Cercetătorii în securitate au dezvoltat un nou soft maliţios rootkit care se ascunde într-o parte obscură a microprocesorului calculatorului, ascuns bine de produsele antivirus actuale.

Numit rootkit System Management Mode(SMM), programul rulează într-o parte protejată a memoriei PC-ului care poate fi încuiată şi prezentată ca şi invizibilă sistemului de operare, dar care poate da atacatorilor o imagine foarte clară despre ce se întâmplă în memoria unui calculator.

Rootkit-ul SMM vine cu software de keylogging şi comunicare şi poate fura date sensibile din calculatorul unei potenţiale victime. A fost dezvoltat de către Shawn Embleton şi Sherri Sparks, care conduce o companie în Florida, “Clear Hat Consulting”.

Conceptul acestui software va fi demonstrat public pentru prima dată la conferinţa de securitate Black Hat ce se va ţine în august la Las Vegas.

Rootkit-urile folosite de “hoţii” din ziua de astăzi sunt nişte programe foarte şmechere concepute în a-şi acoperi urmele în timp ce rulează. Rootkit-urile au lovit prima dată în 2005, atunci când Sony BMG Music a folosit tehnici de rootkit pentru a-şi ascunde software-ul anti-piraterie sau protejare la copiere. Ulterior compania a fost nevoită să retragă de pe piaţă milioane de discuri din cauza scandalului pornit.

În anii care au urmat cercetătorii au căutat să găsească căi pentru a rula rootkit-urile în afara sistemului de operare astfel fiind mult mai dificil de depistat. De exemplu, acum doi ani Joanna Rutkowska a dezvoltat un rootkit numit Blue Pill, care folosea tehnologia de virtualizare a chip-urilor AMD pentru a se ascunde. Ea a declarat că această tehnologie poate fi folosită pentru crearea de “produse” malware 100% nedetectabile.

“Rootkit-urile îşi îndreaptă atenţia din ce în ce mai mult spre partea hardware” a spus Sparks, care a scris acum trei ani încă un rootkit numit Shadow Walker. “Cu cât te adânceşti mai mult în sistem, cu atât mai multă putere deţii şi vei fi cu greu depistat”.

Blue Pill a profitat de pe urma noilor tehnologii de virutalizare care sunt acum adăugate microprocesoarelor, dar rootkit-ul SMM foloseşte o particularitate care este prezentă de foarte mult timp şi care poate fi găsită în foarte multe PC-uri. SMM datează de pe timpul procesoarelor Intel 386, unde a fost adăugat ca şi ajutor pentru producătorii de hardware în a repara diferite bug-uri din produsele lor cu ajutorul software-ului. Tehnologia este de asemenea folosită în sistemul de power management al PC-urilor(sleep mode, etc).

Din mai multe puncte de vedere, un rootkit SMM care rulează într-o parte încuiată a memoriei, este mai greu de detectat decât Blue Pill, a declarat John Heasman, director de cercetare în cadrul NGS Software, o firmă de consultanţă în domeniul securităţii.

Cercetătorii au fost suspicioşi mulţi ani că software-ul maliţios poate fi scris în aşa fel încât să ruleze în SMM. În 2006, Loic Duflot a demonstrat cum malware-ul SMM poate lucra. El a scris un mic agent SMM care a compromis modelul de securitate al sistemului de operare. Embleton a declarat: “Am dus ideea mai departe şi am dezvoltat un agent SMM mult mai complex care includea şi tehnici rootkit”.

Sparks şi Embleton au fost nevoiţi să scrie “driver code-ul” într-un limbaj assembly foarte greu de folosit. “Debugging-ul a fost partea cea mai dificilă” a spus Sparks.

Fiind separat de sistemul de operare, rootkit-ul SMM devine invizibil, dar asta presupune şi mai multă muncă din partea hackeri-lor, aceştia fiind nevoiţi să scrie codul driver-ului special pentru sistemul pe care îl atacă. “Nu îl văd ca pe un pericol larg răspândit pentru că este foarte dependent de partea hardware” a spus Sparks, “Este un atac bine plănuit împotriva unei ţinte bine stabilite dinainte”.

Dar va fi oare 100% nedectabil? Sparks spune că nu. “Nu spun că este de nedectat, dar va fi foarte greu să fie detectat”.

sursa: www.pcworld.com