Ewolucja złośliwego oprogramowania I-III 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania 2005

Chociaż niemal wszystkie współczesne rozwiązania antywirusowe potrafią skanować sektor startowy dysków (historia wirusów i rozwiązań antywirusowych rozpoczęła się od wirusów sektora startowego), wciąż bardzo trudno jest wykryć przechwycenie lub zastąpienie funkcji systemowych. Nadal nie rozwiązano tego problemu w odniesieniu do trojana i oprogramowania antywirusowego w systemie operacyjnym, nie mówiąc już o sytuacji, gdy backdoor zostaje uruchomiony przed systemem operacyjnym.

Backdoor ten wzbudził ogromne zainteresowanie i zapoczątkował pojawienie się podobnych programów. W styczniu 2006 roku John Hesman, pracownik Next-Generation Security Software, poinformował, że funkcje Advanced Configuration and Power Interface pozwalały na stworzenie programów z funkcjonalnością rootkita, które mogły być zapisane w pamięci BIOS.

Wirusy, które zapisują się w pamięci BIOS, nie są niczym nowym. W 1998 roku pojawił się wirus CIH (Chernobyl), który czyścił pamięć BIOS, jeśli nie mógł uzyskać do niej dostępu. Wkrótce powstały programy trojańskie, które przeprowadzały podobne ataki. Hesman stworzył kod PoC, który pozwalał na zwiększenie przywilejów systemowych oraz odczytanie danych z pamięci komputera ofiary. Po zapisaniu do pamięci BIOS złośliwy kod jest trudniejszy do wykrycia niż backdoor sektora startowego.

W marcu żywą dyskusję wywołała koncepcja niewykrywalnego rootkita wykorzystującego technologię maszyn wirtualnych. Czy jednak istniał rzeczywisty powód do niepokoju i czego tak naprawdę dotyczyła dyskusja?

Projekt stworzenia rootkita działającego na poziomie niższym niż system operacyjny powstał na University of Michigan i był sponsorowany przez firmę Microsoft. Szczegóły przedostały się do opinii publicznej po opublikowaniu programu konferencj iEE Symposium on Security and Privacy, który zawierał kod PoC tego rootkita. Wszystkie złośliwe programy działają w tym samym środowisku co rozwiązania antywirusowe, co oznacza, że żadne z nich nie ma przewagi nad innym. Silniejszą pozycję będzie miało oprogramowanie działające na niższym poziomie w systemie. Badanie prowadzone w Michigan miało na celu przeniesienie złośliwego kodu poza środowisko systemu, przez co byłby w nim niewidoczny.

W tym celu pomiędzy systemem operacyjnym a sprzętem stworzono dodatkowy poziom - Virtual Machine Monitor (VMM). Podczas uruchamiania komputera kontrola przekazywana jest z BIOS-u do VMM z obejściem standardowej sekwencji ładowania właściwego systemu operacyjnego użytkownika. Innymi słowy, cała interakcja pomiędzy aplikacjami użytkownika a sprzętem będzie odbywała się poprzez VMM.
Oprócz uruchomienia systemu operacyjnego użytkownika, VMM uruchamia inny system operacyjny. W tym systemie operacyjnym mogą zostać uruchomione złośliwe programy. Oba systemy operacyjne mają tę samą podstawę - VMM - która bezpośrednio łączy się ze sprzętem.

Praktyczny przykład wykorzystania takiego rootkita: VMM przekazuje dane wprowadzane przez klawiaturę zarówno do systemu operacyjnego użytkownika jak i "złośliwego" systemu operacyjnego, gdzie są one przechwytywane i przesyłane do zdalnego szkodliwego użytkownika z obejściem systemu operacyjnego użytkownika i zainstalowanego rozwiązania antywirusowego. Zarówno kod rootkita, jak i wszystkie ślady jego obecności w systemie zlokalizowane są poza systemem operacyjnym użytkownika, dlatego nie mogą zostać wykryte w systemie operacyjnym, niezależnie od tego jak silne i skuteczne jest oprogramowanie antywirusowe i zapora ogniowa.