Скрытая угроза. Руткиты как они есть

Традиционные вирусы, с которыми боролись на заре мировой компьютеризации, уходят со сцены вместе со своим любимым носителем — 3,5-дюймовой дискетой. Широкие каналы связи оказались для них слишком узкими. Пальму первенства перехватили сетевые черви. Именно с ними приходилось бороться антивирусным компаниям в последние годы.

Несмотря на изобретательность вирусописателей, на каждый вид червя найден свой дихлофос. Однако сегодня на сцену выходит новая разновидность вредоносных программ, которую не в силах обнаружить ни один антивирус или брандмауэр. Напасть получила название руткиты. Это не вирусы в привычном смысле. Они не размножаются сами по себе (во всяком случае, пока). Но руткиты открывают дорогу заразе, которая может стать причиной гибели операционной системы.

И то, что обнаружить их крайне сложно, делает эту новую угрозу опасной вдвойне. В конце концов, люди тоже умирают не от самого вируса СПИДа, а от любой другой посторонней инфекции, попавшей в ослабленный организм.

Вредоносная защита

Руткиты (rootkit), как и бэкдоры (backdoor), — типично хакерский инструментарий. Но если последние предназначены для прямого силового воздействия на защиту атакованного компьютера (их можно сравнить с фомкой и ломиком), то у руткитов совсем иная роль. Они прячут от постороннего взгляда следы насилия над компьютером жертвы — файлы программ, которых никто по доброй воле туда не ставил. То есть руткиты выступают как «группа прикрытия», а в самом вредительстве, как правило, участия не принимают.

Казалось бы, и чего в них тогда такого страшного? Идея совсем не оригинальна. Всем известно, что Windows с давних пор вполне официально прячет от глаз потенциально опасного для нее криворукого пользователя, которыми по умолчанию в Microsoft считаются все, некоторые особо важные папки. Да и многие программы, в том числе и игры, тоже показывают далеко не все, что устанавливают на жесткий диск. Однако эта скрытность прозрачна — достаточно в свойствах папки установить флажок « Показывать скрытые файлы », и вам откроется все. А вот до спрятанного руткитом так просто не добраться. Более того, без специальных программ вы даже не узнаете, что на вашем компьютере что-то спрятано. И это уже большая проблема, поскольку открывает широкие возможности для любых злоупотреблений этим незнанием. И, между прочим, речь идет не только о хакерах.

Не так давно руткиты стали причиной громкого скандала вокруг мегакорпорации Sony. В один ненастный осенний день Марк Руссинович (несмотря на фамилию, не русский, а вовсе даже американец) сидел дома и по обыкновению возился со своей новой программой (в Сети много полезного софта за его авторством). Марк следил за последними достижениями хакерской мысли, и его программа — RootkitRevealer (доступна для свободного скачивания по адресу http://download.sysinternals.com/Files/RootkitRevealer.zip) — как раз предназначалась для поиска вражеских «засланцев» и хитро спрятанных ими посторонних файлов.

Тестовый запуск прервался совершенно неожиданным образом. Марк обнаружил на своем компьютере самый настоящий руткит! Его удивлению не было предела. Он не имел порочных связей в ХХХ-контенте, не скачивал сомнительных файлов — в общем, не был завсегдатаем интернет-помоек, где отзывчивые товарищи всегда готовы бесплатно поделиться последней партией дурно пахнущих отбросов. Тем не менее RootkitRevealer недвусмысленно сигнализировал о скрытом драйвере устройства, папке и какой-то программе.

При этом диспетчер задач не выявил никаких запущенных на компьютере подозрительных процессов. Марк предпочел все же поверить собственной программе и не ошибся. После длительных поисков источник был обнаружен. Некоторое время назад он приобрел на Amazon.Com музыкальный CD Get Right With the Man с записью песен братьев Van Zant. А чтобы покупатель не нажился на содержимом этого диска, фирма Sony BMG предусмотрительно поставила на него системы защиты от копирования MediaMax CD-3 и Extended Copy Protection , сделанные по технологии DRM ( Digital Rights Management ).

Защита позволяла Марку сделать три копии продукта. Как оказалось, основная часть антикопировального механизма была основана на скрытой установке в систему драйвера дополнительного устройства, а также программы, которая это устройство использовала, и папки, куда укладывались файлы. Все это становилось абсолютно невидимым с помощью руткита.

Озабоченный Марк бросился изучать лицензионное соглашение на диске с защитой DRM и нигде не обнаружил никаких упоминаний о возможном вмешательстве в работу операционной системы. Информацией о создании скрытых от пользователя файлов и папок разработчики защиты Sony BMG тоже не поделились. Об этом досадном упущении с их стороны Руссинович немедленно настучал мировой общественности через свой блог (www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html). « Опа, подумаешь, Америку открыл! — воскликнут некоторые. — На то она и система защиты, чтобы ее шестеренки прятались в самых недоступных местах ». Все дело в том, каким именно способом они спрятаны.

Ядерная атака

В конце 90-х в одном популярном мультсериале виртуальные 3D-герои боролись с не менее виртуальными мега-злодеями непосредственно внутри операционной системы. Основной целью мультяшных вирусов, троянцев и шпионских программ было какое-то непонятное ядро. Художники изображали его в виде круглого бункера со специальной панелью управления всеми процессами. Если сама система представлялась им как открытый огромный город, по которому ходили странные жители — байты (квадратные, одноглазые прямоугольники с ножками и ручками), то ядро пряталось глубоко под землей, в секретной шахте. Все подступы к ней охранялись мощными защитными механизмами. По представлениям авторов сериала, если зловредные программы доберутся до ядра, то все пропало. Само собой, в мультике этого не случилось. Зато в жизни стало реальным фактом.

