En PC & Nätverksteknikers tankar

Rootkits är det mest vanliga sättet för virusspridare att attackera Windows operativsystem. I en längre artikel ger Kaspersky Labs virusanalytiker, Alisa Shevchenko, en historisk översikt över utvecklingen av rootkits fram till idag.

Trots att rootkits har sitt ursprung i UNIX-världen, så härstammar moderna Windows rootkits från DOS-virus med stealthteknik som först dök upp under 1990-talet. Dessa virus utvecklades för att gömma sig för användaren och för antivirusprogrammen. Det var först senare som dessa tekniker användes av Windows rootkits för att dölja andra sabotageprogram.

Rootkits kan delas in i tre kategorier:

• Trojaner som använder sig av färdiga verktyg och bibliotek för att gömma sig i systemet.
• Färdiga skadliga rootkits, som kunde modifieras av användaren.
• Anpassade rootkits, som utvecklades speciellt för riktade attacker.

Under 2005 var användningen av rootkit-teknikerna vitt spridda och detta uppmärksammades av media som upptäckte att denna teknik inte bara användes i skadliga program, utan även i kommersiella produkter. Ett exempel på detta var Sony DRM-skandalen under 2006. Både antivirus-företagen och oberoende forskare reagerade på användningen av rootkits och skapade en stor mängd tekniker, produkter och verktyg till för att bekämpa dem.

Shevchenko tar också upp aktuella trender såsom bootkits, den mytiska rootkiten Rustock.c, och rootkits för icke-Windowssystem som Mac OS X, Linux, Unix samt mobila operativsystem.

Källa: Newsdesk/Viruslist.com

Det är Immunitys program DR, Debug Register, som sedan i torsdags finns som öppen källkod. Programmet är ett verktyg för säkerhetstester. Det kan till exempel användas för att dölja bakdörrar och andra former av skadlig kod.

Det som gör DR speciellt är dess förmåga att gräva sig djupt in i en servertjänst och maskera sig själv som en kernel-debugger. Genom att använda en processors inbyggda system för att skapa "interrupts" kan den undvika en del av de spärrar som inneburit stopp för tidigare rootkits som manipulerat operativsystems anropstabeller.

Just den funktionen är intressant eftersom fler och fler Linuxdistributioner härdar sina anropstabeller mot ändringar och program mot rootkits, som chrootkit, och rkhunter aktivt letar efter just den typen av förändringar.

Säkerhetsexperten Joachim Strömbergson menar att det säkert underlättar för dem som vill skapa skadliga program och för de skript-ungar som vill köra dem. Men detta innebär inte slutet för säkerhet på Linux.

- Det finns en massa andra verktyg också. Dessutom måste du ju komma åt att köra ett sånt här program också. Den accessen har inte alla automatiskt, säger Joachim Strömbergson på Informasic.

Källa: The Register

Säkerhetsorganisationen CERT varnar för att en elak linux mask vid namn Phalanx2, håller på att sprida sig över nätet och samla in SSH-nycklar.

Hackaren tar sig in i ett system via OpenSSH med hjälp av nycklar de kommit över. Även om Debians säkerhetsbrist inte nämns i sammanhanget är det troligt att hackaren tagit sig in i olika system den vägen och sedan fortsatt.

Debian hade missat att implementera en slumptalsfunktion när nya nycklar plockades fram och som källa användes bara ett tal mellan 1 och 65535. Att gissa en nyckel kunde därmed gå riktigt snabbt.

Efter ett lyckat intrång används en lokal säkerhetsbrist (local exploit) för att masken skall få administrativa rättigheter.

Masken som går under namnet Phalanx2 är en modifierad variant av ett rootkit vid namn Phalanx, och tar sig in i kärnan, gömmer sina filer, processer, sockets och öppnar upp en TTY i ditt system.

Phalanx2 är extra elak eftersom koden har utformats för att söka igenom ditt system efter andra SSH-nycklar och använda dem för att sedan hoppa till fler system.

Masken är ändå enkel att upptäcka. Om du kan ändra aktuell katalog till /etc/khubd.p2 så har du problem. (Katalogen syns inte i en ls-listning). Det kan även ligga filer som masken använt under /dev/shm.

CERT rekommenderar administratörer att bekräfta sina SSH-nycklar med starka lösenord för att minska stöldrisken.

