Призрак загрузочного сектора.

My power over you
grows stronger yet
(c) Andrew Lloyd Webber — Phantom Of The Opera

Кто раньше встал – того и тапки
(с) неизвестен.

В противостоянии «вирус vs антивирус» есть одна любопытная игра – «царь горы».

Правила просты: побеждает тот, кто первым занял телеграф, почтамт, вокзал …  В компьютерных войнах победа достаётся тому, кто первым загрузился в память компьютера – он и царь горы. Он первым берёт контроль в свои руки: перехватывает системные вызовы, внедряется в них и тем самым получает полную власть над остальным пространством в компьютере. Остальные, которые появляются позже, работают под присмотром «хозяина» — который в состоянии «нарисовать» им любую реальность – прям как голливудская Матрица.

То есть, реальностью внутри компьютерного мира рулит тот, кто раньше стартовал. Именно он, с вершины своей горы, обозревает окрестности и блюдёт в системе порядок… Или беспорядок, незаметно и безнаказанно – если первым загрузился зловред.

В общем, «The winner takes it all» © ABBA.

А очередь на загрузку начинается с загрузочного сектора – специальной области на диске, где сосредоточены все стрелки на что, когда и куда будет грузиться. И — о, ужас! — даже операционная система подчиняется этому порядку! Немудрено, что кибер-негодяи давно питают нездоровый интерес к оному сектору – это же идеальный вариант надеть тапки первым и полностью скрыть факт заражения компьютера! А помогает им в этом особый класс зловредов – буткиты.

Как загружается ваш компьютер?

loading_comp

О том, что такое буткиты и как мы вас от них защищаем – рассказ ниже.

На самом деле буткиты – история с бородой. Да ещё с какой!

Самый первый вирус для «IBM-совместимых компьютеров» (прадедушек/бабушек современных компов и ноутов) появился в далёком-предалёком 1986м году. (Ага, 27 лет тому назад!) Назвали его «Brain» (поскольку в его коде был именно такой копирайт). Так вот, этот вирус прославился тем, что он был тем самым буткитом-невидимкой – при обращении к заражённому загрузочному сектору он подставлял изначальный (незаражённый) сектор!

У «Brain» впоследствии появилась масса последователей, но с ними быстро научились бороться («вылечивая» вирусные перехваты системных событий), потом появились макро-вирусы для MS Office, потом Интернет-черви – и мода на загрузочные вирусы (включая буткиты) сошла на нет… почти на 10 лет.

Второе дыхание буткиты обрели в конце 2007г., когда на арену выползла новая версия троянца-шпиона Sinowal с функцией заражения загрузочного сектора. Кстати, для некоторых антивирусных компаний это был шок — с конца 90х угроза считалась неактуальной и некоторые продукты в принципе не умели защищать загрузочные секторы. Хотя буткиты сейчас уже не блещут пандемическим распространением, в наших отчётах они стабильно создают заметный вредоносный фон. А компьютерный андерграунд не перестаёт изобретать новые уловки.

Раз буткиты такие хитрые и неуловимые, почему же они не такие распространённые? И вообще стоит ли заморачиваться защитой?

Спросите — раз буткиты такие хитрые и неуловимые, почему же они не такие распространённые? И вообще стоит ли овчинка выделки – надо ли заморачиваться разработкой защиты?

Ну, во-первых, мы оцениваем общее количество компьютеров в мире, заражённых разными буткитами где-то в 10 миллионов. Согласитесь, цифра немалая, чтобы называть буткиты нераспространёнными и игнорировать разработку защитных технологий. Во-вторых,  этот метод заражения активно используется в сложных целевых атаках при господдержке (например, печально известный FinSpy). Стать жертвой кибервоенщины или спецоперации — тоже не самая приятная перспектива. А в-третьих, для создания буткита требуется очень глубокое знание системного программирования, что не каждому кибер-негодяю по плечу. Соответственно, и защищать от таких тараканов оййй как непросто. Но мы защищаем и весьма успешно. И об одной уникальной фиче нашего арсенала сейчас и пойдёт речь.

