для чего предназначен руткит
Что такое руткиты и чем они опасны?
Возможно, вы не раз столкнулись с некоторыми формами вредоносных программ во время серфинга в интернете. Существует один тип такой программы, самый неприятный по сравнению с другими — руткит. Его очень трудно удалить и обнаружить. Что такое руткиты и чем они опасны мы расскажем в данной статье.
Что делают руткиты?
Руткит — это набор вредоносных программ, скрытых в вашем компьютере и предназначенных для проникновения в места, обычно недоступных неавторизованному пользователю, и получения контроля над системой. Хакеры могут использовать уязвимости в программном обеспечении для удаленного управления им.
Руткиты очень трудно обнаружить, так как они используют сложные схемы маскировки, чтобы скрыть свое местонахождение. Он может прятаться на уровне ядра, которое управляет всей системой, или маскироваться под другое ПО и даже приложения. Руткиты также могут загружаться с ОС и перехватывать ее связь.
Помимо ноутбука или настольного компьютера, руткит также может быть нацелен на устройства IOT. Он имеет высокий уровень опасности и трудно удаляется.
На видео: Что такое руткит и как его удалить?
Использование руткитов
Что хакеры могут сделать с руткитами:
Но руткиты также могут быть использованы и для хороших целей, таких как обнаружение хакерских атак, защиты программного обеспечения безопасности или защиты ноутбуков от кражи, позволяя осуществлять их мониторинг в случае кражи.
Виды руткитов
Как заражаются устройства?
Руткит может инфицировать систему следующими способами:
Как удалить руткиты?
К счастью, руткитные атаки сегодня не очень распространены, так как различные системы защиты ядра стали более продвинутыми. Но если устройство уже заражено, то процесс удаления может быть довольно сложным. Его можно удалить:
Как предотвратить появление руткитов?
Лучшее лекарство от всех типов вредоносных программ — это профилактика. Вы должны делать следующее, чтобы свести к минимуму возможность заражения руткитами:
Скрытая угроза. Руткиты как они есть
Традиционные вирусы, с которыми боролись на заре мировой компьютеризации, уходят со сцены вместе со своим любимым носителем — 3,5-дюймовой дискетой. Широкие каналы связи оказались для них слишком узкими. Пальму первенства перехватили сетевые черви. Именно с ними приходилось бороться антивирусным компаниям в последние годы.
Несмотря на изобретательность вирусописателей, на каждый вид червя найден свой дихлофос. Однако сегодня на сцену выходит новая разновидность вредоносных программ, которую не в силах обнаружить ни один антивирус или брандмауэр. Напасть получила название руткиты. Это не вирусы в привычном смысле. Они не размножаются сами по себе (во всяком случае, пока). Но руткиты открывают дорогу заразе, которая может стать причиной гибели операционной системы.
И то, что обнаружить их крайне сложно, делает эту новую угрозу опасной вдвойне. В конце концов, люди тоже умирают не от самого вируса СПИДа, а от любой другой посторонней инфекции, попавшей в ослабленный организм.
Вредоносная защита
Подцепить руткит можно где угодно. Хоть с музыкального CD, хоть на интернет-аукционе.
Руткиты (rootkit), как и бэкдоры (backdoor), — типично хакерский инструментарий. Но если последние предназначены для прямого силового воздействия на защиту атакованного компьютера (их можно сравнить с фомкой и ломиком), то у руткитов совсем иная роль. Они прячут от постороннего взгляда следы насилия над компьютером жертвы — файлы программ, которых никто по доброй воле туда не ставил. То есть руткиты выступают как «группа прикрытия», а в самом вредительстве, как правило, участия не принимают.
Казалось бы, и чего в них тогда такого страшного? Идея совсем не оригинальна. Всем известно, что Windows с давних пор вполне официально прячет от глаз потенциально опасного для нее криворукого пользователя, которыми по умолчанию в Microsoft считаются все, некоторые особо важные папки. Да и многие программы, в том числе и игры, тоже показывают далеко не все, что устанавливают на жесткий диск. Однако эта скрытность прозрачна — достаточно в свойствах папки установить флажок «Показывать скрытые файлы», и вам откроется все. А вот до спрятанного руткитом так просто не добраться. Более того, без специальных программ вы даже не узнаете, что на вашем компьютере что-то спрятано. И это уже большая проблема, поскольку открывает широкие возможности для любых злоупотреблений этим незнанием. И, между прочим, речь идет не только о хакерах.
