Một vấn đề an ninh lén lút, bị bỏ qua bởi những kẻ xấu

Frank Boldewin đã thấy rất nhiều phần mềm độc hại trong thời gian của mình, nhưng không bao giờ giống Rustock.C.

Được sử dụng để lây nhiễm các máy tính Windows và biến chúng thành các máy chủ thư rác không mong muốn, Rustock.C là một rootkit tự cài đặt trên hệ điều hành Windows và sau đó sử dụng nhiều kỹ thuật tinh vi khác nhau khiến cho nó gần như không thể phát hiện hoặc phân tích.

Khi lần đầu tiên bắt đầu xem mã vào đầu năm nay, nó sẽ khiến máy tính của bạn gặp sự cố. Có mã hóa cấp trình điều khiển cần được giải mã, và nó được viết bằng ngôn ngữ lắp ráp, sử dụng "cấu trúc mã spaghetti" khiến Boldewin cực kỳ khó để tìm ra phần mềm thực sự đang làm.

[Đọc thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn]

Phân tích rootkit thường là công việc của một buổi tối dành cho người có kỹ năng kỹ thuật của Boldewin. Tuy nhiên, với Rustock.C, phải mất nhiều ngày để biết được phần mềm hoạt động như thế nào.

Vì nó rất khó phát hiện, Boldewin, một nhà nghiên cứu bảo mật với nhà cung cấp dịch vụ CNTT GAD của Đức, tin rằng Rustock.C đã có mặt trong gần một năm trước khi các sản phẩm chống virus bắt đầu phát hiện nó.

Đây là câu chuyện với rootkit. Họ lén lút. Nhưng chúng là một mối đe dọa lớn?

Cuối năm 2005, Mark Russinovich đã phát hiện ra bộ rootkit nổi tiếng nhất. Một chuyên gia bảo mật cửa sổ, Russinovich đã bối rối một ngày khi ông phát hiện ra một rootkit trên máy tính của mình. Sau một thời gian ngắn, cuối cùng anh phát hiện ra rằng phần mềm bảo vệ bản sao được Sony BMG Music Entertainment sử dụng thực sự sử dụng các kỹ thuật rootkit để tự ẩn mình trên máy tính. Phần mềm của Sony không được thiết kế để làm bất cứ điều gì độc hại, nhưng nó hầu như không thể phát hiện và vô cùng khó khăn để loại bỏ.

Bộ rootkit của Sony đã trở thành một thảm hoạ PR lớn cho công ty, đã chi hàng triệu trong các khu định cư hợp pháp với những người dùng bị ảnh hưởng bởi phần mềm

Ba năm sau, Russinovich, một người kỹ thuật với Microsoft, vẫn coi nó là rootkit gây ra rắc rối lớn nhất cho người dùng máy tính.

Nhưng bộ rootkit của Sony cũng đã đưa ra các vấn đề cho các nhà cung cấp chống virus. Thực tế là không ai trong số họ thậm chí còn nhận thấy phần mềm này trong khoảng một năm là một con mắt đen nghiêm trọng cho ngành công nghiệp bảo mật.

Mặc dù họ đã bắt đầu sử dụng máy Unix trước đó. mối đe dọa lớn tiếp theo cho các nhà cung cấp chống vi-rút. Các nhà nghiên cứu bảo mật đã khám phá việc sử dụng công nghệ ảo hóa để ẩn rootkit và tranh luận liệu một rootkit hoàn toàn không thể phát hiện có thể được tạo ra hay không.

Nhưng Russinovich nói rằng rootkit đã không thể sống theo hype của họ. "Họ không phải là phổ biến như mọi người mong đợi họ được", ông nói trong một cuộc phỏng vấn.

