System Virginity Checker czyli studium w szkarłacie

Kolejny program, System Virginity Verifier autorstwa Joanny Rutkowskiej polskiej specjalistki z dziedziny bezpieczeństwa, został stworzony właśnie w celu wykrywania rootkitów, które mogą ukrywać pliki selektywnie albo samodzielnie usuwać się przed restartem systemu. Programowi towarzyszy sterownik wspomagający sprawdzanie systemu, ładowany do Windows podczas pracy SVV. Głównym podejrzanym dla SVV są modyfikacje kodu w jądrze Windows oraz przejmowanie wywołań systemowych. Ponieważ jednak techniki te są wykorzystywane przez system Windows i wiele pożądanych aplikacji (antywirusy, debuggery), konieczne było jakieś rozróżnienie pomiędzy tym co dobre, a tym, co złe.

Ciekawą nowością w porównaniu do innych programów jest stosowanie przez SVV pięciostopniowej skali zagrożenia zamiast prostego "tak" lub "nie". Skala zaczyna się kolorem niebieskim (1), oznaczającym system całkowicie "dziewiczy", kończy się zaś głębokim szkarłatem (5), czyli systemem na pewno opanowanym przez rootkit. Takie skalowanie poziomu zagrożenia pozwala programowi dość łatwo odróżnić modyfikacje wprowadzone przez sterowniki Windows czy antywirusy od tych wprowadzonych przez programy ukrywające się w systemie ze złymi intencjami. Metoda ta okazała się bardzo skuteczna w praktyce, co przedstawia ilustracja obok. Dziewiczy system Windows 2000 Server - wynik "zielony"; system Windows XP z wieloma rezydentnymi narzędziami - wynik "żółty", czyli nadal wszystko w porządku; system Windows 2000 Server z uruchomionym rootkitem - wynik "szkarłatny".

Zobacz również:

• Nearby Sharing od Google - wygodny sposób na przesyłanie plików

Jak widać, program poradził sobie bezbłędnie w przypadkach najczęściej spotykanych w realnym świecie. Dotyczy to zwłaszcza systemu Windows XP, który ze względu na obecność wielu mniej lub bardziej nietypowych narzędzi (sterowników urządzeń, narzędzi diagnostycznych itp.) może się wydawać podejrzany z punktu widzenia narzędzia badającego pamięć. Pomimo ich obecności w systemie, SVV bezbłędnie zlokalizował Hacker Defendera.

Co więcej, program potrafi również usuwać rootkity z pamięci (opcja "svv fix"). Oczywiście, program lojalnie ostrzega, że system może ulec destabilizacji. W przypadku zarażonego Windows 2000 Server leczenie okazało się w pełni skuteczne i obyło się bez komplikacji. Usunięcie rootkita miało natychmiastowy rezultat - zgodnie z przewidywaniami pliki Hacker Defendera pojawiły się z powrotem w katalogu, z którego je uruchomiono. Również sprawdzenie wyleczonego systemu Rootkit Revealerem oraz BlackLight dało wynik negatywny.

Usunięcie rootkita miało natychmiastowy rezultat - zgodnie z przewidywaniami pliki Hacker Defendera pojawiły się z powrotem w katalogu, z którego je uruchomiono. Również sprawdzenie wyleczonego systemu Rootkite Revealerem oraz BlackLight dało wynik negatywny.

Przyszłość wykrywania rootkitów

Dokładnie 17 listopada br. autorzy Hacker Defendera poinformowali o zakończeniu prac nad modułem ukrywającym komercyjną wersję rootkita przed SVV 1.1. Czyli znowu Hacker Defender górą. Pytanie: na jak długo? Zapewne do czasu publikacji kolejnej wersji SVV. Należy pamiętać, że SVV, Rootkit Revealer i inne narzędzia implementują tylko ograniczony zakres testów. Program kompleksowo weryfikujący wszystkie oznaki działania rootkita byłby zapewne twardym orzechem do zgryzienia dla autorów rootkitów.

Stworzenie takiego narzędzia to cel nowego projektu Joanny Rutkowskiej czyli OMCD (Open Metodology for Compromise Detection), który ma być tym dla wykrywania włamań, czym OSSTMM dla testów penetracyjnych, czyli kompletnym zbiorem procedur testowania systemu w celu wykrycia naruszenia jego integralności. Projekt jest w fazie rozruchu. Na razie więcej szczegółów można znaleźć w prezentacji o SVV i OMCD zaprezentowanej we wrześniu na konferencji w Malezji.

Techniki opisane w tym artykule będzie można zobaczyć na żywo podczas darmowych warsztatów ISACA, które odbędą się w grudniu w Krakowie i Warszawie. Informacje o terminach spotkań można będzie znaleźć na stronach ISACA.

Konsultacja techniczna: Tomek Onyszko, Wojtek Dworakowski, Joanna Rutkowska

Więcej na temat:

Rootkit na śniadanie (cz.I)