Не так давно руткиты стали причиной громкого скандала вокруг мегакорпорации Sony. В один ненастный осенний день Марк Руссинович (несмотря на фамилию, не русский, а вовсе даже американец) сидел дома и по обыкновению возился со своей новой программой (в Сети много полезного софта за его авторством). Марк следил за последними достижениями хакерской мысли, и его программа — RootkitRevealer (доступна для свободного скачивания по адресу http://download.sysinternals.com/Files/RootkitRevealer.zip) — как раз предназначалась для поиска вражеских «засланцев» и хитро спрятанных ими посторонних файлов.
По Сети бродят упорные слухи, что руткиты существуют не только под Windows, но под ОС Symbian для смартфонов. Доказательств нам обнаружить не удалось.
Тестовый запуск прервался совершенно неожиданным образом. Марк обнаружил на своем компьютере самый настоящий руткит! Его удивлению не было предела. Он не имел порочных связей в ХХХ-контенте, не скачивал сомнительных файлов — в общем, не был завсегдатаем интернет-помоек, где отзывчивые товарищи всегда готовы бесплатно поделиться последней партией дурно пахнущих отбросов. Тем не менее RootkitRevealer недвусмысленно сигнализировал о скрытом драйвере устройства, папке и какой-то программе.
При этом диспетчер задач не выявил никаких запущенных на компьютере подозрительных процессов. Марк предпочел все же поверить собственной программе и не ошибся. После длительных поисков источник был обнаружен. Некоторое время назад он приобрел на Amazon.Com музыкальный CD Get Right With the Man с записью песен братьев Van Zant. А чтобы покупатель не нажился на содержимом этого диска, фирма Sony BMG предусмотрительно поставила на него системы защиты от копирования MediaMax CD-3 и Extended Copy Protection, сделанные по технологии DRM (Digital Rights Management).
Защита позволяла Марку сделать три копии продукта. Как оказалось, основная часть антикопировального механизма была основана на скрытой установке в систему драйвера дополнительного устройства, а также программы, которая это устройство использовала, и папки, куда укладывались файлы. Все это становилось абсолютно невидимым с помощью руткита.
Озабоченный Марк бросился изучать лицензионное соглашение на диске с защитой DRM и нигде не обнаружил никаких упоминаний о возможном вмешательстве в работу операционной системы. Информацией о создании скрытых от пользователя файлов и папок разработчики защиты Sony BMG тоже не поделились. Об этом досадном упущении с их стороны Руссинович немедленно настучал мировой общественности через свой блог (www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html). «Опа, подумаешь, Америку открыл! — воскликнут некоторые. — На то она и система защиты, чтобы ее шестеренки прятались в самых недоступных местах». Все дело в том, каким именно способом они спрятаны.
Ядерная атака
Вставляя лицензионный диск в DVD-привод, никогда нельзя быть уверенным, что вы не заносите на компьютер руткит.
В конце 90-х в одном популярном мультсериале виртуальные 3D-герои боролись с не менее виртуальными мега-злодеями непосредственно внутри операционной системы. Основной целью мультяшных вирусов, троянцев и шпионских программ было какое-то непонятное ядро. Художники изображали его в виде круглого бункера со специальной панелью управления всеми процессами. Если сама система представлялась им как открытый огромный город, по которому ходили странные жители — байты (квадратные, одноглазые прямоугольники с ножками и ручками), то ядро пряталось глубоко под землей, в секретной шахте. Все подступы к ней охранялись мощными защитными механизмами. По представлениям авторов сериала, если зловредные программы доберутся до ядра, то все пропало. Само собой, в мультике этого не случилось. Зато в жизни стало реальным фактом.
