Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Dalsza analiza robaka ujawniła trzy kolejne exploity zero-day dla systemu Windows. Jeden z nich był odpowiedzialny za rozprzestrzenianie robaka poprzez lokalne sieci LAN i wykorzystywał lukę w usłudze współdzielenia drukarki systemu Windows. Luka ta została wykryta przez ekspertów Kaspersky Lab, a Microsoft opublikował dla niej łatę we wrześniu 2010 roku. Robak wykorzystywał dwie kolejne luki – w komponencie win32k.sys oraz w usłudze Harmonogram Zadań – które pozwalały mu na zwiększenie swoich przywilejów. Pewną rolę w wykryciu pierwszej z tych dwóch luk odegrali eksperci z Kaspersky Lab.

Jednak mimo że Stuxnet wykorzystuje pięć luk w zabezpieczeniach oraz lukę w oprogramowaniu WinCC Siemensa związaną z domyślnymi hasłami dostępu, wykorzystywanie luk nie jest najbardziej niezwykłą właściwością robaka. Szkodnik ten celuje w systemy posiadające określoną konfigurację - SIMATIC WinCC/PCS7 – i, co jest sednem sprawy, atakuje określone modele programowalnych sterowników logicznych oraz konwerterów częstotliwości określonych producentów. Zainstalowana przez robaka biblioteka DLL przechwytuje niektóre z funkcji systemowych i przez to może mieć wpływ na działanie systemów kontroli, które zarządzają działaniem pewnych urządzeń przemysłowych. Głównym celem robaka jest zakłócenie logiki sterowników wykorzystywanych przez konwertery częstotliwości. Sterowniki te służą do dostosowywania częstotliwości obrotów niezwykle szybkich silników, które posiadają bardzo ograniczony zakres zastosowań – jednym z nich jest napędzanie wirówek.

TDSS

TDSS znacząco wyróżniał się na tle “konwencjonalnego” szkodliwego oprogramowania w 2010 roku. Stosujemy tutaj termin “konwencjonalny” z powodu wyłonienia się robaka Stuxnet, który bez wątpienia stanowi całkowicie nowe zjawisko na scenie szkodliwego oprogramowania i po prostu nie mógł zostać stworzony przez cyberprzestępców o przeciętnych umiejętnościach.

Backdoor TDSS był przedmiotem wielu naszych analiz opublikowanych w latach 2009-2010. Podobne zainteresowanie wykazali eksperci z innych firm antywirusowych. Łatwo to wyjaśnić: z wyjątkiem Stuxneta TDSS jest obecnie najbardziej wyrafinowanym szkodliwym programem. Poza tym, że jest nieustannie aktualizowany – z uwzględnieniem nowych metod maskowania obecności w systemie – jego autorzy wykorzystują również różne luki w zabezpieczeniach - zarówno luki zero-day jak i te, dla których opublikowano łaty.

Najistotniejszym usprawnieniem w TDSS w 2010 roku była implementacja obsługi 64-bitowego systemu operacyjnego. Modyfikacja ta została wykryta w sierpniu i została oznaczona wewnętrznym numerem TDL-4. W celu obejścia wbudowanej w system Windows ochrony autorzy TDSS wykorzystywali technikę infekowania sektora MBR, podobną do tej zastosowanej przez innego trojana - Sinowala. Jeżeli MBR zostanie skutecznie zainfekowany, wykonanie szkodliwego kodu nastąpi przed uruchomieniem się systemu operacyjnego. Następnie szkodnik może zmodyfikować parametry uruchomieniowe w taki sposób, aby niepodpisane sterowniki mogły zostać zarejestrowane w systemie.

Aplikacja ładująca rootkita wykrywa typ systemu - 32- lub 64-bitowy – w którym będzie działało szkodliwe oprogramowanie, wczytuje kod sterownika do pamięci i rejestruje sterownik w systemie. Następnie uruchamiany jest system operacyjny, do którego został już wstrzyknięty szkodliwy kod. Istotne jest to, że rootkit nie modyfikuje struktur jądra, które są chronione przez PatchGuard, inną technologię wbudowaną w system operacyjny.

Microsoft nie uznał tego problemu za krytyczny i nie zaklasyfikował go jako lukę w zabezpieczeniach, ponieważ trojan ten musiał już posiadać przywileje administratora, aby zapisać swój kod do MBR-a.

TDSS zdobywa takie przywileje przy użyciu nieustannie udoskonalanych metod. Na początku grudnia odkryliśmy, że wykorzystuje w tym celu dodatkową lukę zero-day – lukę w usłudze Harmonogram Zadań, która została po raz pierwszy wykorzystana przez Stuxneta i doczekała się łatki od Microsoftu w połowie grudnia 2010 roku.