Руткиты победили индустрию безопасности?

  • Nov 16, 2023

Руткиты, которые изменяют ядро ​​операционной системы и позволяют вредоносному коду скрываться от защитного программного обеспечения, похоже, поставили индустрию безопасности в тупик.

Руткиты, которые изменяют ядро ​​операционной системы и позволяют вредоносному коду скрываться от защитного программного обеспечения, похоже, поставили индустрию безопасности в тупик.

Ранее на этой неделе мне удалось взять короткое видеоинтервью с генеральным директором AusCERT Грэхемом Ингрэмом.

Среди прочего я спросил его о руткитах и ​​о том, как индустрия безопасности собирается бороться с ними в будущем.

Его ответы должны вызвать мурашки по спине у любого начальника службы безопасности.

В этом видео он сказал: «Эксплойты нулевого дня позволяют инфекции попасть на машину в первую очередь. Затем вы вызываете какой-то руткит режима ядра, возможность обнаружения или удаления которого строго ограничена.

«Нас ждет очень трудное будущее», - сказал Ингрэм.

Я упоминаю Haxdoor, особенно опасный троян, использующий руткит-технологию. Впервые оно появилось более года назад, и Ингрэм утверждает, что современные атаки стали лучше или хуже, в зависимости от вашей точки зрения.

В предыдущая запись в блоге, вот что я писал про Haxdoor:

По данным AusCERT, Haxdoor распространяется через электронную почту и использует технологию руткитов, чтобы скрыться от приложений безопасности. Когда он был впервые выпущен, он не был обнаружен большинством антивирусных программ, поскольку почти наверняка был протестирован на самых популярных брендах.

Так как же узнать, пострадали ли вы? Простой ответ: вы не могли бы.

На своем веб-сайте AusCERT предупредил, что «из-за скрытности (руткитов) и возможности отключения антивируса этого вредоносного ПО, чистое сканирование с помощью антивирусного продукта не может гарантировать, что вы свободны от инфекционное заболевание".

Таким образом, даже если у вас есть обновленный антивирусный продукт, после того, как Haxdoor установил руткит и спрятался за ним, AusCERT сообщил, что «переустановка операционной системы с оригинального установочного носителя — единственный способ быть уверенным, что все следы вредоносного ПО исчезли». был удален».