Källa: HEP @ University of Chicago/CERT

1) Ladda hem F-Secure Rescue Disc, packa upp zip filen och bränn den på en CD-skiva.

2) Starta Enhetshanteraren (Task manager) och kontrollera vilka processer som är aktiva. Windows Vista användare måste klicka på "Visa processer för alla användare". Alla processer som inte har någon beskrivning kan vara en trojan eller ett rootkit.

3) Googla filens fullständiga namn för att se om det är en trojan, ett rootkit eller annan typ av malware.

4) Avsluta processen och radera filen (oftast ligger den i C:\WINDOWS\SYSTEM32 ). Kontrollera om du även hittar filen under fliken "tjänster", om du gör det så starta ett kommando fönster (START->KÖR->CMD.EXE). Skriv sedan:
C:\>SC DELETE [filensnamn]
Så avinstalleras tjänsten från datorn, och du slipper att den startas varje gång du startar om datorn.

5) Starta om datorn med F-Secure skivan, vilken har Linux som operativsystem och om du har en nätverksanslutning så kommer den att använda den senaste viruslistan från F-Secure.

6) Genomsök alla hårddiskar och när det är klart så är det bara att starta om datorn.

Vistas UAC väcker heta känslor, och många menar att det bara är irriterande och bökigt, men tester nu att UAC faktiskt är bäst, på att hitta och förhindra att rootkits installeras på din dator.

Det är AV-test.org har gjort ett testför att testa hur bra marknadens olika ledande antivirusprogram är på att hitta kända rootkit. Testerna visade att det inte gick särskilt bra alls för de olika antivirusprogrammen, oavsett om de kördes på XP eller Vista. Av de 30 rootkit som användes i testet hittade inget av de sju antivirusprogramen alla 30, och samma hände med de webbaserade varianterna. Bara fyra av de 14 särskilda rootkitverktyg som också testades lyckades hitta alla 30 rootkit.

När det gäller Vista var det svårare att utvärdera eftersom bara 6 av 30 rootkit kunde köras på Vista, och för att ens kunna köra testerna på på de 6 rootkit som gick att installera på Vista fick UAC stängas av - då UAC reagerade på samtliga rootkit innan de ens installerats.

Efter att UAC inaktiverats visade det sig att bara tre av sjutton antivirusprogram - F-secure Anti-Virus 2008, Panda Security Antivirus 2008 och Norton Antivirus 2008 - lyckades både hitta och avinstallera rootkiten.

Källa: IDG News

Sebastian Muniz, en forskare vid Core Security Technologies, har utvecklat ett rootkit för Cisco-routrar. Tanken var att uppmärksamma sårbarheten hos de routrar som används till den största delen på internet. Han kommer att presentera det skadliga programmet den 22 maj på EuSecWest-konferensen i London. Den allra största delen av alla rootkit är skrivna för Windows. Sebastian Muniz nya rootkit är det första kända som utvecklats för operativsystemet IOS som används på Cisco-routrar. Sebastian äger att han inte har några planer på att släppa källkoden till rootkitet. Han vill bara berätta hur han har byggt det för motbevisa den utbredda uppfattningen om att Cisco-routrar på något sätt skulle vara immuna mot den här typen av skadlig kod. – Jag har gjort det här för att visa att IOS-rootkit är verkliga, och att lämpliga säkerhetsåtgärder måste vidtas. Ett rootkit är en typ av skadlig kod som döljer sig själv och är extremt svår att upptäcka.

It-säkerhetsexperten John Heasman har publicerat en uppsats om hur elak kod kan gömmas i nätverkskort och grafikkort. På så sätt kan den elaka koden överleva att hårddisken formateras och installeras från grunden. Han publicerade sin uppsats i onsdags, den bygger på erfarenheter han gjort och presenterat tidigare i år. Metoden han beskriver bygger på att använda gränssnittet Advanced Configuration and Power Interface (ACPI), som finns på de flesta moderkort. Med ACPI ska det enligt Heasman gå att lagra och senare köra ett rootkit som ska kunna överleva en omstart av maskinen. Den metod han beskrivit ska kunna användas för att utnyttja det inbyggda minnet på PCI-kort.

