Умница Русаков, которого многие до сих пор ошибочно называют РусТОКов, написал очередную статью на www.securelist.ru. И опять — про руткит-технологии. Впрочем, в этой статье не упоминается ни TDL 4, ни какая-либо другая вредоносная программа. Потому что статья — про опасности использования неаккуратно реализованных руткит-технологий в легальных продуктах, о чем автор прямо сообщает во введении. Кстати, за введение ему отдельное спасибо, потому что без него неподготовленный читатель вообще бы ничего не понял — несмотря на то, что в тексте довольно много картинок.
Для начала автор с подозрительной прозорливостью придумывает несколько случаев той самой неаккуратной реализации, которая могла бы позволить злодеям использовать легальные драйверы, протекторы, крипторы и классические анти-руткиты в своих злодейских целях. Ему практически удается убедить читателя, что легальный подписанный драйвер представляет потенциальную угрозу безопасности, в том случае, если руткит-технологии реализованы в нем с тщательностью российского автопрома. Мало того, с подозрительной осведомленностью утверждая, что и по ту сторону баррикад не дураки имеются, автор запугивает читателей возможностью злодеев разобрать им же самим придуманную небрежную реализацию драйвера режима ядра по косточкам и полученные таким варварским способом знания опять же — использовать в злодейских целях.
«Однако нами была обнаружена аномалия — подмена MBR при чтении. Подмена реализуется фильтр-драйвером дискового стека» (Comodo Time Machine).
Затем оказывается, что на компьютерах пользователей имеются-таки легальные программы, поведение которых кажется подозрительным не только автору, но и антируткит-компоненту Антивируса Касперского. Автор рассматривает четыре программы, использующие руткит-технологии: COMODO Time Machine, Norton GoBack, RestoreIT и PC Back Pro/Rollback Rx (одна программа с двумя именами). Все продукты были созданы с благородной целью — вернуть систему к нормальному состоянию в случае непредвиденных катаклизмов. Хотя две из четырех программ уже не поддерживаются производителем, автор и к ним придирается. И выясняет, что во всех программах реализована возможность запуска с помощью волшебной кнопки специальной консоли восстановления до загрузки операционной системы. Для реализации этой возможности во всех случаях использован механизм модификации MBR.
Дальше — хуже. Во всех программах обнаруживается подмена MBR при чтении, которая реализуется фильтр-драйвером дискового стека. К тому же в случае чтения MBR выдается содержимое MBR до модификации — то есть поддельное содержимое. А запись в MBR либо запрещена, либо фильтр-драйвер посылает куда подальше, т.е. перенаправляет запрос, и запись происходит в другое место. При этом модифицированный MBR остается нетронутым.
Еще дальше — еще хуже, потому что автора, несмотря на всю его прозорливость, факт сокрытия MBR «удивил». И он решает проверить, как ведут себя продукты, если модифицировать загрузочную запись в обход фильтр-драйвера. С успехом впихнув в MBR кучу мусора в обход фильтра, автор обнаруживает ужасные вещи: все продукты после перезаписи MBR продолжают выдавать при чтении MBR поддельное содержимое; компьютер после перезагрузки («понятное дело») не загружается; а консоль восстановления вызвать невозможно никакими волшебными кнопками.
Поразмыслив над ситуацией, автор приходит к выводу, что использование данного ПО может грозить пользователю кучей неприятностей, а именно:
• у него не будет возможности узнать о заражении MBR;
• вредоносные программы на компьютере будут скрываться с помощью легальной утилиты;
• при возникновении серьезных проблем ПО для отката системы, скорее всего, не сработает;
• использование инструментов редактирования разделов может привести к потере работоспособности системы.
Находясь под большим впечатлением от содеянного, Русаков даже дает несколько рекомендаций производителям рассмотренных выше продуктов и их аналогов. Цитируем:
Мы, со своей стороны, присоединяемся к призывам Вячеслава: если ваши продукты что-нибудь от пользователя прячут — пусть прекратят немедленно! Потому что знатоки творчества автора знают, что это еще не конец. Умница Русаков со временем напишет еще одну статью, и, если вы немедленно не последуете его советам, он доберется и до ваших продуктов, и до реализованных в них руткит-технологий, и до корня зла.
