Ar „rootkit“ nugalėjo saugumo pramonę?

Atrodo, kad šakniniai rinkiniai, pakeičiantys operacinės sistemos branduolį ir leidžiantys kenkėjiškam kodui pasislėpti nuo saugos programinės įrangos, pribloškė saugos pramonę.

Anksčiau šią savaitę man pavyko patraukti AusCERT generalinį direktorių Grahamą Ingramą trumpam vaizdo interviu.

Be kitų dalykų, aš jo paklausiau apie rootkit ir kaip saugumo pramonė ketina su jais elgtis ateityje.

Jo atsakymai turėtų nuvilti bet kurį vyriausiąjį apsaugos pareigūną.

Šiame vaizdo įraše jis sakė: „Nulinės dienos išnaudojimai leidžia infekcijai patekti į mašiną. Tada iškviečiate kažkokį branduolio režimo rootkit, kur galimybė jį aptikti arba pašalinti yra labai apribota.

„Mūsų laukia labai sunki ateitis“, – sakė Ingramas.

Paminėju Haxdoor, kuris yra ypač bjaurus trojos arklys, kuris naudoja rootkit technologiją. Pirmą kartą jis pasirodė daugiau nei prieš metus, o Ingramas teigia, kad šiuolaikinės atakos tapo geresnės arba blogesnės, priklausomai nuo jūsų požiūrio.

A ankstesnis dienoraščio įrašas, štai ką rašiau apie Haxdoor:

Pasak AusCERT, Haxdoor plinta elektroniniu paštu ir naudoja rootkit technologiją, kad pasislėptų nuo saugos programų. Kai ji pirmą kartą buvo išleista, dauguma antivirusinės programinės įrangos jos negalėjo aptikti, nes ji beveik neabejotinai buvo išbandyta pagal populiariausius prekės ženklus.

Taigi kaip galėtumėte pasakyti, ar buvote paveiktas? Atsakymas paprastas – tu negalėjai.

Savo svetainėje AusCERT perspėjo, kad „dėl slapto (rootkit) ir antivirusinės išjungimo galimybių šios kenkėjiškos programos, švarus nuskaitymas naudojant antivirusinį produktą gali negarantuoti, kad esate laisvas infekcija“.

Taigi, net jei turėjote atnaujintą antivirusinį produktą, kai Haxdoor įdiegė rootkit ir paslėpė už jo, AusCERT patarė, kad iš naujo įdiegus operacinę sistemą iš pradinės diegimo laikmenos yra vienintelis būdas įsitikinti, kad visi kenkėjiškos programos pėdsakai buvo pašalintas“.