- Eftersom många människor inte regelbundet patchar sina Windowsmaskiner och inte kör antivirus finns det idag inget större skäl för virusförfattare att ta till denna metod för djupare smittspridning, skriver Heasman i sin uppsats.

- Det finns tillräckligt gott om lätta offer.

I sin uppsats beskrev han även möjliga sätt att skydda sig genom att granska det utbyggda minnet och systemminnet för att hitta kod som manipulerats. Andra saker att leta efter är 32-bitars kod och udda klasskoder, som kan vara tecken på en smitta. Dessutom ska datorer som använder Trusted Computing Module (TCM) chip vara skyddade mot denna typ av manipulering av uppstartsprocessen.

Källa: Security Focus, IDG

It-säkerhetsexperten John Heasman har publicerat en uppsats om hur elak kod kan gömmas i nätverkskort och grafikkort. På så sätt kan den elaka koden överleva att hårddisken formateras och installeras från grunden. Han publicerade sin uppsats i onsdags, den bygger på erfarenheter han gjort och presenterat tidigare i år. Metoden han beskriver bygger på att använda gränssnittet Advanced Configuration and Power Interface (ACPI), som finns på de flesta moderkort. Med ACPI ska det enligt Heasman gå att lagra och senare köra ett rootkit som ska kunna överleva en omstart av maskinen. Den metod han beskrivit ska kunna användas för att utnyttja det inbyggda minnet på PCI-kort.

- Eftersom många människor inte regelbundet patchar sina Windowsmaskiner och inte kör antivirus finns det idag inget större skäl för virusförfattare att ta till denna metod för djupare smittspridning, skriver Heasman i sin uppsats.

- Det finns tillräckligt gott om lätta offer.

I sin uppsats beskrev han även möjliga sätt att skydda sig genom att granska det utbyggda minnet och systemminnet för att hitta kod som manipulerats. Andra saker att leta efter är 32-bitars kod och udda klasskoder, som kan vara tecken på en smitta. Dessutom ska datorer som använder Trusted Computing Module (TCM) chip vara skyddade mot denna typ av manipulering av uppstartsprocessen.

Källa: Security Focus, IDG

Sony BMG:s experimenterande med kopieringsskydd, så kallad Digital Rights Management (DRM) ser ut att stå företaget dyrt. Företaget har återkallat alla osålda musik-CD-skivor med det rootkit-behäftade kopieringsskyddet Extended Copy Protection (XCP) från brittiska First 4 Internet. Och i fredags drog skivbolaget igång det inskicksprogram som gör det möjligt för konsumenter att byta ut sina XCP-skyddade skivor kostnadsfritt. Antalet titlar är nu uppe i 52, en bra bit över de 20 som Sony förs medgav hade skyddet.

Konsumenterna får dock vänta på det avinstallationsprogram som ska se till att de utan problem kan bli av med den farliga kod som XCP-skyddet är eftersom de två försök med avinstallationsprogram som Sony hittills gjort visat sig öppna ännu allvarligare säkerhetsluckor.

Under tiden har ett annat kopieringsskydd, som Sony BMG använder, också hamnat i rampljuset. Suncomm Internationals Mediamax har kritiserats för att det också uppvisar ett spionprogramliknade beteende. Och när Sony tillhandahåller ett avinstallationsprogram för det så visar sig det också öppna svängdörrar på datorn, hävdar datavetenskapsstudenten J Alex Halderman, som pekade ut Mediamax beteende, i bloggen Freedom-to-Tinker. Säkerhetsföretaget Secunia bedömer den brist som orsakas som mycket kritisk.

Så Sony och Suncomm tvingades i torsdags att även stoppa distributionen av avinstallationsprogrammet till Mediamax.

Idag meddelar Sony att företaget tar tillbaka alla skivor som innehåller det starkt kritiserade kopieringsskyddet XCP. Ett skydd som bland annat installerar ett så kallat rootkit på datorer där skivan spelas upp. Rootkitet kan användas av hackare för att dölja skadlig kod, till exempel trojaner.

- Vi delar den oro våra kunder uttryckt angående skivor med XCP-skyddet och, av den anledningen, startar vi ett program för att återkalla sålda skivor och för att ta bort icke sålda skivor från våra återförsäljare, säger Sony BMG i ett skriftligt uttalande och fortsätter: Vi beklagar djupt det besvär som kan ha drabbat våra kunder.