География распространения буткитов, 2013г.
(данные только по пользователям ЛК)

bootkit-infection-statistics-map

Прежде всего, кратенько рассмотрим жизненный цикл буткита.

Обычно буткит-атака начинается через уязвимости в операционной системе или прикладном ПО. Вы просто заходите на некий вебсайт, откуда ваш компьютер прощупывают и, в случае обнаружения слабых мест — атакуют. А именно: на компьютер незаметно загружается файл, который и начинает заражение.

При заражении буткит записывается в загрузочный сектор, а его оригинальное содержимое переносится в укромное место и зашифровывается. Далее при каждом запуске компьютера буткит будет загружать в память свои модули, содержащие вредоносный функционал (например, банковский троянец) и средства маскировки (руткит). Руткит необходим для сокрытия факта заражения компьютера – он перехватывает последующие попытки операционной системы или других приложений (в том числе антивирусов) проверить содержимое загрузочного сектора и… подсовывает из того самого укромного места оригинал! Как будто ничего и не было!

Казалось бы, при таком монопольном контроле над системой эту кибер-заразу можно вывести только загрузкой с другого диска с чистой операционной системой и хорошим антивирусом. Да, это вариант. Но у нас есть технология, которая поможет справиться с буткитами (в том числе неизвестными!) без хирургического вмешательства, пролечив компьютер автоматически.

Эмулятор создаёт искусственное окружение, соответствующее процессу загрузки компьютера. Буткит запускает в нём свою стандартную процедуру — тут-то мы его и палим!

В наших корпоративных и персональных продуктах есть эмулятор загрузки. Подобно эмулятору операционной системы или браузера он создаёт искусственное окружение, соответствующее процессу загрузки компьютера. Затем эмулятор в обход перехваченных дисковых функций собирает все необходимые секторы, формирует специальный контейнер и запускает его в этом окружении. Буткит думает, что пришло время поработать и запускает свою стандартную процедуру, тут-то мы его и палим! Подозрительный объект через KSN отправляется нашим вирусным аналитикам — они разрабатывают защиту, обновляют базы, а дальше дело техники – антивирус расшифровывает оригинальный загрузочный сектор, удаляет буткит и все его модули и восстанавливает систему. Если нет возможности ждать – можно попытаться вылечить компьютер нашей бесплатной антивирусной утилитой KVRT.

Важно, что эта технология также помогает защищаться от неизвестных буткитов. Во-первых, мы задействуем локальный эвристический анализ и выявляем подозрительную активность во время эмуляции загрузки. Во-вторых, мы используем нашу облачную систему KSN, которая по тем самым контейнерам статистическими методами выявляет буткит-аномалии.

Как и любой эмулятор, виртуализация загрузки компьютера – процесс дюже ресурсоёмкий. С другой стороны – а зачем постоянно и глубоко сканировать загрузочный сектор? В общем, мы совместили приятное с полезным таким образом, что проверка загрузочной области происходит по требованию, по расписанию (например, поздно ночью) или в режиме простоя, когда на компьютере никто не работает. И овцы целы и волки сыты :)

emulator_check_rus

Что будет дальше?

Нет сомнений, что буткиты будут дальше эволюционировать и совершенствоваться. Наглядный пример – полиморфный вирус XPAJ, который запросто обходит новые механизмы защиты Windows для маскировки своего буткит-модуля. На повестке дня биоскиты – вредоносные перехватчики ещё более глубокого системного уровня.

Также ясно, что этот класс зловредов ещё некоторое время останется оружием ограниченного числа кибер-банд, которым логично привлекать к себе поменьше внимания, подольше оставаясь в тени. А тень есть и ещё какая – тень от антивирусной индустрии, которая откровенно забивает на защиту от буткитов.

Ниже – результаты недавнего сравнительного тестирования способности разных антивирусов лечить активное заражение некоторыми распространёнными буткитами. Картина мрачная, но с элементами оптимизма :)

table_AV

В общем, скучно точно не будет. Вместе с тем, мы тоже на месте не стоим, думаем, работаем, изобретаем, внедряем, детектим, лечим, спасаем!

