gorsza. Zamknięty klucz jest w zasadzie plikiem, dlatego może zostać skradziony, tak jak każda własność wirtualna. Wykryte komponenty Stuxneta zostały podpisane przy użyciu certyfikatów firmy Realtec Semiconductors oraz JMicron. Nie wiadomo, w jaki sposób zamknięty klucz wpadł w ręce cyberprzestępców – można było tego dokonać na kilka sposobów. Cyberprzestępcy mogli kupić takie pliki od osób pracujących w tych firmach lub ukraść je przy użyciu backdoora lub podobnego szkodliwego programu. Obecnie kradzież certyfikatów jest jednym z kluczowych funkcji bardzo rozpowszechnionego trojana o nazwie Zbot (lub ZeuS).

Legalne podpisy to jeden z powodów, dla których programy antywirusowe tak długo nie potrafiły wykryć Stuxneta. Szkodliwe oprogramowanie podpisane ważnym certyfikatem może z łatwością obejść nawet współczesne mechanizmy ochrony wbudowane w system Windows 7. Dlatego jeżeli w systemie został zainstalowany podpisany szkodliwy sterownik lub komponent ActiveX, nie pojawi się żadne okno ostrzegające. Rosnąca popularność systemu Windows 7, który według statystyk Net Applications posiada około 16% udział w rynku, oraz stopniowy spadek popularności systemu Windows XP, powiększą problemy z certyfikatami cyfrowymi. Patrząc na obecne trendy, może to być jeden z największych problemów, jakie czekają nas w 2011 roku.

TDSS – nowy etap w ewolucji. Teraz również w systemach 64-bitowych

Nie można zapominać, że oprócz omówionych wyżej istnieją również inne sposoby obejścia zintegrowanych systemów ochrony. Poza metodami ochrony, o których już pisaliśmy, nowe wersje systemu Windows posiadają mechanizm ochrony przed instalowaniem niepodpisanych sterowników. Jednak twórcy Stuxneta zdołali obejść również ten system, uzyskując zamknięte klucze znanych firm oraz podpisując wszystkie komponenty rootkita. Twórcy wirusa, którzy stworzyli kod dla trojana TDSS, który nasi eksperci opisali w drugim kwartale tego roku, przyjęli inną taktykę.

W sierpniu wykryto nową wersję tego szkodliwego programu, która uzyskała nazwę TDL-4. Najbardziej interesującą innowacją jest to, że rootkit wykorzystywany do ukrywania szkodliwych działań trojana może z powodzeniem działać również na systemach 64-bitowych. Wcześniejsza wersja, TDL-3, infekowała fizyczne sterowniki dysków, co pozwalało na pobranie rootkita natychmiast po uruchomieniu systemu operacyjnego. Jednak infekowanie sterowników przy użyciu takiej metody powoduje zmianę sumy hashowania, przez co podpis cyfrowy nie pasuje już do pliku, co jest wykrywane przez narzędzie bezpieczeństwa osadzone w 64-bitowych wersjach systemu Windows.

Aby obejść ten mechanizm, nowa wersja trojana TDSS infekuje obszar MBR przy użyciu technologii podobnej do tej wykorzystywanej przez bootkita Sinowal. W tym przypadku, szkodliwy kod zaczyna wykonywać się, zanim jeszcze zostanie uruchomiony system operacyjny. Potrafi on zmienić parametry uruchamiania systemu, umożliwiając zarejestrowanie w systemie niepodpisanych sterowników. Program ładujący rootkita określa, w jakim systemie, 32- czy 64-bitowym, będzie działał szkodliwy program, zapisuje kod sterownika do pamięci i rejestruje go w systemie. Następnie system operacyjny zawierający szkodliwy kod zostaje uruchomiony. Rootkit nie modyfikuje obszarów rdzenia, które są chronione technologią PatchGuard zintegrowaną z systemem operacyjnym.

Nasze przewidywania okazały się słuszne – technologia infekcji i ukrywania stała się jeszcze bardziej zaawansowana, co z kolei wymagało dostosowania technologii wykrywania i leczenia dla takiego szkodliwego programu. Jeżeli szkodliwe programy i rozwiązania antywirusowe nadal będą konkurowały ze sobą na coraz to niższych poziomach systemu, istnieje duże prawdopodobieństwo, że nawet najśmielsze koncepcje infekowania BIOSu oraz hypervisorów będą wkrótce na porządku dziennym.

Zwalczanie nowych i wyrafinowanych szkodliwych programów to ciężkie zadanie dla firm antywirusowych wszystkich rozmiarów, dlatego oprócz głównej linii produktów Kaspersky Lab wydał nową wersję swojego darmowego narzędzia antyrootkitowego TDSSkiller, który między innymi wykrywa i usuwa najnowsze wersje TDSS. Narzędzie to stanowi uzupełnienie standardowych produktów bezpieczeństwa firmy Kaspersky Lab.
Hakerzy a prawo