Rootkity a boti: Sílící nebezpečí pro PC

Nedávno médii široce komentovaná kontroverzní technologie firmy Sony BMG, jež využívá pro ochranu autorských práv n...


Nedávno médii široce komentovaná kontroverzní technologie firmy Sony BMG, jež
využívá pro ochranu autorských práv na hudebních CD techniku, která je
spojována spíše s tvůrci malwaru, vyvolala řadu otázek, týkajících se nových
typů ohrožení uživatelských PC. Ukazuje se totiž, že doba, kdy by se lidé měli
bát především virů a červů, je zřejmě definitivně pryč. Na scénu se totiž
dostávají různé typy rootkitů či botů, které dokáží PC zamořit výrazně
sofistikovanějším způsobem, než tak činí dosavadní nejrozšířenější techniky.
Boti (softwaroví roboti), respektive botnety (tedy sítě počítačů, jež byly boty
napadeny a jež mohou být autory tohoto malwaru využívány k nekalým účelům),
zcela určitě nejsou novinkou. S jejich pomocí mohou útočníci převzít plnou
kontrolu nad napadeným PC.
V různých podobách se boti objevují už nejméně dvě dekády. V současnosti však
roste závažnost útoků, které jsou prostřednictvím jich prováděny, a stoupá také
dopad ztrát, které jsou jimi způsobeny. Například začátkem tohoto měsíce byl
zatčen 20letý Jeanson James Ancheta, jenž dokázal k posílání spamu zneužít
tisíce počítačů. Uvedený mladík služby těchto zneužitých počítačů přitom
prodával i dalším zájemcům a získal za to prý minimálně 60 000 dolarů.
Podle Hugha Thompsona ze společnosti Security Innovation údajně pronájem celých
botnetů není nic neobvyklého. Cena za hodinové využití takové sítě se přitom
pohybuje okolo 300 až 700 dolarů a kupující využívají pro legalizaci takové
operace klasické elektronické peníze, jako je třeba eGold nebo Web Money.
V říjnu tohoto roku zase holandská policie zatkla několik osob podezřelých z
ovládnutí asi 100 tisíc PC pomocí Toxbotu. Obvinění jej prý využívali ke
krádežím informací o kreditních kartách či jiných osobních údajů. Celkem prý
bylo napadeno asi 1,5 milionu PC.

Jak se šíří
Boti se přitom na uživatelovo PC dostávají prostřednictvím tradičních nákaz,
jako jsou viry nebo červi. Vzhledem k tomu, že útočník, který využije různé
zranitelnosti softwaru nainstalovaného na příslušném počítači, dokáže napadený
systém plně ovládnout, obvykle jej může využít k prakticky neomezenému počtu
nekalých činností, jako je například rozesílání spamu, zdroj útoků typu DoS
(Denial-of-Service) či ke krádežím rozličných typů informací (třeba phishing).
Experti na bezpečnost uvádějí, že boti dosud napadli miliony počítačů a ke
svému zamaskování využívají další techniky, jako je například šifrování nebo
rootkity.
Navíc stoupá i počet způsobů, kterými lze boty na dálku ovládat. Zatímco dříve
šlo téměř výhradně o kanály Internet Relay Chat (IRC), což byl jeden z hlavních
důvodů pro to, proč řada společností IRC na firewallech blokovala, nyní mohou
být boti ovládáni i prostřednictvím dalších komunikačních prostředků, jako je
web, aplikace instant messagingu či sítě peer-to-peer.
Struktura spojená s boty se rovněž pomalu podobá té webové. Podle Petera
Tippetta z firmy Cybertrust, jež dokázala vystopovat téměř 12 tisíc lidí
podílejících se na nekalé činnosti botů, komunita těchto podvodníků namísto
dřívějších vzájemných soubojů začíná úzce spolupracovat a sdílet nebezpečné
kódy. "Jde o takový ďábelský open source," tvrdí Peter Tippett, "který stále
mění svou podobu."
Pravděpodobně první bot, který využil pro své utajení rootkit, byl objeven
letos v květnu. Využití rootkitů přitom přidělalo vrásky na čele hlavně
výrobcům antivirových programů, protože detekce takového malwaru se okamžitě
značně ztížila. "Rootkity, pracující na úrovni jádra, jsou pro takové výrobce,
jako jsme my, extrémně složitý problém," říká Vincent Weafer z firmy Symantec.
Samotné antivirové programy totiž na jeho odstranění nestačí. Přesto nějaké
protizbraně existují - například určité systémy typu hostitelských IDS
(Intrusion-Detection System) jsou schopny detekovat napadení kernelu operačního
systému koncových stanic. Řešení IDS postavené na analýze chování zase mohou
zachytit boty ještě před tím, než jsou jinými systémy oficiálně potvrzeny.
Podle firmy Symantec bylo během prvních šesti měsíců letošního roku denně
napadeno boty v průměru asi 10 352 počítačů.
Oproti předchozímu pololetí jde o 140% nárůst. Některé typy velmi pokročilých
botů, jako je například Mytob či Sdbot, se dokonce propracovaly mezi 10
nejhorších nákaz v měsíci, kdy byly objeveny (tyto žebříčky uvádí takové
firmy, jako McAfee, Kaspersky Lab či Trend Micro).



