О вредоносном программном обеспечении, активно использующем технологии маскировки (также известные как «руткит-технологии») для сокрытия своего присутствия в зараженной операционной системе, знает каждый уважающий себя пользователь. Если не знает, то сталкивался. Если не сталкивался, то велика вероятность, что столкнется в будущем, ведь вирмейкеры изобретают новые способы остаться незамеченным в скомпрометированной среде. Применение руткит-технологий позволяет злоумышленникам незаметно для пользователя выполнять всевозможные неправомерные действия: осуществлять кражу его платежной информации или персональных данных, внедряться в процесс функционирования прикладного ПО, нарушать работу средств защиты ОС, искажать или полностью удалять пользовательские файлы. Другими словами, это дает возможность преступникам полностью контролировать процессы информационной системы.
Для сокрытия файлов (или целых секторов жесткого диска), ключей реестра, процессов и сетевой активности в зараженной ОС руткиты используют различные инструменты: перехват системных функций, блокирование файлов, изменение прав доступа к информационным ресурсам, внедрение в системные функции и тому подобные манипуляции. Некоторые представители вредоносного ПО модифицируют главную загрузочную запись (так называемые «буткиты») на жестком диске для того, чтобы получить контроль над операционной системой пользователя еще до ее загрузки и, соответственно, до загрузки программных средств защиты. Вышеописанные техники сокрытия присутствия в операционной системе вредоносного ПО предъявляют серьезные требования к средствам антивирусной защиты. Во-первых, антивирусный комплекс должен определять наличие компонентов руткита и не допускать его вредоносных действий в информационной среде пользователя. Во-вторых, обнаружив руткит, антивирус должен полностью удалить все его компоненты. И в-третьих, антивирусное ПО должно осуществлять надежную самозащиту от воздействия со стороны компонентов руткита, так как успешная деактивация средств антивирусной защиты сводит ее эффективность к нулю.
Все было бы хорошо (руткиты скрываются, антивирусы разоблачают), если бы не стремительное развитие информационных технологий с их виртуализацией и «облаками»… Теперь информационная среда строится на гипервизорах, где между аппаратными ресурсами и операционной системой появляется дополнительная «прослойка». Она управляет фермой операционных систем и распределяет между ними вычислительные ресурсы. А еще она представляет собой заманчивую мишень для злоумышленников. Злодей получил доступ к гипервизору – злодей разом скомпрометировал все имеющиеся и вновь создаваемые операционные системы. Злодей получил доступ к гипервизору – злодей не боится антивирусных решений для подавляющего большинства стандартных платформ. Для борьбы с таким видом руткита нужен новый подход. Ну хорошо, я немного утрирую, не совсем новый. На рынке уже есть продукты антивирусной защиты для средств виртуализации…
Следом за виртуализацией инфраструктуры следует «облакообразование». Облака сделали переворот в IT-индустрии. Однако, обилие IaaS-платформ (Infrastructure as a Service) снизило безопасность информационной среды. Теперь подобных «прослоек» между железом и ОС становится очень много и нижестоящие «слои» этого «пирога» могут не знать о каких-то процессах внутри своих соседей. Если не говорить языком кулинара: компрометация любого из имеющихся уровней виртуализации позволяет злоумышленнику скрывать свою активность в операционной системе, с которой беспечно работает пользователь…