Для начала автор с подозрительной прозорливостью придумывает несколько случаев той самой неаккуратной реализации, которая могла бы позволить злодеям использовать легальные драйверы, протекторы, крипторы и классические анти-руткиты в своих злодейских целях. Ему практически удается убедить читателя, что легальный подписанный драйвер представляет потенциальную угрозу безопасности, в том случае, если руткит-технологии реализованы в нем с тщательностью российского автопрома. Мало того, с подозрительной осведомленностью утверждая, что и по ту сторону баррикад не дураки имеются, автор запугивает читателей возможностью злодеев разобрать им же самим придуманную небрежную реализацию драйвера режима ядра по косточкам и полученные таким варварским способом знания опять же — использовать в злодейских целях.
«Однако нами была обнаружена аномалия — подмена MBR при чтении. Подмена реализуется фильтр-драйвером дискового стека» (Comodo Time Machine).
Затем оказывается, что на компьютерах пользователей имеются-таки легальные программы, поведение которых кажется подозрительным не только автору, но и антируткит-компоненту Антивируса Касперского. Автор рассматривает четыре программы, использующие руткит-технологии: COMODO Time Machine, Norton GoBack, RestoreIT и PC Back Pro/Rollback Rx (одна программа с двумя именами). Все продукты были созданы с благородной целью — вернуть систему к нормальному состоянию в случае непредвиденных катаклизмов. Хотя две из четырех программ уже не поддерживаются производителем, автор и к ним придирается. И выясняет, что во всех программах реализована возможность запуска с помощью волшебной кнопки специальной консоли восстановления до загрузки операционной системы. Для реализации этой возможности во всех случаях использован механизм модификации MBR.
Дальше — хуже. Во всех программах обнаруживается подмена MBR при чтении, которая реализуется фильтр-драйвером дискового стека. К тому же в случае чтения MBR выдается содержимое MBR до модификации — то есть поддельное содержимое. А запись в MBR либо запрещена, либо фильтр-драйвер посылает куда подальше, т.е. перенаправляет запрос, и запись происходит в другое место. При этом модифицированный MBR остается нетронутым.
Еще дальше — еще хуже, потому что автора, несмотря на всю его прозорливость, факт сокрытия MBR «удивил». И он решает проверить, как ведут себя продукты, если модифицировать загрузочную запись в обход фильтр-драйвера. С успехом впихнув в MBR кучу мусора в обход фильтра, автор обнаруживает ужасные вещи: все продукты после перезаписи MBR продолжают выдавать при чтении MBR поддельное содержимое; компьютер после перезагрузки («понятное дело») не загружается; а консоль восстановления вызвать невозможно никакими волшебными кнопками.
Поразмыслив над ситуацией, автор приходит к выводу, что использование данного ПО может грозить пользователю кучей неприятностей, а именно:
• у него не будет возможности узнать о заражении MBR;
• вредоносные программы на компьютере будут скрываться с помощью легальной утилиты;
• при возникновении серьезных проблем ПО для отката системы, скорее всего, не сработает;
• использование инструментов редактирования разделов может привести к потере работоспособности системы.
Находясь под большим впечатлением от содеянного, Русаков даже дает несколько рекомендаций производителям рассмотренных выше продуктов и их аналогов. Цитируем:
- Механизм модификации MBR вполне легален, но необходимо полностью отказаться от руткит-технологий в своих продуктах — существуют и другие алгоритмы. Не надо ничего скрывать от пользователей.
- Консоль восстановления можно реализовать в виде загрузочного диска или сменного носителя.
- В драйверах необходим функционал аутентификации вызывающего, если его там нет (конец цитаты).
Мы, со своей стороны, присоединяемся к призывам Вячеслава: если ваши продукты что-нибудь от пользователя прячут — пусть прекратят немедленно! Потому что знатоки творчества автора знают, что это еще не конец. Умница Русаков со временем напишет еще одну статью, и, если вы немедленно не последуете его советам, он доберется и до ваших продуктов, и до реализованных в них руткит-технологий, и до корня зла.