Долгое время создание программ, которые будут работать на самом нижнем, самом защищенном уровне операционных систем казалось невозможным. Слишком много трудностей. Нужны специальные знания, часто засекреченные производителями как самая важная часть их капитала. Нужен высокий уровень теоретической подготовки, чтобы воспользоваться этими знаниями. Людей, которые могли бы написать такие программы, совсем немного. Казалось фантастикой, что кто-то из них захочет заниматься подобными глупостями. Тем не менее такие нашлись.
Первым пал Unix. Появился руткит, использующий базовые свойства, на которых основана эта система. Кстати, сам термин (от англ. root и kit) говорит об изначальной связи с Unix (root — корень, ядро этой ОС). «Ядерная» программа в обычном режиме умеет прятать концы за счет изменения функций Windows API (на которых основана работа системы) вроде FindFirstFile /FindNextFile, отвечающих за показ файлов и папок. Они просто перестают замечать то, что нужно спрятать, чем бы вы ни пробовали посмотреть содержимое логических дисков. В защищенном же режиме руткит перехватывает обращения и меняет таблицу системных вызовов. Безопасный режим перестал быть безопасным.
Сколь ни печально, но ни один современный антивирус не увидит руткит на вашем жестком диске. Что и неудивительно — руткиты переписывают свойства API.
Windows имеет специальную базу данных, в которой хранит идентификационные номера всех сервисных служб и указателей на функции драйверов различных устройств. Обычно несанкционированное вмешательство в таблицу заканчивается крахом системы или ее частичной неработоспособностью. Однако руткиты вносят изменения очень аккуратно.
Внешне все остается как прежде — система работает, программы запускаются без задержки. Но на диске уже создана скрытая папка, в которой может оказаться все что угодно — от вируса до шпионской программы. Причем содержимое этой папки нормальному антивирусу так же недоступно, как и самому пользователю компьютера. Ведь для своей работы он тоже использует Windows API!
Руткиты обеспечивают новым вирусам более высокие шансы на выживание. Этим удачным обстоятельством немедленно воспользовались вирусописатели. Почти сразу после появления информации о рутките, который использовала для защиты дисков от копирования компания Sony BMG, в «Лаборатории Касперского» заявили о появлении в Сети хакерской отмычки Backdoor.Win32.Breplibot.b. Распространялась она через спам-рассылку. К письму прикреплялась фальшивая фотография (техника подмены картинок вирусами описывалась нами ранее). Как только юзер пробовал посмотреть рисунок, запускался вредоносный код. Причем первым делом он копировал себя в системный каталог $SYS$DRV.EXE. А именно в папке под таким названием хранились части DRM-защиты фирмы Sony. Если пользователь слушал диски Audio CD Sony, то бэкдор оказывался надежно скрыт от обнаружения любыми доступными методами.
Вот так аукнулось головотяпство Sony. Кстати, у многих профессиональных программистов сразу же возникло несколько любопытных вопросов. Хакер, использовавший руткит, скорее всего сам ничего не открывал. Он просто воспользовался информацией, которую разместил в Сети Марк Руссинович. Так стоило ли рассказывать каждому встречному о своем открытии? С другой стороны, на грязном деле попалась весьма уважаемая компания. Кто даст гарантию, что другие системы защиты дисков от других производителей не используют то же самое? В том числе и на дисках с компьютерными играми? Никаких гарантий у нас нет!
Фальшивые перспективы
На борьбу с новой угрозой брошены лучшие силы, но тем не менее прогнозы неутешительные. Отдельные энтузиасты и специалисты крупных корпораций по производству софта пытаются найти противодействие. Тот же Марк Руссинович, как мы уже говорили, работает над программой по обнаружению руткитов — RootkitRevealer.
Есть и другие утилиты — Avenger (http://swandog46.geekstogo.com/avenger.zip), Helios (http://helios.miel-labs.com/downloads/Helios.zip, утилита требует для установки Net Framework v.2.0.50727), DarkSpy (сетевая версия доступна по адресу www.fyyre.net/
cardmagic/download/darkspy105_en.rar), IceSword (www.xfocus.net/tools/200509/IceSword_en1.12.rar). На наш диск мы эти программы не выкладываем по банальной причине — практически все антивирусы ошибочно видят в них троянцев. Весят утилитки немного, так что если будет желание или необходимость, вы всегда сможете их скачать с сайтов разработчиков.
