Malware Bypasses Process Monitoring & Colonização Marciana

24 06 2012
Computer security rings (Note that Ring 1 is n...

Computer security rings (Note that Ring 1 is not shown) (Photo credit: Wikipedia)

Em alguns produtos de segurança o domínio dos “anéis” do sistema operacional é fundamental e para alguns malwares, conquistar o poder do “anel” é torná-lo quase invencível.

Tá, anel pode ser um termo muito sinistro para você, no fundo para mim também, por isto que prefiro utilizar o termo “ring”. Há um tipo de malware (considerado advanced) que costuma render bastante trabalho que são os Rootkits; principalmente aqueles que sabem explorar o poder destes rings, OS Internals, processors internals ou até instruction sets bugadas e ou desconhecidas como  Likhachev Nikolay encontrou em alguns rootkits (e trojans) em 2007 e revelou no paper “Remote Code Execution through Intel CPU Bugs“.

Rootkits podem ser de Ring 3 (User Land), de Ring 0 (Kernel Land),  Ring -1  (Hypervisor), Ring -2 (SMM) e até de Ring -3, estando em iminência os de EFI  que tem sucesso apenas em firmwares que não empregam algumas boas práticas de segurança, mas em tempos onde malwares já estão utilizando ataques desconhecidos de colisão de hash para forjar certificados digitais, muitos princípios começam a entrar em xeque.

Para muitos o desenvolvimento de rootkits é uma arte negra, até porque há várias técnicas relacionadas a eles que não são muito simples mesmo. Por isto outro dia fiquei admirado com um  post  no blog de uma  empresa  de segurança que tem produtos anti-malware, mostrando como realizar by-pass via kernel rootkit  (ring 0) de um dos pilares da monitoração real-time por endpoint protections no Windows.  Obviamente, esta empresa não é afetada por tal técnica, visto que seus engines de captura são de  in-network e o conteúdo do tal post era direcionado para bypass de kernel mode driver callback, enfim outra categoria de AVs.

O post pareceu-me mais FUD (Fear, Uncertainty and Doubt) e uma peça de marketing, e isto levou-me a fazer uma série de questionamentos e  deixou-me muito pensativo.

A técnica de bypass comentada não é “nova”, confesso que acabei aprendendo ela uns 6 anos atrás, pós a leitura deste proceedings Hide´n Seek Revisited – Full Stealth is Back  e de uma conversa de bar com alguns amigos desenvolvedores de módulos kernel mode, que acabou me levando a realizar algumas pesquisas e entender alguns conceitos interessantes de técnicas que um rootkit pode empregar, assim como algumas técnicas de anti-debugging por razões indiretas. Mas confesso que fui entender melhor algumas técnicas de anti-debugging  após ler alguns posts do Caloni, como o Antidebugging using the DebugPortAntidebugging during the process attach,  Antidebugging using exceptions.

Mas voltando ao foco,  me chamou muito a atenção uma empresa que fornece uma solução anti-malware mostrar de forma tão direcionada uma técnica de by-pass de  produtos que no fundo são complementares a solução dela. Visto que tentando mostrar os benefícios de sua tecnologia, ela divulgou uma técnica que poderá ser utilizado em ataques que afetarão seus próprios clientes no futuro, então fico pensando: o que mais virá pela frente?

Tá, você pode me dizer que quando se disseca um artefato malicioso e publica o conteúdo abertamente na internet, vários competidores acabam gerando o mesmo efeito, mas acho que há uma tênue linha na divulgação de informações. Mas uma coisa é a informação implícita que externa a ameaça e outra coisa é explicar como se faz, posso muito bem explicar quais são os males da radiação nuclear e não publicar como se produzir uma bomba. Esta não é primeira vez que isto acontece, mas este post foi no mínimo pitoresco.

Para o tipo de solução que esta empresa comercializa há cerca de 5 competidores no mercado, tenho certeza que algumas jamais adotarão esta prática, mas já imaginaram se 2 empresas deste setor resolverem seguir este mesmo caminho, onde iremos parar?

Em seus blogs, normalmente as empresas publicam  posts construtivos para a própria comunidade.  E quando não são, afirmar que se “descobriu primeiro” ou que  “seu produto é melhor” que os dos outros (e pouca informação além disto) é normal e  muitas vezes é até saudável, afinal fomenta questionamentos produtivos, estimula o próprio desenvolvimento e a competição saudável, e acho que desde que o ser humano começou a fazer escambo e principalmente pós o estabelecimento do comércio existe esta prática, porém na indústria civilizada ensinar como sabotar o produto de uma linha de produto para tentar quebrar modelos mentais ou subjugar  é uma prática no mínimo cinzenta e talvez até meio suicida quando se tem um produto “complementar”.

Enfim, acidentes acontecem, como empresa de eletrônicos enviar rootkit em CD de instalação de produto, empresa de segurança deixar exploit de uso interno em FTP público…

Agora incidentes como um famoso caso de cloacking em CDs  ocorrido a alguns anos, assim como algumas abordagens invasivas de consultorias que enviam rootkit/trojan em pen-drive com material institucional, maladireta com QR Code para link malicioso, e-mail com Spear Phishing  para iniciar a prospecção em um cliente empregando práticas que só poderiam ser utilizadas mediante contratação e após um minucioso processo de avaliação em conjunto com o cliente;  é deprimente. E agora empresa de solução anti-malware que publica assim tão explicitamente técnicas para rootkits se manter stealth ou hidden me fez pensar:

Até onde irão estas práticas cinzentas?

Nossa sorte é que a colonização espacial, mais especificamente lunar e marciana ainda não é realidade e a corrida nuclear hoje é muito contida. Afinal, nesta mesma linha, já imaginaram as práticas cinzentas para incentivar o consumo deste tipo de serviço atacando as tecnologias empregadas em bunkers nucleares?

Namastê!


Ações

Information

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




%d blogueiros gostam disto: