Kratka istorija malware-a | Četvrti deo: rootkit


Download Article as PDF


U predhonim člancima smo se pozabavili prvo DOS virusima, nakon toga smo prešli na prve Windows virusi i prve makro viruse, nakon čega smo prešli opis mail crva, da bi na kraju došli do crva kojim nije potrebna korisnička interakcija. Ovaj članak će biti predposlednji deo u seriji o malware-u i u njemu ćemo se pozabaviti rootkitovima, kao i jednom malware-u uz pomoć kog su ucenjivane žrtve.

 

Za početak treba definisati novu vrstu malware-a koji je dobio ime rootkit. Samo ime govori da se radi o nečem što korenom. Zapravo rootkit je vrsta malware-a koji se integriše u operativni sistem i postane deo kernela ili korisničkog sloja operativnog sistema. Dakle deo korena korisničkog iskustva pri korišćenju računara. S obzirom da rootkit može postati deo kernela ili deo korisničkog sloja operativnog sistema postoje dve vrste root kitova. Jedan je kernel level rootkits – oni postaju deo kernela, često se instaliraju poput modula operativnog sistema ili drivera i gotovo ih je nemoguće detektovati i ukloniti. Rootkiti su poznati po tome što uglavno sadrže funkcijonalnost skrivanja file-ova i procesa. Ukoliko sam kernel operativnog sistema se modifikuje na način da vraća netačne podatke o fileovima na hard disku ili pokrenutim procesima, neće moći ni jedan anti virusni software da otkrije da se na računaru nalazi neki malware, jer i on prikuplja podatke od operativnog sistema. Druga vrsta rootkitova su user level rootkits, koji se umetnu u neke sistemske funckije ili biblioteke. Na ovaj način određene komande operativnog sistema, koje koriste te biblioteke ili funkcije ne vraćaju dobar rezultat. Na primer rootkit korisničkog sloja može da zameni ls ili ps komandu u linuxu, pa tako da ne izlistava određene fajlove ili procese.

 

Prvi rootkit koji se pojavio nije bio napisan od strane standardnih pisača virusa, već od strane jednog muzičkog giganta. Prvi rootkit je napravio Sony i poprilično ocrnio njime svoju reputaciju.

 

Sony BMG –  Je nastao 2005 godine i napravljen je od strane jedne od najvećih izdavačkih kompanija. Naime Sony je imao ideju da zaštiti prava svojih izdanja, tako što će uz pomoć rootkita da detektuje i zabrani kopiranje. Sony BMG rootkit je bio sastavni deo 52 albuma, među kojima i album Ricki Martina i Kelly Minogue. Kada bi se muzički disk ubacio u običan CD player, liniju ili diskmen ne bi se desilo ništa. Međutim, ukoliko bi se disk ubacio u računar instalirao bi se rootkit koji bi sebe i sakrio, kao i sve fajlove koji sadrže $sys$ i kontrolisao na koji način korisnik može da pristupi muzici sa diska. Funkcionalnost da sakriva sve fajlove koji počinju sa $sys$ su iskoristili drugi pisači malware-a, sakrivajući svoje fajlove uz pomoć imenovanja. Direktor digitalne prodaje u Sony BMG, Thomas Hesse, je izjavio jednom prilikom da većina ljudi ni ne zna šta je rootkit, pa ne vidi razlog za brigu. Ova izjava je izazvala oštre reakcije, s obzirom da se ista predpostavka može postaviti za mnoge stvar, koje treba da nas se tiču. Epilog skandala je bila tužba koja je završila tako što je Sony ponudio korisnicima povraćaj novca i besplatno skidanje muzike sa interneta. Takođe pojavio se i komentar da ukoliko slušate Riki Mertina ili Keli Minjon, zaslužujete da budete zaraženi.

Storm Worm – Sedam godina nakon LoveLetter mail virusa pojavio se jedan mail virus koji još snažnije i uspešnije iskoristio socijalni inženjering. Naime, vodio se Makijevelijevom logikom da je bolje biti onaj koga se plaše, nego onaj koga vole. S obzorom da je ovaj virus nešto što je već viđeno nekoliko puta mnogo godina pre, nije se moglo predpostaviti da će imati toliko veliki efekat. Moglo se predpostaviti da će ljudi već biti spremni na ovakvu pretnju, ali očigledno nisu. Naime virus je slao mail sa naslovom “230 dead as storm batters Europe.” Kada bi prilog bio otvoren bio bi zapravo otvoren trojanac, koji instalira backdoor (program uz pomoć kog napadač može da kontroliše računar), rootkit, koji bi ga sakrio i računar bi se pridružio botnet mreži. Botneti su armije zombi račinara, koji mogu biti upotrebljeni za razne svrhe, poput slanja spam poruka, distribuirani denail of service i slično. Ovaj virus je zarazio oko 10 miliona računara.

