Антивирус не решает проблем: мнение автора руткита

[Shu_b]

Антивирус не решает проблем: мнение автора руткита
Автор одного из руткитов (под названием Hacker Defender), некто, скрывающийся под ником "holy_father", опубликовал на сайте Emailbattles.com своё видение текущей ситуации на рынке антивирусных средств. Привожу его вашему вниманию в переводе, максимально близком к оригинальному тексту. Несмотря на то, что я не совсем согласен с его точкой зрения, думаю, что мнение хакера должно быть интересно нашим читателям - хотя бы для того, чтобы понять, что именно движет им, и что заставляет его использовать свой инструментарий для проникновения в компьютерную систему...

"Антивирусные компании продают фальшивое чувство защищённости, но они не приносят на ваш компьютер настоящую безопасность. Антивирус просто борется со злоумышленными программами, которые обычно и так видны большинству пользователей, а вот первопричиной угрозы - он не занимается. Если я опубликую коды, предотвращающие нахождение моего руткита в системе, многие антивирусные компании не сделают ничего, кроме как добавят несколько байт к своим сигнатурам или просто попробуют как-то обмануть "движок" моего руткита. Далее, они будут утверждать, что могут бороться с руткитами на базе моего функционала, предотвращающего нахождение вредоносного кода. Но саму проблему руткитов - они не решат, остановившись только на конкретике и частном случае. И их антивирусный "движок" можно будет обходить снова и снова...

Такое отношение к делу приносит прибыль компаниям на рынке информационной безопасности, поскольку пользователи скачивают обновления и покупают новые версии антивирусного программного обеспечения. Таким образом, получается замкнутый круг и постоянный приток денег - поэтому антивирусные компании не хотят менять ситуацию.

Да, антивирусы защитят вас от постоянно распространяющихся на просторах Интернет сетевых "червей". Но всё-таки основная угроза пользовательской системе - это подготовленная адресная атака. В ней используется специальный инструментарий, и те методы, которыми пользуюсь и я в своих программах. И эти инструменты практически невозможно определить. Антивирусные компании не могут получить к ним доступ, и поэтому не могут добавить их определение в свои базы данных. Таким образом, успешно атаковавший конкретную систему профессиональный хакер с помощью своего инструментария обычно скрывает руткит, установленный в системе.

Похоже, ситуация должна поменяться. Hacker Defender и другие руткиты должны заставить компании на рынке компьютерной безопасности позаботиться о сути проблемы, улучшая свои продукты. Уже на данный момент я вижу значительный прогресс - ситуация действительно улучшается, но работы - ещё по прежнему непочатый край: необходимо совершенствовать детекторы руткитов и антивирусные модули.

Поэтому я продолжу свою работу - буду находить уязвимости слабых антивирусных продуктов, и антивирусные компании рано или поздно выпустят настоящее средство защиты. Вообще, среди моих заказчиков - в основном ребята из фирм, занимающихся компьютерной безопасностью - они просят меня протестировать тот или иной продукт на противостояние сетевому вторжению и т.д. А "плохим парням" свои программы и методы я не отдаю.

Люди часто спрашивают меня - почему я не начну выпускать средства для борьбы с руткитами, а не сами руткиты. Очевидно, что я должен был сделать выбор между руткитом и анти-руткитом. Если я предпочёл бы последний, то никто из хакеров просто не использовал бы технологии, которые останавливает моя программа...

Корпорация Microsoft утверждает, что её антивирусный модуль Windows Malicious Software Removal Tool детектирует Hacker Defender. Я всегда проверяю последнюю версию Windows Malicious Software Removal Tool на своём Hacker Defender, и она не может определить даже последнюю общедоступную версию Hacker Defender (hxdef 1.0.0), давно уже опубликованную вместе с исходными кодами. Если не верите - можете попробовать сами...

Платные версии Hacker Defender - идут с переписанным кодом, который предотвращает обнаружение антивирусными программами. Каждый раз перед продажей платной версии своего руткита я тестирую его на восьми антивирусных программах с самыми свежими базами: Avast!, AVG, Kaspersky, McAfee, NOD32, Norton, Panda, PC-cillin. Код каждой проданной версии Hacker Defender - в чём-то отличается от предшественников, так что в этом случае соблюдаются интересы заказчиков.

Вообще, в ряде случаев изменение одного байта в начале, и одного - в конце злоумышленного кода, который на данный момент уже определяется антивирусными модулями - может привести к тому, что вирус не будет вызывать подозрения у ряда антивирусных продуктов. Это наводит меня на мысли по поводу текущего технического оснащения "движков", которые заявляют возможности эвристического обнаружения злоумышленного кода. Посетите сайт торговца антивирусами, почитайте, какие высокие технологии он вам обещает, затем поменяйте несколько байт в скачанном вами сэмпле вируса и составьте своё собственное мнение об этом производителе...

