Bygge malware forsvar: Fra rootkits til bootkits

Dagens rootkits kraften sin fra å ha tilgang til kjernen av operativsystemet. Disse " kernel-modus " rootkits kjøre på samme lavere nivå som alle andre pålitelige system prosesser, og dermed gi systemkontroll og gi effektive måter å forbli skjult.

rootkit kraftige måte å opprettholde systemtilgang mens rester uoppdaget har vært en utfordring for sikkerheten fellesskap. For å hindre at kjernemodus malware og Digital Rights Management (DRM) krenkelser, har Microsoft håndhevet en politikk med Vista OS, kreve digitale signaturer for alle enhetsdrivere. Sikkerhetsmekanismen har imidlertid blitt kritisert fordi det hindrer legitime 3. part fra å utvikle enhetsdrivere. Selv om politikken er også antatt å være delvis ansvarlig for Vista inkompatibilitet med flere eksterne enheter, har Vista driveren-signering politikk utfordret andre til å lage en variant av rootkits, som minner om oppstartssektorvirus.

' bootkit '
Før dager med masse tilkoblinger, reiste ondsinnet kode på bærbare lagringsmedier, for eksempel en CD-ROM eller diskett. Den malware, vanligvis et virus gjemt i oppstartssektoren av en disk, fungerte som en digital parasitt, infisere verten PC når de introduseres på oppstartsprosessen. Infeksjonen ville ødelegge maskinen ved å endre en harddisk Master Boot Record, oppstartssektoren koden for en boot disk eller diskpartisjonstabellen (DPT). Mens sjelden sett i dag, kommer oppstartssektoren viruset til tankene når man diskuterer den nye rootkit-teknologi som kan beseire Vistas enhetsdriveren signatur krav

A ". Bootkit " utnytter sin kjerne tilgang og sniking ved å manipulere oppstartsprosessen. Funksjonelt, bootkits er ikke annerledes enn rootkits. De skiller seg, men i hvordan de får tilgang. Tradisjonelle rootkits bruke utvidede rettigheter mens OS kjører. Bootkits imidlertid installeres fra oppstartssektoren av en ekstern enhet og forbli i minnet i hele systemets oppstartsprosessen. Dette konseptet ble først introdusert i 2005, da sikkerhetsforskere fra eEye Digital Security utviklet en metode for å utnytte BIOS under oppstart. Deres " BootRoot " . Prosjektet innført skikken oppstartssektorkoden, slik omveltning og vedvarende tilgang realmodus til Windows NT-kjernen

I april i år, på blackhat Europa, forskere ved Indias NV laboratorier introduserte " VBootkit ", som også tillater kernel omveltning via tilpassede boot kode. Til tross for noen av de kontroversielle likhetene mellom de to, den nyere VBootkit inneholdt noe modifisert instruksjon koden til å fungere med Microsoft Vista oppdaterte oppstartsprosessen, en som oppstartslast arkitektur har endret seg. Uavhengig av hvilken boot-plattformen er brukt, men det er flere bootkit teknikker som utnytter denne oppstartsprosessen


For mer informasjon:
I denne Q & A, sikkerhetsekspert Ed Skoudis. drøfter flere verktøy som kan fjerne rookits eller hindre deres installasjon. Informasjon sikkerhetstrusler ekspert Ed Skouids diskuterer hva som må gjøres for å stoppe varianter av Storm-ormen. Lær hvordan rootkit og rootkit hypervisors kan påvirke et operativsystem.

bootkit tilpassede oppstartssektorkoden kaprer oppstart rutine etter at ROM BIOS-kode utfører, men før den sanne Master Boot Record (MBR) belastninger. Når lastet inn i minnet, utfører koden en programvare avbryte undervisningen, også kjent som ". Hooking " Det kroker til INT 13, en instruksjon som gjør senere lesing sektor. Når dette er gjort, den bootkit benytter en rekke patching sekvenser gjennom oppstartsprosessen til å endre sin struktur og manipulere logisk flyt.

Flere metoder for kode modifisering er ansatt på ulike stadier for å omgå digitale signaturer og kontrollsummer. For at bootkit kode for å forbli uoppdaget, er en rekke omveier brukes for sin egen flytting i minnet. Rootkits kan også rekalkulere og erstatte sjekksummer, bit-verdier som kan brukes til å verifisere en fil integritet.

Når bosatt og umulig å oppdage på kjernenivå, kan en rootkit utføre ekstra nyttelast. I det minste er en hemmelig kanal etablert, og gir ondsinnet hacker med ubegrenset tilgang til offerets maskin. En rootkit er flere kjør nyttelast kan inkludere måter å høste brukernavn og passord, deaktivere enkelte programmer (ofte sikkerhetsprogrammer), kan du bruke maskinen som fullmektig for angrep eller videre spre sin egen rootkit.

Disse maskin kode metoder som brukes til å manipulere instruksjonene i kjernen plass demonstrere hvor alvorlig denne malware underklasse. Mens programvare finnes for rootkit oppdagelse og fjerning, understreker bootkit betydningen av forebygging
. Dens hjelp av oppstartsprosessen injeksjon understreker behovet for å gjennomføre fysiske tilgangsregler til en samlet sikkerhetsstrategi.

Beskyttelse mot bookit teknologi innebærer å beskytte maskinens oppstartsprosessen. Systemets BIOS kan konfigureres til å deaktivere alle andre enn harddisken oppstartsenheter. Videre, for å forhindre at uvedkommende gjør endringer, kan systemet BIOS være passordbeskyttet. Fysisk låse datamaskinen saken vil begrense tilgangen til hovedkortet inneholder BIOS-chip og sin CMOS-batteriet, som begge kan brukes til å fjerne BIOS passordet. For systemer som er plassert i fellesområder, vurdere fjerning av eksterne medie komponenter, for eksempel diskett og CD /DVD-stasjoner. Det kan hjelpe å deaktivere USB /FireWire-porter og selv konfigurere bestemte maskiner til å bare operere i kiosk-modus.

Uansett sine midler for innreise til en datamaskins kjernenivå, rootkits er en svært kraftig og reell trussel. Mens de står for en liten del av "i naturen" malware, er mest sikkerhetsprogramvare et skritt bak og kan ikke påvise deres nærvær. Perimeter beskyttelse, håndhevelse av begrensede brukerrettighetsnivåer, kombinert med en streng kontroll for å kjøre tjenester vil gi et sterkt nettverk forsvar mot rootkit penetrasjon. Det er viktig for de som er ansvarlige for IT-sikkerhet for å følge trender av rootkit-teknologi i tillegg til utviklingen av utviklernes defensive teknikker.