Per Hellqvist om IT-säkerhet och sånt

Hittade en krönika jag skrev till en tidning. Den blev rätt bra tycker jag:

 

Dagens attacker består sällan av en direktattack och sen drar man sig undan. När man idag vill komma in på företag använder man sig av något vi kallar Advanced Persistant Threats, eller APT. De behöver i och för sig inte vara särskilt avancerade, men de är väldigt ihärdiga. När elakingarna berett sig tillträde till ett system vill de säkerställa att de kan komma tillbaka när de känner för det och att deras verktyg finns kvar på insidan. När de har lurat dig att klicka på ett elakt program eller på annat sätt tagit sig in i din hemdator vill de finnas kvar där så länge som möjligt för att tjäna pengar på dig och din dator så länge som möjligt. Ett vanligt sätt att göra det är att använda sig av rootkits.

 

Ett rootkit kan man jämföra vid ett kamouflagenät man drar över sina verktyg och förändrade inställningar för att undgå upptäckt så länge som möjligt. Det första verktyg man kan kalla ett rootkit var faktiskt det första viruset för PC – BRAIN – som kom redan 1986. Dagens rootkits är långt mycket mer avancerade.

 

Länge använde man sig av olika trick för att patcha filsystemet och undanhålla filer och loggändringar från användare och säkerhetsprogram. Rootkitet hade helt enkelt en inbyggd lista med filnamn. När sedan användaren eller säkerhetsprogrammet ville titta efter filer i en viss katalog låg rootkitet emellan och ljög att ”dessa filer finns inte här”. Effekten blev att även om man tittade i alla kataloger på hårddisken så skulle man inte se filerna och trojanerna kunde leva kvar längre i datorn. Säkerhetsprogrammen utvecklades att bli bättre på att upptäcka dessa tricks, bland annat använder Symantec en teknik för att titta direkt på disk efter filer och inte fråga filsystemet. På så sätt går vi förbi den sortens rootkits.

 

Den nya sortens rootkits är mycket mer avancerade. De som idag är mest avancerade är Tidserv, Mebatrix och framför allt Mebroot. Tidserv används oftast i attacker som går ut på att elakingen som ligger bakom ska tjäna pengar. Den styr om surfningen, visar reklam och öppnar bakdörrar i systemet. Mebroot används oftast tillsammans med trojanen Anserin och syftet är också att tjäna pengar, men nu oftast genom att stjäla kreditkortsnummer och inloggningsuppgifter. Gemensamt för alla tre är att de gömmer sig i Master Boot Record. På så sätt får de kontroll över systemet redan innan det laddas. När väl Windows laddats har rootkitet redan dolt sig och sina aktiviteter. Det gör att de blir mycket svårupptäckta av säkerhetsprogrammen. Tidserv upptäcktes till exempel av en slump när Microsoft släppte en patch till ett annat säkerhetshål. Patchen ändrade i kerneln och eftersom en av filerna som tillhör Tidserv är kritisk för att få igång datorn så blåskärmade infekterade datorer. Det blev så illa att man måste installera om dem från orginalskivan. Tidserv har nu även kommit i en 64-bitars version.

 

Den som är mest avancerad idag är Mebroot. Det rootkitet kan fånga upp skrivningar och läsningar till disk, gå runt brandväggar genom att hooka lågnivådrivers till nätverkskort, kommunicera krypterat med Command & Control-servrar och öppna bakdörrar för att ladda ned annat till hårddisken. Mebroot började utvecklas redan i november 2007 och är idag fortfarande ett av de mest avancerade på marknaden idag. Läs mer om Mebroot här: http://bit.ly/i4K6TS

 

Det är inte många hot som dagens säkerhetsproblem inte klarar av. Men MBR-förändrande rootkits är något man inte vill få in. Eftersom de har kontroll över systemet från start är det oerhört svårt att upptäcka och få bort dem. Det är helt enkelt bättre att inte få in dem från början. Eftersom de installeras via drive-by-downloads och andra vanliga typer av attacker kan de stoppas redan där på samma sätt som de flesta andra hot. Uppdaterade system som har flera olika lager av säkerhetsprogram står bra rustade i denna kurragömma-lek.

Taggar: Allmänt, Botnets, Intressant, Jobbigt, Läsvärt, Rootkits, Trojaner

Kommentarer

4 kommentarer to “Riktade attacker och kurragömma-lek”

  1. Jonas on November 29th, 2011 16:10

    Informativt och välskrivet som vanligt Per.

  2. Magnus Lindkvist on November 29th, 2011 16:12

    Väl skrivet Per!

    En god uppföljning till denna artikel är att läsa om UEFI 3.2.1 och Secure Boot och hur Windows 8 implementerar skydd mot rootkits.

    http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

  3. Seb on January 18th, 2012 21:55

    Hej, jag har fått sån där “tidserv” på min dator och jag fattar inte hur jag skall få bort den! har du några tips?

  4. Per_hellqvist on January 22nd, 2012 10:11

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.