Однако сотрудникам Microsoft вместе со специалистами Мичиганского университета весной этого года удалось создать принципиально новый руткит, который вообще не поддается обнаружению никакими стандартными способами. Новый монстр получил условное название SubVirt. Он создает монитор виртуальной машины (Virtual Machine Monitor, VMM) и полностью подгребает под себя все запущенные программы. И они прекрасно работают. Но ни одна из них не в состоянии определить, что Windows на самом деле фальшивая. Все как в теории относительности Альберта Эйнштейна — чтобы определить, движется тело или нет, нужно находиться снаружи, а не внутри.
Скорее всего, специалисты что-нибудь придумают для защиты наших компьютеров от руткитов. А пока приходится констатировать тот факт, что мы, обычные пользователи, все больше теряем контроль над своими собственными компьютерами. Поскольку теперь никто не может с уверенностью утверждать, что на его машине нет тайников с сюрпризами.
Руткиты: проблемы безопасности и тенденции развития
В настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.
Основные тенденции в компьютерной безопасности
Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.
Для обеспечения устойчивого и неопределяемого присутствия в компьютерной системе вредоносное программное обеспечение (ВПО) использует специальные механизмы, называемые руткит-механизмами. В результате ВПО работает незаметно как для пользователя, так и для средств защиты.
Казалось бы, разработчики ОС должны всеми силами противостоять сокрытию нелигитимного ПО, однако появление новой версии Windows не изменило ситуацию в лучшую сторону. Восьмерка переняла от своих предшественников часть уже знакомых механизмов защиты (UAC, ASLR, DEP, PatchGuard, цифровые подписи для драйверов), для которых существует возможность обхода. И представила несколько новых — Secure Boot, SMEP и ELAM, которые, однако, не сильно повысили уровень защищенности. О чем свидетельствуют демообразец буткита Stoned Lite Питера Кляйсснера и UEFI bootkit Андреа Аллиеви. А о возможности обхода технологии SMEP на Windows 8 уже писал А. Шишкин из компании Positive Technologies.
Согласно недавнему отчету британской Национальной аудиторской службы (NAO), наблюдается рост числа киберпреступлений, которые одной Великобритании обходятся в 18–27 миллиардов фунтов стерлингов ежегодно (bit.ly/14O9xy5).
Исходя из сказанного, можно сделать вывод, что в последней версии Windows для борьбы с ВПО ничего революционно нового не было внедрено, и достойных механизмов, способных сильно осложнить жизнь разработчикам руткитов, на сегодняшний момент нет.
Механизмы сокрытия в системе
Для сокрытия ВПО могут применяться различные методы. Впервые классификация механизмов сокрытия была выполнена Йоанной Рутковской в работе Introducing Stealth Malware Taxonomy. Предложенная ей классификация может быть расширена следующим образом (см. рис. 1).
Стеганографические механизмы скрывают истинное предназначение внедренных объектов маскировкой их под легитимные, например схожестью их имен с именами системных файлов. В результате вредоносные файлы видны пользователю, но не вызывают у него подозрения. Пример стеганографического сокрытия — использование сертификатов доверенных компаний для подписи вредоносных драйверов. Благодаря действительным сертификатам компаний Realtek и JMicron червь Stuxnet долгое время оставался незамеченным, а компоненты червя Flame имели цифровую подпись самой компании Microsoft.
Для работы стеганографических механизмов не требуется повышенных привилегий, также они переносятся на различные версии ОС Windows. Однако из-за отсутствия технических механизмов сокрытия такое ВПО может быть легко обнаружено и удалено. Большую опасность представляют комбинации стеганографических с другими механизмами сокрытия.
Ко второй группе относятся технические механизмы сокрытия, в результате работы которых информация о скрываемом объекте становится недоступной средству обнаружения («не виден объект, значит, его и нет»). Эти механизмы можно разделить на руткит-механизмы, работающие «внутри» и «вне» ОС.