Вообще, механизмы предотвращающие нахождение руткита в платных версиях моего Hacker Defender успешно обходят современные средства детектирования, вроде BlackLight, RootkitRevealer, IceSword, UnHackMe и RKDETECTOR 2.0. Это весьма удивительно, так как механизм анти-детектирования Hacker Defender был создан несколько месяцев назад и практически не изменялся. Так что подождём настоящих программ, которые смогут решать проблемы безопасности. Мой Hacker Defender существует для того, чтобы продемонстрировать антивирусным вендорам тот факт, что им необходимо продолжать совершенствовать свои технологии"...

Автор: Алексей Перевертайлов
Источник: fcenter.ru

[Tra1toR]

интересно а AVZ поймает его??? )

[RiC]

Публичную версию великолепно видят - AVZ, PHunter и IceWord остальных не проверял.
По идее должен увидеть Spider от веба, если переключить с оптимальной проверки на полную.

[Geser]

По идее должен увидеть Spider от веба, если переключить с оптимальной проверки на полную.

Речь идёт об определении новых версий. ДрВеб явно не определит.

[Tra1toR]

a AVZ?

[Exxx]

a AVZ?

Публичную версию великолепно видят - AVZ, PHunter и IceWord остальных не проверял.

[Sanja]

я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)

Суть не в простом анти детекте изменяя сигнатуры а вхитрых манипуляциях - к примеру перехвата DeviceIoControl() и патчинг там структур возвращаемых драйвером анти-руткита.. но там еще методы есть..

[Geser]

я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)

Суть не в простом анти детекте изменяя сигнатуры а вхитрых манипуляциях - к примеру перехвата DeviceIoControl() и патчинг там структур возвращаемых драйвером анти-руткита.. но там еще методы есть..

И что, АВЗ не сможет нейтрализовать перехват DeviceIoControl() как нейтрализует другие перехваты?

[Sanja]

не то чтобы несможет.. он просто этот перехват необнаружит

[aintrust]

я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)
...

Как это ни забавно прозвучит, но holy_father как раз-то знает об AVZ, я писал уже об этом достаточно давно в обсуждении предстоящих доработок AVZ. Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...

[Geser]

Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...

В то же время верно и обратное. Если Олегу послать руткит который не видит АВЗ, то не составит труда сделать так что он его увидит
Кстати, тут разнообразие антируткит программ играет против хакера. Потому как нужно попотеть что бы ни одна не обнаруживала.

[HATTIFNATTOR]

Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...

Вот бы увидеть цикл заметок от людей более-менее понимающих в системном программировании, о разных мелочах, которые не требуют значительных затрат времени, в виде коротких заметок как, например, тут

[aintrust]

Вот бы увидеть цикл заметок от людей более-менее понимающих в системном программировании, о разных мелочах, которые не требуют значительных затрат времени, в виде коротких заметок как, например, тут

Так http://www.rootkit.com или http://www.hxdef.org еще никто не отменил пока что... какой смысл в тиражировании информации оттуда?

[Sanja]

Как это ни забавно прозвучит, но holy_father как раз-то знает об AVZ, я писал уже об этом достаточно давно в обсуждении предстоящих доработок AVZ. Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...

Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а

И ему проще написать свой антируткит о котором Святой небудет знать ничего Ж)

[Зайцев Олег]

Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда. Раз перехватываются функции - это можно заметить. Если прячется процесс - чем-то он себя выдаст. Что-то правится - нельзя испавить все идеально, где-то останутся следы. Если всетаки обнаружение перехватов или модификаций в ядре невозможно - в ход идут косвенные признаки поиска. Если и они не помогают - загрузка с чистого CD и изучение диска ...
А борьба руткит-антируткит - это процесс бесконечный, как и противостояние вирус-антивирус. Просто все методики маскировки можно разбить на две категории:
1. Глобальные. Позволяют замаскировть руткита от заранее неизвестного анализатора настолько хорошо, что он его не найдет. Практически недостижимая цель ...
2. Локальные. Противодействуют определенным анализаторам или методам анализа. Или борьба идет с конкретными продуктами конкретных версий ... Противодействие методам анализа - "хорошая" штука, т.к. сравнительно универсальна. Противодействие конкретным антируткитам эффективно, но чаще всего как раз демаскирует руткита, а не маскирует его.

[aintrust]

Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда. Раз перехватываются функции - это можно заметить. Если прячется процесс - чем-то он себя выдаст. Что-то правится - нельзя испавить все идеально, где-то останутся следы. Если всетаки обнаружение перехватов или модификаций в ядре невозможно - в ход идут косвенные признаки поиска. Если и они не помогают - загрузка с чистого CD и изучение диска ...

Это все лишь теория, и дискутировать тут бессмысленно, т.к. это все прописные истины. Практика же состоит в том, что "бриллиантовую" версию Hacker Defender, по заявлению holy_father (а не верить ему нет никакого смысла), не может обнаружить ни один из более-менее распространенных анти-руткитов (см., в частности, тут).
Перефразируя твое первое предложение, я бы написал так: "Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда, так же как и 100% надежного анти-руткита нет и не будет никогда." В данном контексте можно лишь говорить о комплексной методике ловли, включающей множество подходов к поиску руткита, но никак не о конкретной программе анти-руткита.