Programmet kommer att röra miljontals skivor från olika artister, till exempel Celine Dion och Sarah McLachlan. Men Sony BMG har inte angett något exakt antal, skriver Reuters.

Syftet med kopieringsskyddet är att hindra en skiva från att kopieras mer än tre gånger. Skivor med XCP har inte sålts i Europa.

I slutet av förra veckan meddelade antivirusföretag att de hittat en trojan specialskriven för att gömma sig med hjälp av det rootkit som kopieringsskyddet installerar på den dator där musikskivan spelas upp.

Trojanen installerar en irc-bakdörr på smittade datorer och kan eventuellt också innehålla andra funktioner.

- Vi har under en tid varit medvetna om att skadlig kod kan skrivas för att exploatera möjligheterna till skydd som Sonys drm-skydd ger, säger Bitdefenders forskningschef Viorel Canja i ett uttalande.

På F-Secure har man under eftermiddagen precis hunnit med att ta en första titt på trojanen, som fått namnet Breplibot.b.

Den första undersökningen visar på en dåligt skriven trojan som inte tycks ha möjlighet att använda Sonys rootkit som skydd om det finns på plats i datorn innan trojanen.
- Trojanen gömmer sig under $sys$ och kan inte använda Sonys rootkit för att gömma sig om den kommer in efter att rootkitet installerats. Däremot verkar det som att det kan fungera omvänt, säger Johan Jarl på F-Secure.

Sony har under en veckas tid fått mycket hård kritik för att musikskivor installerar ett kopieringsskydd på datorer utan användarens vetskap. Kopieringsskyddet, som kallas XCP, installerar ett så kallat rootkit - en typ av program som hittills mest använts av hackare för att dölja program och processer.

I slutet av förra veckan varnade säkerhetsexperter för att kopieringsskyddet kunde öppna datorer för hackare, precis vad som nu har skett.
- Det var väntat att det här skulle ske och det gick snabbt. Imorgon kan det landa en ny trojan som är bättre skriven än den här, säger Johan Jarl.

Microsoft säger i ett uttalande att det är oroat över den programvara Sony BMG använt som kopieringsskydd på ett 20-tal av sina musik-cd. Till skillnad från många andra bolag har Microsoft dock inte gått så långt att det klassificerat den mjukvara Sony använder som elak kod.

Ett flertal IT-säkerhetsföretag har tagit fram programvara för att upptäcka och i vissa fall ta bort programvaran från First 4 Internet som Sony BMG använder.

Mjukvaran är illa skriven och öppnar för angripare som vill dölja filer på användarens dator. Bakom Micrsofts uttalande ligger med stor sannolikhet Microsofts insikt om att alla problem som drabbar användare på Windowsdatorer, svärtar ner Microsofts rykte, även om det är ett annat företag som klantat sig.

F-Secures säkerhetsexpert Johan Jarl var förra veckan i Dublin under den 15:e upplagan av den årliga konferensen Virus Bulletin.

Hetaste samtalsämnet? Jo, Rootkits.
- Rootkit blir vanligare och vanligare. De går in på en så låg nivå i operativsystemet att de kan dölja vissa tjänster och registrvärden. Hittills känner jag bara till ett fall i Sverige, men det kan bli ett stort problem i framtiden, säger Johan Jarl.

Virus av typen rootkit döljer sina processer för antivirusprogrammen så att de inte hittas. Tekniken kommer ursprungligen från Unix- och Linuxvärlden. Root betyder där att användaren har administratörsrättigheter. Rootkit-tekniken användes först för att filtrera listningar av filsystemet, med ls-kommandot.

- Nu har metoden överförts till Windowsvärlden för mindre bra syften. Antivirusföretagen jobbar på att hitta lösningar för det här.

Ett annat ökande problem är virus för mobiltelefoner. Förra året var fenomenet i princip okänt. Nu finns 100 olika virus, varav 60 är inriktade på mobiler med Symbian som operativsystem, till exempel Nokiatelefoner. Masken Cabir dök i somras upp i Göteborg och på senare tid har Commwarrior börjat dyka upp i Stockholm.

- Mobila virus blir nog ett stort problem om ytterligare 1-2 år.