В случае руткит-механизма «внутри ОС» объектом может выступать процесс, драйвер, файл на диске, сетевой порт, ключ в реестре. Для своей работы руткит-механизмы могут изменять как пути выполнения, так и структуры памяти, как в пользовательском, так и в системном адресных пространствах.
Для изменения пути выполнения ВПО перехватывает функции штатного обработчика и передает управление вредоносному обработчику, который вносит целенаправленные изменения в возвращаемый результат. Способы обнаружения описанного механизма сокрытия уже освещались на страницах журнала.
Вторая подгруппа руткит-механизмов, работающих «внутри» ОС, не добавляет новых обработчиков в систему, а особым образом изменяет структуры памяти, хранящие информацию о скрываемом объекте. Примеры таких структур, расположенных в системном адресном пространстве и представляющих интерес для руткитов: KRPCB, ETHREAD, EPROCESS, MODULE_ENTRY, _DRIVER_OBJECT, плюс БД зарегистрированных драйверов и служб, расположенная в пользовательском пространстве процесса SERVIСES.EXE.
Руткит-механизмы «вне ОС» основаны на установке собственного или модификации существующего обработчика событий в том или ином режиме работы процессора либо дополнительного аппаратного обеспечения. Для работы этих механизмов зачастую необходимо наличие набора микросхем с поддержкой требуемой технологии. Можно выделить руткит-механизмы, построенные на основе режима аппаратной виртуализации, режима системного управления и кода, использующего технологии Active Management Technology и V-PRO. Широко известный в узких кругах автор R_T_T в своих работах «Кремневый беспредел» описывает возможности и угрозы информационной безопасности не только от указанных технологий, но и от механизма обновления микрокода процессора (bit.ly/VRQD6O и bit.ly/104EsRB).
Интересная техника сокрытия руткитов
На конференции ZeroNight в 2012 году была представлена работа Д. Олексюка (aka Cr4sh) в которой описывался интересный способ размещения руткита не в файлах, а в реестре с помощью Differentiated System Description Table (DSDT). Преимущество данного способа в том, что ни одно средство для обнаружения руткитов не учитывает такую возможность.
Антируткиты
Большинство вредоносных средств, о которых шла речь ранее, использовали для своей работы драйверы. В связи с этим давай рассмотрим наиболее распространенные антируткит-средства, способные обнаруживать наличие скрытых драйверов.
Из популярных внештатных средств, поддерживающих работу с Windows 8, можно выделить следующие: Gmer, XueTr, PowerTool, TDSSKiller (Kaspersky Labs).
С позиции обнаружения скрытых драйверов средства Gmer, XueTr и PowerTool имеют схожие алгоритмы работы, использующие для обнаружения побайтовый поиск в памяти фрагментов структур драйверов. Средство TDSSKiller для обнаружения драйверов использует несколько иной список, информация в который заносится при загрузке драйверов через штатные средства Windows.
Изменение полей в необходимых структурах и удаление из соответствующих списков обеспечит сокрытие драйвера от этих средств, без нарушения работы системы и самого ВПО. Это позволяет констатировать отсутствие в открытом доступе антируткитных средств, стойких к противодействию.
Программно-аппаратные руткиты
Программно-аппаратные руткиты функционируют «вне ОС». Наиболее интересны экземпляры, построенные на основе технологии аппаратной виртуализации. Почему? Во-первых, их можно установить с помощью драйверов — штатного механизма различных ОС. Во-вторых, такие руткиты могут перехватывать события более высокого уровня, чем другие. В-третьих, они лучше документированы. Поэтому с ними мы познакомимся поближе.
С 2006 года компании Intel и AMD начали выпускать процессоры с поддержкой технологии аппаратной виртуализации. ПО, использующее технологию аппаратной виртуализации (или просто гипервизор), работает в новом режиме, более привилегированном, чем ОС. Технология аппаратной виртуализации позволяет запускать во вложенном виде несколько различных гипервизоров.