 

Mebroot (2008)- Ovaj malware je doneo jednu novinu, mogao je da zarazi računar koji je u browseru otvorio zaraženu internet stranicu. Koristio je exploit u browseru i jedan od prvih sajtova koji su širili Mebroot je bio sajt Monike Beluci. Kada bi se računar zarazio, na njega bi se instalirao rootkit koji bi sakrivao mebroot od rootkit detektora, koji su brzo postali deo mnogih internet security paketa. Mebroot je sakupljao podatke o tome šta je korisnik kucao i zapravo ga u nekoj meri špijunirao. Ove podatke je slao napadaču. Jedan je od retkih malware-a koji su dobro debagovani i gotovo nikad nije se rušio. Bio je toliko napredan da ukoliko bi se kojim slučajem srušio operativni sistem, Mebroot bi skupio diagnostičke podatke o padu sistema, kao i trace podatke i poslao ih autoru ovog malware-a, kako bi u narednoj verziji bio bolji. Remote quality assurance za malware!

 

Conficker(2008) – Conficker je zarazio jako brzo desetine miliona računara širom sveta. Koristio je ranjivosti Windows-a, kao i krekovanje slabih lozinki pomoću nekoliko naprednih tehnika. Kada bi računar bio zaražen, instalirala bi se zadnja vrata (backdoor), tako da bi dodatni malware mogao biti instaliran. Računaru bi zabranio da poseti sajtove većine proizvođaća antivirusnih alata. Takođe kreirao bi veliku botnet mrežu, međutim ova botnet nije nikad iskorišćena ni za kakav napad, iako je bila jako kompleksna. Zbog ove činjenice Mikko Hypponen, glavni istraživač u F-Secure-u je izjavio da je ovaj malware do danas velika misterija.

Jedan od interesantnih malware-a koje bih pomenuo je ransomware, koji je služio za ucenjivanje korisnika da plate napadaču 120 dolara. Ovaj malware bi  enkriptova Office i media fajlove na napadnutom računaru, što bi dovelo do toga da korisnici ne mogu da pristupe svojim datotekama, dok ne plate napadaču, koji bi im dao ključ uz pomoć kog mogu da dekriptuju svoje fajlove.

Na računare je uspevao da uđe ili pomoću ranjivosti na browseru i zaraženih web sajtova, ali i pomoću zaraženih PDF fajlova, koji bi sadržali skriptu koja skida i instalira ovaj malware. Kada bi se napad završio, malware bi izmenio desktop korisnika da izgleda na sledeći način:

“HOW TO DECRYPT” txt-fajl na desktopu je sadržao sledeću poruku:

Attention!!!

All your personal files (photo, documents, texts, databases, certificates, kwm-files, video) have been encrypted by a very strong cypher RSA-1024. The original files are deleted. You can check this by yourself - just look for files in all folders.

There is no possibility to decrypt these files without a special decrypt program! Nobody can help you - even don't try to find another method or tell anybody. Also after n days all encrypted files will be completely deleted and you will have no chance to get it back.

We can help to solve this task for 120$ via wire transfer (bank transfer SWIFT/IBAN). And remember: any harmful or bad words to our side will be a reason for ingoring your message and nothing will be done.

For details you have to send your request on this e-mail (attach to message a full serial key shown below in this 'how to..' file on desktop): [email address]

Poruka bi sadržala i email adresu napadača, kao i specifični identifikacioni token koji bi trebao da se pošalje napadaču, kako bi on mogao da generiše ključ. Interesantno je da je napadač zaista slao pošteno ključeve onima koji bi platili 120 dolara. Zbog toga mail koji je bio naveden u poruci nije blacklistovan, što većinom čine antivirusne kompanije, kada naiđi na neku mail adresu u kodu malware-a.

Fajlovi koji bi bili kriptovani su: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx.

U narednom postu ćemo se pozabaviti malware-om koji je doneo novu dimenziju u ovu oblast. Odnosno malware-om koji je uspevao da sabotira proces obogaćivanja uranijuma, kao i dalji razvoj malware-a, koji su preuzele obaveštajne i vojne službe nekih država. Naravno radi se Stuxnetu, DoQu i Flame-u.

 

 

 

 

Born in Bratislava, Slovakia, lived in Belgrade, Serbia, now living in Manchester, UK, and visitng the world. Nikola is a great enthusiast of AI, natural language processing, machine learning, web application security, open source, mobile and web technologies. Looking forward to create future. Nikola has done PhD in natural language processing and machine learning at the University of Manchester where he worked for 2 years. In 2020, Nikola moved to Berlin and works in Bayer Pharma R&D as a computational scientist.

Leave a Reply

Your email address will not be published. Required fields are marked *