Mebroot: Nová neviditelná hrozba

17. 4. 2009

Sdílet

Nová verze rootkitu jde zase o krok dál. Jakmile se bezpečnostní software pokusí zkontrolovat sektor MBR, rootkit mu vrátí zprávu, že se sektorem nebylo nijak manipulováno.

Tisíce webových serverů servírující nic netušícím návštěvníkům novou verzi rootkitu Mebroot, kterou je pro současné bezpečnostní nástroje velmi obtížné odhalit.

Mebroot byl poprvé zaznamenán na konci roku 2007. Na rozdíl od starších rootkitů, které se do systému obvykle instalovaly jako ovladače, se skrýval hlouběji ve Windows – na disku se totiž zapsal do sektoru MBR (master boot record). Po spuštění biosu se sektor MBR aktivuje jako první při bootování Windows (o sektoru MBR viz česká Wikipedia). Kvůli tomu, že jde o „spouštěcí“ část disku, je (respektive původně byl) MBR prakticky neviditelný pro Windows i pro bezpečnostní aplikace. Pokud se útočníkovi podaří ovládnout tento sektor, přebírá nad počítačem de facto úplnou kontrolu.

Samozřejmě, že právě kvůli hrozbě, kterou Mebroot představoval při svém objevení, se i bezpečnostní firmy pokusily svůj software různě vylepšovat. Nová verze rootkitu jde ale zase o krok dál. Jakmile se bezpečnostní software pokusí zkontrolovat sektor MBR, rootkit mu vrátí zprávu, že se sektorem nebylo nijak manipulováno. To je dáno tím, že Mebroot dokáže ovládnout i řadu funkcí jádra Windows a měnit jejich odpovědi.

Při bootování počítače se tento rootkit spustí v paměti jako proces Windows. Na disk si pak tedy (kromě svého umístění v sekci MBR) nemusí nic zapisovat, což je další faktor, který ho činí neviditelným. Poté krade z počítače různé informace a posílá je přes protokol HTTP na vzdálený server, přičemž se snaží různě maskovat i síťový provoz. Teď jsou tedy na tahu zase bezpečnostní firmy – a lze předpokládat, že se budou snažit zareagovat rychle.

Na hrozbu upozornila britská bezpečnostní společnost Prevx, podle níž se rootkit šíří přes infikované legitimní servery. Mají jich být už tisíce. Přes IFrame je do nich nepozorovaně vložen škodlivý kód, který pak otestuje prohlížeč návštěvníka na určitou zranitelnost – pokud ji objeví, taktéž nepozorovaně se nainstaluje (metoda drive-by download). Jediné štěstí je, že nejnovější verze prohlížečů by měly být bezpečné.

Tvůrci Mebrootu jsou neznámí a možná je paradoxně omezuje snaha o jeho masové šíření, které vzbuzuje publicitu a nutně povede k reakci bezpečnostních firem.

bitcoin_skoleni