Исходные коды гипервизоров — драйверов для ОС Windows x86
С одной стороны, гипервизор, выполняющий функции монитора виртуальных машин, повышает сервисные возможности компьютера и снижает его эксплуатационные расходы. Благодаря ему на одном компьютере может быть одновременно запущено несколько ОС в разных виртуальных машинах (рис. 2).
Но, с другой стороны, можно негласно внедрить гипервизор — программную закладку, которая обладает бесконтрольными возможностями и несет угрозу информационной безопасности.
В открытом доступе имеются два программных средства — BluePill и Vitriol, реализованные в виде драйверов, которые устанавливают гипервизор прозрачно для пользователя.
Обнаружением гипервизоров занимались как целые компании (Komoku, North Security Labs и другие), так и отдельные специалисты. Даже сама компания Microsoft опубликовала интерфейс для обнаружения гипервизоров, согласно которому необходимо выполнить инструкцию CPUID, предварительно записав в регистр EAX единицу. Далее необходимо проверить значение 31 бита регистра ECX; если он выставлен, то в системе присутствует гипервизор, а информация о его возможностях передается в структуре HV_CPUID_RESULT. Однако такой способ не защищен от компрометации.
Несмотря на широкую распространенность гипервизоров, штатные средства для их обнаружения отсутствуют, а опубликованные имеют существенные недостатки: невозможность выявить гипервизор в случае его противодействия обнаружению, а также неудобство использования и тиражирования ряда средств. Под удобством тиражирования понимается отсутствие в средстве обнаружения внешнего аппаратного компонента, необходимого на протяжении всего времени работы.
Средства отладки гипервизоров
Специфика работы гипервизора не всегда позволяет использовать популярные средства отладки, такие как vBox (VMware) вместе с WinDbg, вместо этого можно использовать эмуляторы Bochs или AMD SimNow, однако они достаточно сложны в настройке.
Что же можно использовать:
В связи с широким распространением различного ПО, использующего технологию аппаратной виртуализации, особую опасность представляет нелегальный гипервизор, который для своего сокрытия использует легитимный с помощью вложенной виртуализации. В открытых источниках сведения о способах обнаружения нескольких вложенных гипервизоров отсутствуют.
Обзор и классификация способов обнаружения гипервизоров
Вопрос обнаружения гипервизоров уже неоднократно обсуждался. На рис. 3 представлена классификация способов обнаружения гипервизоров, согласно которой все способы делятся на проактивные и сигнатурные.
Временны́е способы обнаружения основаны на том, что статистики времени обработки заданных событий гостевой ОС существенно зависят от того, загружен гипервизор или нет: в присутствии гипервизора длительность обработки событий значительно больше. Данная особенность была использована товарищем R_T_T при обнаружении китайского гипервизора (xakep.ru/post/58104). Она позволяет сравнительно просто выявлять гипервизоры только в тех случаях, если нарушитель не предпринял меры для их сокрытия. В ситуациях, когда осуществляется целенаправленная компрометация счетчика либо временная выгрузка гипервизора из памяти (так называемая технология BlueChicken, которая использовалась в BluePill), известные временны́е способы не позволяют обнаружить гипервизор.
Детальное описание и сравнительный анализ указанных способов обнаружения представлен в работе bit.ly/ik_volume. Мы же уделим внимание временному способу обнаружения с использованием списка демаскирующих событий.
Для выбранного способа таким событием гостевой ОС будет выполнение инструкции, при котором управление всегда передается из ОС гипервизору. Одной из таких инструкций является CPUID. Система обнаружения гипервизоров, которая будет описана далее, использует именно этот способ.
Чтобы оценить каждый из методов, были проанализированы средства обнаружения гипервизоров, результаты сравнения которых представлены в табл. 1. Под не скрытым гипервизором подразумевается отсутствие в этом образце компонента, обеспечивающего противодействие обнаружению. Под скрытым образцом подразумевается наличие в этом образце такого компонента. В табл. 1 знаки «+» и «–» показывают наличие (отсутствие) указанной характеристики соответственно.