"Malware ngày hôm nay hoạt động rất khác nhau từ khi cơn sốt rootkit đang xảy ra," ông nói. "Sau đó … phần mềm độc hại sẽ ném các cửa sổ bật lên trên màn hình của bạn và tiếp quản trình duyệt của bạn. Hôm nay chúng tôi thấy một loại phần mềm độc hại hoàn toàn khác."

Phần mềm độc hại ngày hôm nay chạy lặng lẽ dưới nền, gửi spam hoặc lưu trữ các trang web khó chịu của nó mà không cần nạn nhân từng nhận thấy điều gì đang xảy ra. Trớ trêu thay, mặc dù chúng được xây dựng để tránh bị phát hiện, nhưng những rootkit cấp hạt nhân tinh vi nhất thường vô cùng xâm nhập đến mức chúng thu hút sự chú ý đến chính họ, các chuyên gia bảo mật nói. Alfred Huger, phó chủ tịch đội phản ứng an ninh của Symantec nói. “Phần mềm của bạn có thể dễ dàng chuyển sang người khác.”

Huger đồng ý rằng trong khi rootkit vẫn là vấn đề đối với người dùng Unix, chúng không phổ biến trên máy tính Windows.

Rootkit chiếm chưa đến 1% các nhiễm trùng cố gắng mà Symantec theo dõi những ngày này. Đối với Rustock.C, mặc dù tất cả sự tinh tế kỹ thuật của nó, Symantec chỉ phát hiện ra nó trong tự nhiên khoảng 300 lần.

"Trên toàn bộ phần mềm độc hại, nó là một phần rất nhỏ và nó có nguy cơ hạn chế ngày hôm nay," Huger nói.

Không phải ai cũng đồng ý với những phát hiện của Symantec. Thierry Zoller, giám đốc an ninh sản phẩm với n.runs, nói rằng Rustock.C đã được phân phối rộng rãi thông qua mạng lưới kinh doanh nổi tiếng của Nga và các nhiễm trùng có nhiều khả năng trong hàng chục ngàn.

"Rootkit được sử dụng để giữ quyền truy cập vào mục tiêu bị xâm phạm càng lâu càng tốt và không bao giờ có mục tiêu được lan truyền rộng rãi, ”anh nói trong một cuộc phỏng vấn được thực hiện qua tin nhắn tức thời.

Cuối cùng, bọn tội phạm có thể tránh rootkit vì một lý do rất đơn giản: Thay vì sử dụng các kỹ thuật rootkit lén lút, tin tặc thay vào đó đã phát triển các kỹ thuật mới để làm cho các nhà cung cấp chống vi-rút khó có thể phân biệt giữa phần mềm và chương trình hợp pháp của họ. Ví dụ, họ tạo ra hàng ngàn phiên bản khác nhau của một chương trình độc hại, mỗi lần bạn phải sử dụng các sản phẩm chống virus để tìm ra các sản phẩm chống virus.

Trong nửa cuối năm 2007, Symantec đã theo dõi gần nửa triệu các loại mã độc hại mới, tăng 136% so với nửa đầu năm nay. Các chuyên gia bảo mật nói rằng tình hình này thậm chí còn tồi tệ hơn năm 2008.

"Những thứ chúng tôi chạy qua không phức tạp", Greg Hoglund, Giám đốc điều hành của HBGary, một công ty bán phần mềm giúp khách hàng phản ứng với sự xâm nhập của máy tính. "Hầu hết các phần mềm độc hại đang tồn tại ở đó ngày nay … thậm chí không cố gắng che giấu."

Ví dụ, một trong những khách hàng của HB Gary gần đây đã bị tấn công nhắm mục tiêu. Những kẻ xấu biết chính xác những gì họ muốn và, sau khi đột nhập vào mạng lưới, đã quét sạch thông tin trước khi đội phản ứng sự cố của công ty thậm chí có thể đến đó, Hoglund nói. "Rõ ràng là những kẻ tấn công biết rằng họ sẽ lấy đi dữ liệu nhanh đến mức họ thậm chí không phải giấu giếm."