Kötü Adamlar tarafından Göz ardı Edilmiş Bir Sinsi Güvenlik Sorunu

Frank Boldewin zamanında çok kötü niyetli yazılım görmüştü, ama hiçbir zaman Rustock.C gibi bir şey görmemişti.

Windows PC'lere bulaşmak ve onları istenmeyen spam sunucularına dönüştürmek için kullanılır, Rustock.C bir rootkittir. Kendisini Windows işletim sistemine yükler ve sonra bunu tespit etmek veya analiz etmek neredeyse imkansız hale getiren çeşitli karmaşık teknikler kullanır.

Bu yılın başlarında kodu incelemeye başladığında, bilgisayarın çökmesine sebep olur.. Şifrelenmesi gereken sürücü seviyesi şifrelemesi vardı ve "spagetti kod yapısı" kullanılarak montaj dilinde, Boldewin'in yazılımın gerçekte ne yaptığını anlamasını zorlaştıracak şekilde yazılmıştı.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Bir rootkit'i analiz etmek, Boldewin'in teknik becerilerine sahip biri için tipik olarak bir akşam çalışmasıdır. Bununla birlikte, Rustock.C ile, yazılımın nasıl çalıştığını anlamaları günlerce sürdü.

Dikkat edilmesi zor olduğundan, Alman BT servis sağlayıcısı GAD ile bir güvenlik araştırmacısı olan Boldewin, Rustock.C'nin Antivirüs ürünlerinin tespit edilmeye başlanmasından yaklaşık bir yıl önce.

Bu rootkit'lerin hikayesi. Sinsi. Ama onlar büyük bir tehdit mi?

2005'in sonlarında Mark Russinovich en ünlü rootkit'i keşfetti. Bir windows güvenlik uzmanı olan Russinovich, bir gün PC'sinde bir rootkit bulduğunda şaşkına döndü. Sonrasında biraz tereddüt ettikten sonra, Sony BMG Music Entertainment tarafından kullanılan kopya koruma yazılımının aslında bilgisayarlarda gizlemek için rootkit tekniklerini kullandığını keşfetti. Sony'nin yazılımı kötü amaçlı bir şey yapmak için tasarlanmamıştı, ancak neredeyse tespit edilemeyen ve kaldırılması çok zordu.

Sony'nin rootkit'i, yazılımdan etkilenen kullanıcılarla yasal yerleşimlerde milyonlarca dolar harcayan şirket için büyük bir PR felaketi oldu.

Üç yıl sonra, Microsoft ile teknik bir arkadaş olan Russinovich, hala bilgisayar kullanıcıları için en fazla sorun yaratan rootkit'i düşünüyor.

Fakat Sony rootkit antivirüs satıcıları için de sorunlara yol açtı. Bunların hiçbiri bir yıl boyunca bu yazılımı bile fark etmemiş olmasının güvenlik endüstrisi için ciddi bir kara gözlüydü.

Yıllar önce Unix makinelerinde başladıkları halde, Sony fiyasko zamanı geldiğinde, rootkit'ler dikkate alındı. antivirüs sağlayıcıları için bir sonraki büyük tehdit. Güvenlik araştırmacıları, rootkit'leri gizlemek için sanallaştırma teknolojisinin kullanımını araştırdılar ve tamamen tespit edilemeyen bir rootkitin bir gün oluşturulup oluşturulamayacağını tartıştılar.

Ancak Russinovich şimdi rootkit'lerin hype'larına kadar yaşayamayacağını söylüyor. "Bir röportajda herkesin beklediği kadar yaygın değiller" dedi.

"Kötü amaçlı yazılımlar, rootkit çılgınlığının devam ettiği zamandan çok farklı bir şekilde çalışıyor." Dedi. "Sonra … kötü amaçlı yazılım masaüstünüzün her tarafındaki pop-up'ları fırlatır ve tarayıcınızı devirir. Bugün tamamen farklı bir tür kötü amaçlı yazılım görüyoruz."

Bugünün kötü amaçlı yazılımları arka planda sessizce çalışıyor, kötü amaçlı web sitelerini barındırmadan veya kurban neler olduğunu fark ediyor. İronik bir şekilde, saptamaktan kurtulmak için inşa edilmiş olsalar da, en sofistike çekirdek seviyesindeki rootkitler, kendilerine dikkat çekecek kadar inanılmaz derecede müdahaleci olduklarını söylüyorlar. Güvenlik uzmanları şöyle diyor:

“Çekirdeğiniz için kod yazmak çok zor. Symantec'in Güvenlik Müdahale ekibinin başkan yardımcısı Alfred Huger, bilgisayarınıza çarpıştı. "Yazılımınız bir başkası için oldukça kolay bir şekilde adım atabilir."

Huger, rootkit'lerin Unix kullanıcıları için hala bir sorun olsa da, Windows PC'lerde yaygın olmadığını kabul ediyor.

Rootkit'ler yüzde 1'inden daha azını oluşturuyor. Symantec'in bu günlerde izlediği enfeksiyonlar. Rustock.C'ye gelince, tüm teknik karmaşıklığına rağmen, Symantec onu sadece yaklaşık 300 kez vahşi olarak gördü.

Huger, “Bütün kötü amaçlı yazılım spektrumunda, çok küçük bir parça ve bugünün riski sınırlı” dedi.

Bununla birlikte, herkes Symantec'in bulgularıyla aynı fikirde değil. N.runs ile ürün güvenliği müdürü Thierry Zoller, Rustock.C'nin kötü şöhrete sahip Rus İş Ağı aracılığıyla yaygın bir şekilde dağıtıldığını ve onlardan binlerce kişinin bulaştığını söylüyor.

"Rootkits" Mümkün olduğu sürece uzlaşılmış bir hedef ve yaygın bir şekilde yayılma hedefine sahip olmadı, "dedi. Anında mesaj yoluyla yapılan bir röportajda dedi.

Sonunda, suçlular rootkit'lerden kaçınmak için çok basit bir sebep olabilir: Onlara ihtiyacım var.

Sinsi rootkit teknikleri kullanmak yerine, bilgisayar korsanları, antivirüs üreticilerinin yazılımları ile meşru programları arasındaki farkı anlamasını zorlaştırmak için yeni teknikler geliştirdiler. Örneğin, bir kötü amaçlı programın binlerce farklı sürümünü oluşturarak, her seferinde kodun antivirüs ürünlerinin tespit edilmesinde zorlanmasına neden olurlar.

2007'nin ikinci yarısında, örneğin, Symantec yaklaşık yarım milyon Kötü amaçlı kodun yeni türleri, yılın ilk yarısından itibaren yüzde 136 oranında. Güvenlik uzmanları bu durumun 2008'de daha da kötü olduğunu söylüyorlar.

"Karşı karşıya olduğumuz şeyler o kadar da karmaşık değil," diyor HBGary CEO'su Greg Hoglund, müşterilere bilgisayar müdahalelerine cevap vermek için yazılım satan bir şirket. "Günümüzde dışarıda olan kötü amaçlı yazılımların çoğu saklanmaya bile hazır değil."

Örneğin, HB Gary'nin müşterilerinin bir tanesi yakın zamanda hedefe yönelik bir saldırıya uğradı. Hoglund, kötü adamlar tam olarak ne istediklerini biliyorlardı ve ağa girdikten sonra, şirketin olay müdahale ekibinin bile oraya ulaşmasından önce bilgileri kaydırdı. “Saldırganların verilere o kadar çabuk ulaşacaklarını bile bilmedikleri çok açıktı.” “