В Panda Labs бьют тревогу. В Интернете резко увеличивается количество вредоносных кодов, использующих технологии сокрытия следов своей деятельности (файлы, запущенные процессы и модификации системного реестра) от защитного ПО. По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64. Наша цель была – продемонстрировать, что архитектура семейства Windows, включая Vista, крайне неудачна, и в Microsoft должны кардинально ее изменить для лучшей защиты ОС. Мы хотим продемонстрировать, что нынешних средств, используемых в Windows, таких как TPM/Bitlocker [Система защиты BitLocker с помощью микросхемы TPM (Trusted Platform Module), расположенной на материнской плате, шифрует весь жесткий диск и гарантирует безопасность даже в момент загрузки системы. В Microsoft позиционируют эту функцию, как наиболее эффективное средство для сохранения конфиденциальности данных корпоративных пользователей и рекомендуют использование TPM/BitLocker в рабочих ноутбуках ответственных лиц компаний. Вместо TPM можно использовать USB-ключ или парольную защиту] или подписывание драйверов, недостаточно для защиты ядра, в то время как Microsoft говорит обратное. Это, кстати, относится и к Linux, которая имеет очень схожую с Windows архитектуру.
А.Т.: – Даже если предположить, что атакующему неизвестны способы внедрения неподписанного кода в ядро Vista, у него всегда остается возможность воспользоваться официальным путем – покупкой сертификата за 250 долларов. Это лишний раз говорит о том, что защита, построенная на проверках подписей, не может быть абсолютно надежна.
Одной из главных тем вашей работы является крайняя сложность обнаружения вредоносного кода, использующего технологии виртуализации. Эффективные средства для идентификации таких угроз в современном программном и аппаратном обеспечении отсутствуют. Вы говорили, что производители должны снабдить архитектуру своих продуктов инструментами контроля и обнаружения зловредного ПО в виртуальных машинах. Появился ли интерес со стороны ИТ-гигантов, таких как Intel, AMD или Microsoft?
– Мне неизвестно ни о каких шагах Intel и AMD по созданию эффективных средств обнаружения этих угроз. Хотя некоторые разработчики ОС, в том числе Microsoft планируют снабдить свои системы встроенными гипервизорами. Вероятно, этот процесс начнется через два года или около того. Остается надеяться, что эти гипервизоры будут достаточно надежными средствами контроля за виртуальными машинами.
А.Т.: – Некоторые дистрибутивы Linux уже содержат компонент KVM (Kernel-based Virtual Machine), использующий расширения виртуализации современных процессоров. Он способен исполнять немодифицированные Linux и Windows. Также, открытый проект по виртуализации серверов Xen, начиная с версии 3.0, использует расширения SVM и VT-x. В этом проекте принимают участие разработчики многих известных компаний, таких, как Intel, AMD и IBM. Разумеется, эти проекты не являются средствами обнаружения вредоносного кода, использующего виртуализацию, но их гипервизоры не должны позволить такому коду получить контроль над виртуальной машиной. Ситуация во многом схожа с переходом операционных систем на использование защищенного режима 80386: после установки супервизора ОС код, работающий в режиме виртуального 8086, более не мог сам стать супервизором.
Как складывается судьба Blue Pill? Вы не планируете выложить в открытый доступ сигнатуры к ней и протестировать эффективность современных антивирусов?
– Я написала работающий прототип Blue Pill приблизительно год назад и продемонстрировала ее в рамках конференции Black Hat в Лас-Вегасе и на многих других мероприятиях. В этом году в рамках нашего семинара в Вегасе мы собираемся представить другую, намного более зрелую реализацию Blue Pill, которая была переписана с нуля. Нынешняя версия может, например, обходить временной анализ даже в том случае, если детектор использует надежный источник данных о времени (например, протокол NTP). Также новая реализация полностью поддерживает работу со встроенными гипервизорами, так что можно запустить множество одних Blue Pill внутри других.
Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.
Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?
– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.
Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.
У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.
Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.
Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?
– Марк Руссинович – прекрасный эксперт по Windows, и тот факт, что он теперь в Microsoft нисколько не умаляет значимости этого человека. В Microsoft вообще работает много очень умных людей.