1 agosto 2013
O Fantasma do Setor de Inicialização
My power over you
grows stronger yet*
Andrew Lloyd Webber – O Fantasma da Ópera
Na batalha entre malwares e tecnologias de defesa, há um jogo interessante que nunca termina – o rei do castelo.
As regras são simples: vence quem se instalar na memória do computador, dominar os controles e se proteger de outras aplicações primeiro. Do topo do castelo o vencedor poderá examinar tudo ao redor e defender a ordem no sistema (ou gerar caos de maneira desapercebida e impune, se estiver mal-intencionado).
Em resumo, o vencedor leva o controle sobre o computador.
A lista de aplicativos que aspiram assumir a liderança no processo de inicialização começa com… O setor de boot! Uma seção especial do disco que armazena todas as instruções sobre o quê, quando e onde carregar. O pior é que até o sistema operacional segue esta lista! Não é de admirar que os cibercriminosos tenham um interesse doentio por este setor – invadi-lo é o caminho ideal para esconder completamente os indícios de que o computador está infectado. Os criminosos se apoiam em uma classe particular de malware para estes casos, os bootkits.
Como seu computador inicializa
Leia para descobrir o que são bootkits e como proteger seu sistema contra eles.
Na verdade os bootkits estão por aí há algum tempo.
Em meados dos anos 1980 já era uma das variedades mais populares de vírus. O primeiro vírus de DOS, Brain, era um bootkit. Mas os caçadores aprenderam a lidar com ele rapidamente, então os criadores perderam o interesse e partiram em busca de outros mais eficientes (para eles!) – eles desenvolveram métodos como vírus de macro para MS Office e worms (vírus autorreplicáveis) da Internet.
Os bootkits ganharam novo fôlego no final de 2007, quando uma nova versão do Cavalo de Tróia Sinowal, capaz de infectar setores de inicialização, apareceu. Isso chocou algumas empresas de antivírus, que tinham considerado esse tipo de ataque coisa do passado (desde o final da década de 1990) e produziam soluções absolutamente incapazes de proteger o setor de inicialização.
Ainda que os bootkits não representem uma pandemia em escala mundial, nossos relatórios mostram que eles são uma ameaça estável (ainda que quase imperceptível) e incômoda. E o submundo dos computadores está sempre aparecendo com novos truques …
Você pode se perguntar por que os bootkits não atacam de maneira generalizada se são tão astutos e indetectáveis. Eles realmente merecem todo nosso esforço, precisamos nos preocupar com o desenvolvimento de proteção contra eles?
Sim. Em primeiro lugar porque estimamos que o número de computadores infectados ao redor do mundo seja de aproximadamente 10 milhões – uma pequena quantidade comparada ao número de PCs infectados não identificados.
Depois porque este método de infecção é frequentemente utilizado em ataques direcionados patrocinados pelo Estado (o famoso FinSpy por exemplo). Você deve concordar que se tornar uma vítima de ciberguerra ou operações especiais não é uma perspectiva muito atraente.
Finalmente porque criar um bootkit exige conhecimentos de programação profundos, coisa que nem todo cyber-vilão possui. Bootkits são realmente eficientes e indetectáveis – mas não são invencíveis. Ainda que se defender contra eles esteja longe de ser simples, pudemos controlá-los com sucesso. Saiba como …
Bootkit infections, 2013
(based on Kaspersky Lab product users’ data only)
Para começar, algumas palavras sobre o ciclo de vida de um bootkit.
Normalmente um ataque bootkit começa com uma vulnerabilidade no sistema operacional ou no software instalado em seu computador. Você simplesmente visita um site, ele investiga seu computador e ataca se encontrar pontos fracos. Especificamente: um arquivo é sub-repticiamente carregado no computador, o que inicia a infecção.
Após a infecção, o bootkit se inscreve no setor de inicialização, move o conteúdo original para um lugar bem escolhido no disco rígido e criptografa a informação. A partir daí, cada vez que o computador for ligado o bootkit carregará seus módulos maliciosos maliciosos (como um Trojan bancário) e seus meios de dissimulação (rootkits) na memória do computador. Um rootkit é necessário para esconder o fato de que o computador está infectado – ele identificará futuras tentantivas do sistema operacional de verificar o conteúdo de outros aplicativos durante inicialização (inclusive antivírus) e simplesmente empurrará o conteúdo original de volta para o setor de inicialização. E eis que parecerá que está tudo bem!
Aparentemente, com este monopólio de controle sobre o sistema, esse tipo de infecção só poderia ser removida iniciando o sistema por meio de outro disco rígido com um sistema operacional limpo e um bom antivírus. Certamente é uma boa opção. Mas desenvolvemos uma tecnologia que pode ajudar a combater bootkits ativos (inclusive desconhecidos!) e a curar o computador automaticamente, sem este complexa cirurgia.
Nosso produtos corporativos e pessoais possuem um sistema emulador de inicialização. Como nosso emulador para sistemas operacionais ou navegadores, ele também cria um ambiente artificial que replica o processo de inicialização do computador. E em seguida, observa todas as funções interceptadas do disco, recolhe todos os setores necessários, forma um núcleo de inicialização especial e o executa neste ambiente. O bootkit acha que é hora de entrar em ação e começa o procedimento padrão … e é aí que atacamos! O objeto suspeito é enviado para os nossos analistas de vírus por meio do nosso serviço baseado em nuvem KSN, desenvolvido para oferecer uma protecção adequada e atualizar os bancos de dados. Deste ponto em diante é questão de que a tecnologia faça sua parte: o antivírus decifra o setor de inicialização original, elimina o Bootkit e todos os seus módulos e restaura o sistema. Se você não pode esperar, pode tentar curar o computador usando nossa funcionalidade gratuita KVRT.
O mais legal é que esta tecnologia nos protege contra bootkits desconhecidos.
Primeiro, fazemos uma análise heurística local e detectamos as atividades suspeitas durante a emulação de boot. Depois, usamos nossa nuvem KSN, que utiliza métodos estatísticos sobre os mesmos sistemas para detectar anomalias no bootkit.
Como qualquer outro emulador, iniciar virtualmente o computador é um processo que requer muitos recursos. Então, por que você realizaria frequetemente uma análise aprofundada do setor de inicialização? Em resumo porque oferemos o melhor dos dois mundos, o escaneamento do sistema de boot pode ser agendado (para a noite ou para quando o computador estiver ocioso), por exemplo. Trabalho feito e todo mundo feliz 🙂
O que vem depois?
Não há dúvidas de que os bootkits evoluirão. A forma como os malwares polimórficos XPAJ driblaram o recurso de defesa mais recente de Windows para mascarar seu módulo bookit é um claro exemplo disso. Ainda existem os bioskits que atingem partes cada vez mais profundas do sistema.
É claro que esta classe de malware continuará sendo escolhida por poucos grupos ciberciriminosos que desejam chamar pouca atenção. E haverá espaço para eles, oferecido por produtos antivírus que simplesmente se esquecem da proteção contra bootkits. Nós temos a prova: abaixo estão os resultados de um recente teste comparativo que avaliou a capacidade de diferentes antivírus de curar infecções ativas em diferentes bootkits. O cenário é assustador, mas deixa algo de otimismo…
Ao fim e ao cabo, as coisas ficarão interessantes. Mas nós não esperamos parados! Estamos pensando, trabalhando, inventando, introduzindo, detectando, curando e… tentando salvar o mundo!
*Meu poder sobre você ficará ainda maior