Просто все методики маскировки можно разбить на две категории:
1. Глобальные. Позволяют замаскировть руткита от заранее неизвестного анализатора настолько хорошо, что он его не найдет. Практически недостижимая цель ...
2. Локальные. Противодействуют определенным анализаторам или методам анализа. Или борьба идет с конкретными продуктами конкретных версий ... Противодействие методам анализа - "хорошая" штука, т.к. сравнительно универсальна. Противодействие конкретным антируткитам эффективно, но чаще всего как раз демаскирует руткита, а не маскирует его.

Я бы сказал, что это как минимум странное "разбиение" на категории (снова теоретизируешь ), впервые слышу о таком! Или ты можешь привести конкретный пример руткита из "глобальной" категории? Это из серии: "написать что-то, что ни при каких условиях не будет видно неизвестно кому/чему"? Сомневаюсь, что хотя бы один руткитер (т.е. автор руткита) когда-либо ставил себе такую цель...
Так не бывает еще и потому, что любой руткит использует вполне конретный набор методик для сокрытия, так же как и любой анти-руткит использует вполне конкретный набор методик для обнаружения.

[Зайцев Олег]

Насчет бриллиантовой версии - не знаю, но я как-то не верю, что все существующшие антируткитные методики против него бессильны. Основные - может быть, но не все.
Я на 100% согласен, что нельзя использовать в антирутките некую одну технологию - их должно быть много, и чем больше различных методик анализа применяет антируткитная защита, тем сложнее такую защиту будет обмануть или обойти.
По поводу глобальных технологий - я имею в виду что-то радикально новое. Вернее не новое, а оригинальное ... почему-то все писатели руткитов зациклены на том, что нужно создать процесс / открыть порты или сотворить еще что-то, и потом из кожи вон лезть, чтобы это замаскировать. Но, к примеру, можно написать сервер, который будет принимать соединения и вести обмен по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)... тогда маскировать ничего не придется ... и ни один анализатор не увидит открытого порта, поскольку его нет. Аналогично с процессом - а что если его нет, этого процесса (или потока) ?? Тогда и маскировать ничего не надо, и анализаторы ничего не найдут (вспомним для примера "блоху" ) Т.е. такой концептуально новый подход может поставить заранее неизвестный анализатор в тупик ...

[rav]

Насчет бриллиантовой версии - не знаю, но я как-то не верю, что все существующшие антируткитные методики против него бессильны. Основные - может быть, но не все.
Я на 100% согласен, что нельзя использовать в антирутките некую одну технологию - их должно быть много, и чем больше различных методик анализа применяет антируткитная защита, тем сложнее такую защиту будет обмануть или обойти.
По поводу глобальных технологий - я имею в виду что-то радикально новое. Вернее не новое, а оригинальное ... почему-то все писатели руткитов зациклены на том, что нужно создать процесс / открыть порты или сотворить еще что-то, и потом из кожи вон лезть, чтобы это замаскировать. Но, к примеру, можно написать сервер, который будет принимать соединения и вести обмен по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)... тогда маскировать ничего не придется ... и ни один анализатор не увидит открытого порта, поскольку его нет. Аналогично с процессом - а что если его нет, этого процесса (или потока) ?? Тогда и маскировать ничего не надо, и анализаторы ничего не найдут (вспомним для примера "блоху" ) Т.е. такой концептуально новый подход может поставить заранее неизвестный анализатор в тупик ...

Олег, всё хорошо, только одно "но": ты забываешь о предназначении руткита. А он призван маскировать присутствие зверя на компьютере! И теперь скажи мне- а кто пишет зверей? Суперпрофи типа нас с тобой? Нет! И именно поэтому и нужны маскировки открытых портов (да, обмен по TCP/IP можно реализовать и без этого, но много ли людей способно на это?), именно поэтому нужно маскировать процессы (да, можно внедриться очень глубоко в уже существующий, но много ли зверописателей будет на это заморачиваться, ведь и так всё работает!), файлы на диске и ключи реестра. AVZ уже способна на автомате отловить и задавить процентов 90 руткитов ITW, этого более чем достаточно. Так что, сделай-ка лучше английскую версию AVZ и сайта, народ ждёт (и не только в России)!

[Sanja]

Зделать демаскировку хакер дефендеру очень просто Ж) просто драйвер должен на диск сдампить список процессов и пидов Ж) а потом пользователь из таск манагера сравнит Ж)

касперы - тоже хитрожопые - они дампят драйвером список потом запускают таск манагер инжектируются туда.. и сравнивают из него ж)

[Sanja]

>по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)...

сейчас к примеры на XP SP2 это зделать трудновато т.к рав сокет не открыть... а драйвер ставить - так проще перехватить ченить чем с ndis&tdi работать Ж)

И нащет TCP ack / fin / rst backdoora / icmpЭ - есть у меня такой комбайн но все както менее надежно чем жесткий коннект