четверг, 12 января 2012 г.

Тенденции развития буткитов за прошлый год

Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появилась полноценная поддержка 64-битных систем.

Эволюцию современных буткитов можно изобразить в виде следующей схемы:



Основной тенденцией этого года стала модификация отличных от MBR загрузочных секторов, таких как, например VBR (Volume Boot Record) и Bootstrap code (Rovnix, Olmasco), что позволило обходить обнаружение многими антивирусными продуктами. Модификация отличных областей от MBR позволило злоумышленникам не только снизить обнаружение, но и затруднить лечение активного заражения таких угроз. В 2010 году для x64 версий Windows среди руткитов/буткитов был только TDL4, но за 2011 год этот тренд резко возрос и сейчас мы имеем:
Отдельно стоит отметить еще один интересный факт случившийся в начале прошлого года, когда буткит часть выставлялась на открытую продажу. До этого, как правило, разработчики имели отношение непосредственно к самой киберкриминальной группе, которая разрабатывала целевую вредоносную программу. В качестве примера здесь можно привести Carberp, разработчики которого начали активное тестирование буткит функционала в конце прошлого лета.

Следующем интересным трендом стало участившиеся использование скрытых файловых систем для хранения вредоносных компонентов и конфигурационных файлов бота. 


С одной стороны это хранилище необходимо для загрузки/подмены системных компонентов на стадии работы буткит-функционала, а с другой этой хороший способ противодействия криминалистической экспертизе. Не так просто после нахождения этого хранилища дешифровать его и извлечь интересующую информацию. Для этого нами была выпущена в начале года специальная утилита TDLFileSystemReader и в ближайшее время мы планируем ее существенное обновление.

Все выше приведенные 5 семейств имеют функционал со скрытым хранилищем и в дальнейшем их число будет только рости. Более детально о различиях этих скрытых файловых систем можно почитать в нашем исследовании "Bootkit Threat Evolution in 2011".

Прогнозы на стартовавший 2012 год отнюдь не утешительные, число угроз ориентированных на x64 платформы будет только увеличиваться, а вместе с ним и количество руткитов/буткитов. Так, что все будет не менее интересно, чем в прошлом и недостатка материала для публикаций у нас не будет это точно ;)