Neviditelní bojovníci ve Windows

Rootkity jsou podle Microsoftu typem malwaru, jenž se z prostředí unixových
systémů přesouvá do světa Windows, a to v daleko rafinovanější podobě. Rootkity
jsou malé programy typu trojských koní, které je velmi složité v napadeném
počítači detekovat a jež umožňují útočníkovi převzít plnou kontrolu nad
infikovaným osobním počítačem.
Podobně jako trojské koně i rootkity instalují sebe sama prostřednictvím
zranitelností PC připojených k síti či pomocí utajených doplňků zpráv
elektronické pošty nebo spustitelných programů. Rootkity také často otevírají
zádní vrátka pro vzdálené uživatele, kteří tak mohou získat přístup k
informacím o bankovních účtech, číslech platebních karet nebo mohou jednoduše
využít napadený počítač jako zdroj pro šíření spamů. Čím se však od trojských
koní liší, je to, že jejich útok je veden na nižší úroveň operačního systému a
že využívají bezpečnostních funkcí OS k dokonalejšímu zakrytí vlastní
přítomnosti či prováděných činností.
Pracovníci Microsoftu poprvé o rootkitech referovali v březnu tohoto roku.
Krátce na to pak společnost Sysinternals představila rootkit detektor, který
označila jako RootkitRevealer. Podobný krok učinila i firma F-Secure, a to
prostřednictvím BlackLightu, jenž dokázal rootkity nejen detekovat, ale i
odstranit.
Nalezení rootkitu v osobním počítači je velmi obtížné a připomíná spíše hru
kočky s myší. Například krátce poté, co F-Secure představil svůj BlackLight,
autor rootkitu jménem Hacker Defender rozeslal video ukazující, jak si jeho
řešení s uvedeným ochranným programem (ale i s RootkitRevealerem) bez problému
poradí.
Nebezpečí rootkitů spočívá v tom, že úzce kooperují s dalšími typy malwaru,
jako jsou červi nebo viry. Prodejci bezpečnostního softwaru jsou tak postaveni
před podstatně složitější úkol, jak kombinované nebezpečí odhalit. Přesto jsou
mnozí z nich přesvědčeni, že počet nových rootkitů dramatickým způsobem
nestoupá. Navíc je podle nich tím nejjednodušším způsobem, jak se rootkitu
zbavit, vymazání pevného disku a reinstalace operačního systému. Nástroje jako
BlackLight jsou vhodné především tam, kde by mohly nastat obtíže s backupem.
Pro uživatele je ale dnes nejlepší bránit se rootkitům pomocí dobře nastaveného
firewallu a aktualizovanými antivirovými programy.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.