Προηγμένα rootkit πλαστογραφούν τμήμα της μνήμης για να ξεγελάσουν τα anti-malware


Όλοι γνωρίζετε την ύπαρξη ιών στους υπολογιστές. Εντούτοις, πολλοί μπορεί να αγνοείτε τη χειρότερη κατηγορία ιών, η οποία ονομάζεται rootkit. Και τώρα, απ’ ότι φαίνεται, τα rootkits γίνονται ακόμα εξυπνότερα…
Η βασική διαφορά ενός ιού με ένα rootkit είναι ίδια με τη διαφορά ενός F15 με ένα Stealth bomber: Το rootkit είναι φτιαγμένο για να κρύβεται πολύ καλύτερα. Αυτό το επιτυγχάνει με το να τροποποιεί συγκεκριμένες περιοχές στη μνήμη του τρέχοντος λειτουργικού συστήματος για να πάρει τον έλεγχο του execution control από το λειτουργικό.

Αυτός ο έλεγχος της μνήμης ωθεί το λειτουργικό σύστημα στο να δώσει ανακριβή αποτελέσματα στα προγράμματα antivirus, καθώς το rootkit μπορεί και κρύβει αρχεία, registry entries και processes κατά βούληση.
Βέβαια, υπάρχουν στην αγορά προγράμματα για τον εντοπισμό των rootkit. Αυτά ελέγχουν περιοχές της μνήμης για ύποπτες τροποποιήσεις, προκειμένου να σημάνουν συναγερμό.
Η νέα γενιά rootkit, όμως, και συγκεκριμένμα το TDSS.e!rootkit, πηγαίνει ένα βήμα παραπέρα. Το νέο rootkit τροποποιεί μια θέση μνήμης Χ, η οποία, αξίζει να σημειωθεί, γενικώς τροποποίείται από τα περισσότερα rootkits.
Εφ’ όσον λοιπόν η θέση μνήμης Χ ανήκει στις θέσεις υψηλού κινδύνου, τα περισσότερα anti-rootkit εργαλεία θα την ελέγξουν για να δουν αν έχει υποστεί μεταβολή.
Εκεί που διαφέρει το νέο rootkit, όμως, είναι πως έχει ήδη μετακινήσει το αρχικό, μη τροποποιημένο περιεχόμενο της θέσης Χ σε μια διαφορετική θέση, την Υ. Όταν το anti-rootkit πρόγραμμα προσπαθεί να διαβάσει τα περιεχόμενα της θέσης Χ, το rootkit του σερβίρει το περιεχόμενο της θέσης Y, πείθωντάς το πως όλα είναι καλά.
Ευτυχώς, το TDSS.e!rootkit αυτό δεν είναι τέλειο. Ο Rachit Mathur, ένας από τους κορυφαίους ερευνητές της McAfee, βρήκε τρόπο να το εντοπίσει, χρησιμοποιώντας ένα hardware breakpoint (DR0 Register), ο οποίος βρίσκεται στη θέση Χ και τον οποίο το rootkit προσπαθεί να κρύψει. Αυτό είναι και το κλειδί για να αντιμετωπίσουν τα antimalware προγράμματα το συγκεκριμένο rootkit.
Αυτό που είναι ενδιαφέρον είναι πως η τεχνική memory forge είχε αναφερθεί στο παρελθόν, αλλά το συγκεκριμένο rootkit μοιάζει να είναι το πρώτο που την ενσωματώνει.
Το βέβαιο είναι πως τα anti-malware προγράμματα θα βρουν τρόπο να αντιμετωπίσουν ένα τέτοιο ζήρημα. Από την άλλη μεριά, τα malware του μέλλοντος θα έχουν βρει τρόπο να παρακάμψουν την επιλέον προστασία. Αυτός είναι ο ηλεκτρονικός κύκλος της ζωής…
πηγή:www.secnews.gr