Прошедший 2011 год можно смело назвать годом развития сложных угроз. На протяжении всего года мы наблюдали значительный рост вредоносных программ для 64-битных платформ. Как и предполагалось в прошлом году, TDL4 (Olmarik) продолжил свое развитие, а вначале 2011 года появилась еще отдельная группа разрабатывающая семейство OImasco. Семейство OImasco, так же известное, как MaxSS и базируется на усовершенствованных/модифицированных технологиях руткитов семейства TDL и этой осенью у этой ветки появилась полноценная поддержка 64-битных систем.
Эволюцию современных буткитов можно изобразить в виде следующей схемы:
Основной тенденцией этого года стала модификация отличных от MBR загрузочных секторов, таких как, например VBR (Volume Boot Record) и Bootstrap code (Rovnix, Olmasco), что позволило обходить
обнаружение многими антивирусными продуктами.
Модификация отличных областей от MBR позволило злоумышленникам не только снизить обнаружение, но и
затруднить лечение активного заражения таких угроз. В 2010 году для x64 версий Windows среди руткитов/буткитов был только TDL4, но за 2011 год этот тренд резко возрос и сейчас мы имеем:
- 5 активных семейств: TDL4, Olmasco, Rovnix, ZeroAccess, Carberp
- 4 новых PoC: EvilCore, DeepBoot, StonedVienna
Отдельно стоит отметить еще один интересный факт случившийся в начале прошлого года, когда буткит часть
выставлялась на открытую продажу. До этого, как правило, разработчики имели отношение
непосредственно к самой киберкриминальной группе, которая разрабатывала целевую вредоносную программу. В качестве примера здесь можно привести Carberp,
разработчики которого начали активное тестирование буткит функционала в конце прошлого лета.
Следующем интересным трендом стало участившиеся использование
скрытых файловых систем для хранения вредоносных компонентов и конфигурационных
файлов бота.
С одной стороны это хранилище необходимо для загрузки/подмены системных компонентов на стадии работы буткит-функционала, а с другой этой хороший способ противодействия криминалистической экспертизе. Не так просто после нахождения этого хранилища дешифровать его и извлечь интересующую информацию. Для этого нами была выпущена в начале года специальная утилита TDLFileSystemReader и в ближайшее время мы планируем ее существенное обновление.
Все выше приведенные 5 семейств имеют функционал со скрытым хранилищем и в дальнейшем их число будет только рости. Более детально о различиях этих скрытых файловых систем можно почитать в нашем исследовании "Bootkit Threat Evolution in 2011".
Прогнозы на стартовавший 2012 год отнюдь не утешительные, число угроз ориентированных на x64 платформы будет только увеличиваться, а вместе с ним и количество руткитов/буткитов. Так, что все будет не менее интересно, чем в прошлом и недостатка материала для публикаций у нас не будет это точно ;)
Комментариев нет:
Отправить комментарий