Прочитать комментарии 10
Комментарии 10 Оставить заметку

    Alon011

    Правильно я понимаю, что в антивирусе тоже есть данный функционал, или только в KIS и Crystal?

    see7tee

    так точно. это часть движка, который используется во всех персональных продуктах, включая KAV

    Midge

    I dind’t know where to find this info then kaboom it was here.

    af.sir

    Интересный вывод напрашивается из географии распространения — США и Китай долбят друг друга буткитами )))

    Alon011

    Или кто-то другой долбит США и Китай=)

    see7tee

    по карте важные комментарий (как раз под её названием) — это данные ЛК и только по пользователям ЛК. Реальная географическая диспозиция, если собрать данных со всех АВ компаний может отличаться и сильно.

    Alon011

    Судя по таблице сравнительного тестирования, только Bit Defender может помочь как-то в сборе данных. Все остальные нервно курят)))

    0

    Цветан Орешерски

    Евгений скажите, как-то связана ли ваша деятельность в 1990-е программой Национального Агенства Безопасности США X-keys, или других агенств ЦРУ и Агнества национальной безопасности, ато вас сам посол США за резрушение киберг-оружия запада благодарить ходил?
    Жалко, что президент Еквадора умер а тогда бы мы может больше узнали.

    see7tee

    Коля читал газету. В газете было написано много букв про Кибероружие. – Эх… – вздохнул Коля и перелистнул страницу. Он всю жизнь мечтал быть знаменитым. Ну, не настолько знаменитым, как Кибероружие, но хотя бы как Брюс Ли или Алла Пугачева на худой конец. Но что-то у него не срасталось. А ведь если бы он родился под счастливой звездой, то был бы сейчас не Николаем Петренко, работником Металлургического Комбината им. Ильича, а каким-нибудь рэпером Николя или чемпионом мира по боксу в супер тяжелом весе по кличке «Кибероружие cтальной корпус» Агентство национальной безопасности США разослало в правительственные спецслужбы приказ заказать оптовую партию смартфонов «Кибероружие». Эта сверхзащищенная модель смартфона работает в двух режимах: обычном и Кибероружие. Для перехода в режим Кибероружие предназначена специальная кнопка: «Кибероружие». Не забивайте голову Кибероружие. Я конечно понимаю, что, когда проблемы с Кибероружие, то всякий Кибероружие и лезет в голову, но все-таки… Кибероружие. В Интернете есть много на эту тему. В конце концов, можно просто позвонить в справочное и сказать: «Кибероружие». Думаю, там обязательно ответят. По мнению главы британского Детского Министерства Беверли Хьюз (Beverly Hughes), большую роль в развитии у детей зависимости от Кибероружие и потере у них интереса к играм на улице играет излишняя осторожность родителей, которым спокойнее оставить ребенка дома перед Кибероружие, чем отпустить его гулять. Если вы хотите высоко подняться, пользуйтесь собственными ногами! Не позволяйте нести себя, не садитесь на чужие плечи и головы! Но ты сел на Кибероружие? Ну что ж, мой друг… Имя: Кибероружие, пароль: победа. Честно говоря, мне нравится идея фирменного стиля Кибероружие. Но сегодня жена задала вопрос, который заставил взглянуть на Кибероружие по-новому. Вот он, этот вопрос: «Мне одной кажется, что похоже на Кибероружие?» Все, что мы можем сделать – это продолжать задавать себе вопрос: «Это – Кибероружие?» – по поводу каждого аспекта своего дела, своего ремесла, своей цели жизни и т.д. Кибероружие позволяет многократный запуск, то есть одновременно можно использовать несколько копий Кибероружие. Это удобно, если у вас есть несколько аккаунтов. А вот «Еижуроребик» – это Кибероружие наоборот.

    надеюсь, я использовал тот же автогенератор бреда :)

    Галина

    Идентификация каждого пользователя… Не думаю, что это что-либо глобально изменит. Разве что мировое правительство задышит вольнее… Но это же временный эффект, ибо:»Этот мир придуман не нами…». Спасибо за Ваш труд!

Оставить заметку