Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Inne trendy związane z rootkitami w 2008 roku

Z raportu wynika, że w 2008 roku rozwijane były następujące technologie związane z rootkitami:

1. Technologie tworzone w celu zwalczania programów i narzędzi antywirusowych. W 2008 roku te technologie autoochrony nieustannie zmieniały się. Do najpopularniejszych należały:

• Blokowanie lub uszkadzanie plików antywirusowych. Pliki są identyfikowane poprzez wykorzystywanie maski nazwy pliku lub sygnatury. Metoda blokowania przy użyciu sygnatury jest bardziej niebezpieczna ze względu na swój uniwersalny charakter.
• Instalacja rootkita poprzez zamianę sterowników systemowych, np. beep.sys. W tym przypadku, sterownik nie musi być rejestrowany w rejestrze systemowym; podczas przeglądania dzienników zdarzeń nie będzie widoczny żaden dodatkowy (niesankcjonowany) sterownik.
• Wykorzystywanie nowych metod autoochrony i maskowania. Oprócz standardowych metod przechwytywania funkcji KiST, łączenia kodu maszynowego funkcji jądra czy filtrowania IRP cyberprzestępcy zaczęli łączyć kod sterownika IRP oraz wykorzystywać standardową procedurę systemową CallBack, aby pracować z rejestrem. Ponadto aktywnie wykorzystywane są metody zwalczania rozwiązań do ochrony przed rootkitami:
  • blokowanie dostępu do plików jądra, uniemożliwiające analizowanie kodu maszynowego takich plików, co jest konieczne w celu przywrócenia jądra w pamięci i szukania przechwyconych funkcji;
  • zastępowanie kontekstu plików jądra i plików należących do rootkita; z reguły dokonuje się tego poprzez przechwytywanie otwartych funkcji plików i otwieranie kolejnego pliku systemowego EXE zamiast otwierania jądra;
  • uniemożliwianie otwierania dysku w trybie odczytu/zapisu sektora; zwalcza to rozwiązania antywirusowe i antyrootkitowe wykorzystujące własne algorytmy parsowania systemu plików;
  • przechwytywanie funkcji NTSaveKey i NTSaveKeyEx w celu uniemożliwienia tworzenia i parsowania zrzutu rejestru systemowego (metoda ta jest wykorzystywana w najnowszej generacji rootkita TDSS);
  • śledzenie punktów przechwytywania i ich przywracanie (metoda ta była wykorzystywana od czasu pojawienia się rootkita A311 Death, obecnie nadal jest aktywnie wykorzystywana, na przykład w najnowszych wariantach rootkita RDSS).

2. Nowe technologie maskowania obecności obiektów na dysku. Opierają się one na modyfikowaniu obiektów tablicy MFT (Master File Table) podczas odczytu lub bezpośrednio na dysku. Technologie te nie są jeszcze powszechnie wykorzystywane, jednak prawdopodobnie nadal będą ewoluowały. Metoda ta może wyglądać następująco: rootkit oblicza lokalizację fizyczną odpowiedniego rekordu MFT i podczas odczytu zamienia rekord MFT pliku chronionego na - przykładowo - rekord obiektu systemowego. Umożliwia to zamaskowanie zawartości plików bez konieczności wykorzystywania klasycznych punktów przechwytywania. Innym przykładem jest modyfikowanie indeksów woluminu NTFS (zidentyfikowano to we wrześniu 2008 roku w komponencie rootkita trojana Trojan-GameThief.Win32.OnLineGames.snjl).

Szkodliwe programy atakujące gry
Chociaż w przypadku większości gier online, sprzedawanie wirtualnych przedmiotów za prawdziwe pieniądze jest zabronione, liczba osób, które chcą je kupić, wzrasta. W większości przypadków nabywców nie interesuje pochodzenie takich przedmiotów: nie obchodzi ich, czy przedmiot został zdobyty legalnie czy też skradziony właścicielowi przy użyciu szkodliwego kodu. Taka sytuacja naturalnie zachęca twórców wirusów; prowadzi również do wzrostu cen oraz kryminalizacji rynku wirtualnych przedmiotów.

Kaspersky Lab podaje, że w 2008 roku liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier online stale rosła: w roku tym zidentyfikowano 100 397 nowych trojanów atakujących gry - aż trzykrotnie więcej niż w 2007 roku (32 374).