По результатам проведенного анализа видно, что существующие способы обнаружения гипервизоров обладают рядом недостатков:
Далее представлена авторская методика обнаружения нелегитимного гипервизора, которая лишена указанных недостатков. Будет рассматриваться гипервизор, который может быть внедрен с помощью:
При этом учитывается, что реализованный нарушителем гипервизор может противодействовать обнаружению посредством компрометации процессорного счетчика тактов, вре́менной деинсталляции из памяти, а также предотвращать получение копии дампа памяти, содержащей структуры гипервизора.
Предпосылки для обнаружения
Чтобы выявить факторы, которые могут быть использованы для обнаружения гипервизора, был проведен сравнительный анализ работы процессора с поддержкой аппаратной виртуализации при выполнении набора безусловно перехватываемых гипервизором инструкций в случаях его отсутствия и присутствия (рис. 4, а и 4, б).
В случае присутствия гипервизора возрастает не только абсолютное время выполнения трассы, но и значения статистических характеристик длительности выполнения, например дисперсии. Эта отличительная особенность и легла в основу предлагаемой методики обнаружения (подробный анализ схем переключения между режимами работы процессора и математическое обоснование можно посмотреть тут bit.ly/10nPPlY.
Методика обнаружения и ее анализ
Суть методики обнаружения состоит в расчете и сравнении статистических характеристик длительности выполнения трассы с пороговыми величинами.
Измерение длительности выполнения трассы проводилось для десяти инструкций CPUID с помощью процессорного счетчика тактов TSC на повышенном 31-м уровне приоритета IRQL. Результатами опытов являлись матрицы размером 1000 х 10, содержащие данные измерений длительности выполнения трассы, по которым рассчитывались различные статистические характеристики.
Для иллюстрации в табл. 2 приведены пороговые значения последовательной комбинации таких показателей, как дисперсии D ̅f и момента 4-го порядка M ̅f, полученных на различных ПК, для случаев отсутствия (ОТ) и присутствия (ПР) гипервизоров.
В первом столбце табл. 2 номерами обозначены модели процессоров обследованных ПК:
В первых двух ПК использовался разработанный автором гипервизор (исходный код которого ты можешь найти на диске), реализованный в виде драйвера ОС, в третьем случае — специализированный гипервизор, получающий управление при загрузке ПК из BIOS.
Предлагаемая методика обнаружения нелегитимного гипервизора состоит из двух этапов: предварительного и оперативного, как представлено в табл. 3 (детальное описание методики: bit.ly/ik_volume).
Для противодействия этой методике скрываемый гипервизор должен компрометировать показания счетчика тактов не на постоянную величину, а на случайную, так, чтобы, с одной стороны, уравнять средние длительности выполнения трассы, а с другой — стабилизировать разброс длительностей выполнения трассы. Однако вопрос подбора закона распределения такой случайной величины остается открытым.
Правда, данная методика не лишена и недостатков (табл. 4).
Взгляд в будущее
Все, о чем мы до этого говорили, все эти методики сокрытия и обнаружения относятся к сегодняшнему дню. А что нам ждать от дня завтрашнего? По какому пути развития пойдут технологии создания руткитов? Можно дать волю воображению и с большой вероятностью предположить, что развиваться они будут по следующим направлениям:
Не могу снова не упомянуть работу R_T_T, посвященную закладкам в военных ноутбуках Getac (bit.ly/Sf23yP). Там программные закладки были выполнены в виде софта от компании Compuware, именно той, которая выпускала мощный отладчик SoftICE. В настоящее время аналогичные закладки этой компании можно встретить в планшетах. К примеру, новые ThinkPad 2 с продвинутым уровнем защиты продаются уже с предустановленным ПО — «Enterprise-level security, with Trusted Platform Module and Computrace Mobile».
Интересную работу, посвященную EFI-руткитам, но под OS Х, выполнил Loukas K: bit.ly/Pe1Dkl.
Итоги
Об авторе
Игорь Коркин (igor.korkin@gmail.com) — кандидат технических наук по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность». Работает в МИФИ, руководит научной работой студентов, готовит аспирантов. Занимается обнаружением программных закладок более шести лет, автор более десяти научных работ, победитель конкурса «Хакеры против форензики» на форуме Positive Hack Days 2012.
Впервые опубликовано в журнале «Хакер» от 05/2013.