;

CPU: Nové místo pro ukrývání rootkitů

23. 3. 2009
Doba čtení: 5 minut

Sdílet

Bezpečnostní experti vytvořili nový typ škodlivého rootkitu, který se může ukrýt přímo v procesoru způsobem, který zabraňuje jeho detekci současnými antiviry.

Dostal označení SMM rootkit (System Management Mode) a operuje v chráněné části počítačové paměti, která může být uzavřená a prakticky neviditelná pro operační systém, ale která je pro hackera dostatečná k tomu, aby měl přehled o dění v počítačové paměti. SMM rootkit má ve svém arzenálu nástroje pro záznam napsaného textu (keylogging) a komunikační část, může tak zcizit, uložit a odeslat citlivé údaje útočníkovi.

Jeho autory ovšem zatím nejsou hackeři, ale Shawn Embleton a Sherri Sparks, majitelé floridské bezpečnostní firmy Clear Hat Consulting. Fungování tohoto (zatím naštěstí pouze „studijního") programu bude předvedeno na srpnové bezpečnostní konferenci Black Hat v Las Vegas.

Rootkity patří k nejzákeřnějším škodlivým programům dneška, jejich specialitou je schopnost kamuflovat svou činnost před antivirovými programy. Ty mají sice velmi často specializované části pro odhalování rootkitů, nicméně jejich účinnost je většinou dost chabá a k likvidaci rootkitů je nutné užívat specializované programy jako například gmer. Velké pozornosti se rootkitům dostalo v roce 2005, kdy Sony BMG Music použila takový program ke skrytí svého protikopírovacího softwaru. Nakonec musela společnost stáhnout miliony CD a tuto aplikaci s velkou ostudou odstranit.

V posledních letech výzkumníci hledají možnosti provozování rootkitů mimo paměť kontrolovanou operačním systémem, což je činí mnohem hůře detekovatelné. Například před dvěma roky programátorka Joanna Rutkowska vytvořila rootkit Blue Pill, který využíval k úkrytu virtualizační hardwarové technologie AMD. Takto by prý šlo vytvořit 100% nezjistitelný malware. Naštěstí podobné výzkumy slouží hlavně k rozvoji bezpečnostních opatření, programů a hardwaru, útočníci si povětšinou vystačí s poněkud méně sofistikovanými programy.

Tento příklad i poslední vývoj SMM ukazují, že výzkum rootkitů se čím dál více ubírá směrem jejich úkrytu v hardwaru, využívání jeho slabin místo nedostatků operačních systémů. Velmi často se přitom jedná o snahu zneužít nějakou technologickou novinku. Blue Pill takto využil nových virtualizačních technologií, které začaly být v té době nově podporovány přímo v procesorech.

Na druhou stranu SMM rootkit využívá vlastnosti procesorů, která existuje již velmi dlouho a je široce rozšířená. System Management Mode byl poprvé přidán do procesorů 386 (1993) jako pomocný nástroj výrobcům hardwaru, kteří prostřednictvím SMM mohli softwarově opravovat chyby ve svých produktech. SMM pomáhá i při správě napájení, například při přechodu počítače do režimu spánku. Tvůrci SMM rootkitu tvrdí, že v mnoha ohledech by měl být ještě mnohem hůře detekovatelný než Blue Pill.

ICTS24

Nápad využít SMM pro malware není nový a již v roce 2006 Loic Duflot předvedl, jak by takový škodlivý program mohl fungovat. Napsal malý SMM obslužný program, který narušil bezpečnostní model operačního systému. Autoři nejnovějšího studijního malwaru šli ovšem dál a vytvořili program využívající technik rootkitu. Aby byl jejich program funkční, museli Sparks a Embleton naprogramovat nejen debugger, ale i ovladač, a to v asembleru, což je dnes jen velmi zřídka užívaný nejnižší stupeň programování nejbližší strojovému kódu. Odloučenost od operačního systému znamená, že takový rootkit je prakticky nezjistitelný, na druhou stranu musí útočník být velmi schopným programátorem a vytvořit kód na míru konkrétnímu napadanému systému. Podle Sparkse tedy nelze očekávat záplavu takových útočných programů, spíše se bude jednat o cílené útoky na vytipované systémy.

Ani tento rootkit samozřejmě není totálně nezjistitelný, je to jen velmi obtížné. Proto je důležitý preventivní výzkum, aby v případě útoku bylo možné si s ním poradit.