Долгое время создание программ, которые будут работать на самом нижнем, самом защищенном уровне операционных систем казалось невозможным. Слишком много трудностей. Нужны специальные знания, часто засекреченные производителями как самая важная часть их капитала. Нужен высокий уровень теоретической подготовки, чтобы воспользоваться этими знаниями. Людей, которые могли бы написать такие программы, совсем немного. Казалось фантастикой, что кто-то из них захочет заниматься подобными глупостями. Тем не менее такие нашлись.

Первым пал Unix. Появился руткит, использующий базовые свойства, на которых основана эта система. Кстати, сам термин (от англ. root и kit) говорит об изначальной связи с Unix (root — корень, ядро этой ОС). «Ядерная» программа в обычном режиме умеет прятать концы за счет изменения функций Windows API (на которых основана работа системы) вроде FindFirstFile /FindNextFile , отвечающих за показ файлов и папок. Они просто перестают замечать то, что нужно спрятать, чем бы вы ни пробовали посмотреть содержимое логических дисков. В защищенном же режиме руткит перехватывает обращения и меняет таблицу системных вызовов. Безопасный режим перестал быть безопасным.

Windows имеет специальную базу данных, в которой хранит идентификационные номера всех сервисных служб и указателей на функции драйверов различных устройств. Обычно несанкционированное вмешательство в таблицу заканчивается крахом системы или ее частичной неработоспособностью. Однако руткиты вносят изменения очень аккуратно.

Внешне все остается как прежде — система работает, программы запускаются без задержки. Но на диске уже создана скрытая папка, в которой может оказаться все что угодно — от вируса до шпионской программы. Причем содержимое этой папки нормальному антивирусу так же недоступно, как и самому пользователю компьютера. Ведь для своей работы он тоже использует Windows API!

Руткиты обеспечивают новым вирусам более высокие шансы на выживание. Этим удачным обстоятельством немедленно воспользовались вирусописатели. Почти сразу после появления информации о рутките, который использовала для защиты дисков от копирования компания Sony BMG, в « Лаборатории Касперского » заявили о появлении в Сети хакерской отмычки Backdoor.Win32.Breplibot.b. Распространялась она через спам-рассылку. К письму прикреплялась фальшивая фотография (техника подмены картинок вирусами описывалась нами ранее). Как только юзер пробовал посмотреть рисунок, запускался вредоносный код. Причем первым делом он копировал себя в системный каталог $SYS$DRV.EXE. А именно в папке под таким названием хранились части DRM-защиты фирмы Sony. Если пользователь слушал диски Audio CD Sony, то бэкдор оказывался надежно скрыт от обнаружения любыми доступными методами.

Вот так аукнулось головотяпство Sony. Кстати, у многих профессиональных программистов сразу же возникло несколько любопытных вопросов. Хакер, использовавший руткит, скорее всего сам ничего не открывал. Он просто воспользовался информацией, которую разместил в Сети Марк Руссинович. Так стоило ли рассказывать каждому встречному о своем открытии? С другой стороны, на грязном деле попалась весьма уважаемая компания. Кто даст гарантию, что другие системы защиты дисков от других производителей не используют то же самое? В том числе и на дисках с компьютерными играми? Никаких гарантий у нас нет!

Фальшивые перспективы

На борьбу с новой угрозой брошены лучшие силы, но тем не менее прогнозы неутешительные. Отдельные энтузиасты и специалисты крупных корпораций по производству софта пытаются найти противодействие. Тот же Марк Руссинович, как мы уже говорили, работает над программой по обнаружению руткитов — RootkitRevealer.

Есть и другие утилиты — Avenger (http://swandog46.geekstogo.com/avenger.zip), Helios (http://helios.miel-labs.com/downloads/Helios.zip, утилита требует для установки Net Framework v.2.0.50727 ), DarkSpy (сетевая версия доступна по адресу www.fyyre.net/~cardmagic/download/darkspy105_en.rar), IceSword (www.xfocus.net/tools/200509/IceSword_en1.12.rar). На наш диск мы эти программы не выкладываем по банальной причине — практически все антивирусы ошибочно видят в них троянцев. Весят утилитки немного, так что если будет желание или необходимость, вы всегда сможете их скачать с сайтов разработчиков.

Однако сотрудникам Microsoft вместе со специалистами Мичиганского университета весной этого года удалось создать принципиально новый руткит, который вообще не поддается обнаружению никакими стандартными способами. Новый монстр получил условное название SubVirt. Он создает монитор виртуальной машины ( Virtual Machine Monitor , VMM ) и полностью подгребает под себя все запущенные программы. И они прекрасно работают. Но ни одна из них не в состоянии определить, что Windows на самом деле фальшивая. Все как в теории относительности Альберта Эйнштейна — чтобы определить, движется тело или нет, нужно находиться снаружи, а не внутри.

* * *

Скорее всего, специалисты что-нибудь придумают для защиты наших компьютеров от руткитов. А пока приходится констатировать тот факт, что мы, обычные пользователи, все больше теряем контроль над своими собственными компьютерами. Поскольку теперь никто не может с уверенностью утверждать, что на его машине нет тайников с сюрпризами.