Double agent – czy naprawdę przekształca av w złośliwe oprogramowanie?

Ostatnimi czasy w Internecie było głośno o firmie, która oferowała ochronę przed Zero-day exploit, a w praktyce miała eksponować lukę w systemie Windows, która pozwalała atakującym na przekształcenie antywirusów w złośliwe oprogramowanie. W związku z tym, wśród internautów zrodziło się wiele niepewności. Jednak, gdy przyjrzymy się tej kwestii z bliska, widzimy, że nie ma powodu do paniki.

Temat rzekomej luki pozwalającej atakującym na przekształcanie oprogramowania antywirusowego w złośliwe oprogramowanie stał się tematem dyskusji. Wielu użytkowników twierdziło, że zupełnie jak szpiedzy ze starych filmów, którzy zmienili swój kierunek działania, tak i double agent działa obecnie wbrew swojemu pierwotnemu przeznaczeniu. Tak przedstawiony obraz sytuacji faktycznie jest skomplikowany i może budzić obawy, lecz jest przede wszystkim również niepełny.   

Na czym polega „luka”?

Microsoft Windows oferuje specjalistom od rozwoju oprogramowania możliwość znajdowania błędów w ich własnym kodzie, wykorzystując do tego narzędzie Application Verifier. W przeciwieństwie do zasady działania debuggerów, w tym wypadku działanie opiera się na wprowadzeniu do biblioteki DLL specjalnej funkcjonalności wyszukującej i raportującej w odniesieniu do procesów badanego oprogramowania. Istnieje jednak pewna cecha Application Verifier, która nie została oficjalnie udokumentowana, ale jest powszechnie znana. Umożliwia ona specjalistom od rozwoju oprogramowania na zastąpienie oryginalnego narzędzia Verifier jego zmodyfikowanymi wersjami. W ten sposób możliwe jest wprowadzenie arbitralnego kodu do każdej aplikacji. I to dosłownie każdej. Przykład może tu stanowić oprogramowanie antywirusowe. Powstała lista czternastu dostawców oskarżanych o to, że w ich oprogramowaniu występują luki. O tej kwestii poinformowano ich na 90 dni przed opublikowaniem listy. Kilkudziesięciu dostawców, w tym G DATA, nie otrzymało jednak żadnej informacji.

Jakie jest faktyczne niebezpieczeństwo?

Ocena faktycznego niebezpieczeństwa zależy od wielu czynników:

  • Jak szeroko rozpowszechniona jest luka?
  • Na ile łatwo ją wykorzystać?
  • Jakie są zalety?

Luka tego typu staje się prawdziwym zagrożeniem jedynie wtedy, gdy jest wykorzystywana przez złośliwe oprogramowanie. Jeśli specjaliści zajmujący się kwestiami bezpieczeństwa będą w odpowiedzialny sposób informować o nowych lukach, nie będzie powodów do obaw. Twórcy złośliwego oprogramowania musieliby je dokładnie przeanalizować i stworzyć swój własny kod exploit. Mogłoby to zająć im kilka dni, choć czasami wystarczyłoby kilka godzin. W większości przypadków nie podejmują się tego, choć znany jest przypadek, gdy sytuacja wyglądała inaczej.

W 2015 roku Microsoft poinformował o koniu trojańskim nazwanym Bampeass.C, który wykorzystuje narzędzie Application Verifier to obejścia kontroli konta użytkownika (UAC). Działanie takie z pewnością nie stało się powszechne – wręcz przeciwnie, przykłady złośliwego oprogramowania wykorzystującego Application Verifier do przechwytywania DLL są niezmiernie rzadkie – na tyle, że na daną chwilę nie należy się ich w ogóle obawiać.

Diabeł tkwi w szczegółach

Double agent jest często nazywany Zero-day exploit. Używanie tego terminu jest jednak niepoprawne. Ściślej mówiąc, nie jest to nawet luka. Dochodzi tu do nadużycia funkcji systemu i tak naprawdę złośliwe oprogramowanie rejestruje się do autostartu  poprzez Windows Registry. Wniknięcie w docelowy proces następuje automatycznie.

Tak jak wspomniano powyżej, opisywana luka to żadna nowość. Przedstawiono ją w Virus Bulletin już w roku 2011. Nawet sam Microsoft pisał o niej w 2012 roku na blogu. Mimo tego jedna z izraelskich firm z branży IT zajmująca  się kwestią bezpieczeństwa przedstawiła materiał z prezentacji dotyczącej tego zagadnienia wygłoszonej w Tel Awiwie dwa lata temu jako „nowe odkrycie”. Co więcej, pominięto także wstępne okoliczności ataku. Do stworzenia rejestru umożliwiającego hackowanie niezbędne są uprawnienia administratora. Po uzyskaniu pozwoleń hacker może wykonywać wszelkie działania opisane w artykule: wyprowadzać pliki, komunikować się z serwerem C2, niszczyć urządzenia, doprowadzać do przeładowania serwisów itp. Jeśli atakujący posiada już uprawnienia administratora, czemu miałby przejmować się oprogramowaniem AV? Wszelkie nieodpowiednie działania wspomniane w artykule można wykonać bez mieszania w oprogramowaniu AV. Rodzi się podejrzenie, że aktualny trend zmierzający ku rzucaniu winy na dostawców oprogramowania AV jest wykorzystywany tylko i wyłącznie przez marketingowców.

Czy klienci G DATA mogą czuć się zagrożeni?

Opisywana luka obecnie nie stanowi niebezpieczeństwa. Jeśli sytuacja się zmieni, wszyscy Klienci zostaną o tym powiadomieni – mówi Robert Dziemianko z G DATA. Jako że wszystkie informacje na temat luki pochodzą tylko i wyłącznie z prasy, zespół G DATA cały czas analizuje, czy realne zagrożenie naprawdę istnieje. Ponadto dodane zostały zestawy reguł do ochrony, które zidentyfikowano jako okoliczności wstępne ataku. Gdyby zatem doszło do ataku, łatwo będzie dojść do tego, jakie złośliwe oprogramowanie blokuje tę ścieżkę – dodaje.

Prognoza – wiele hałasu o nic

Mało prawdopodobnym wydaje się, by luka zwana Double Agent faktycznie wykorzystywała oprogramowanie AV. Jako że w tej sytuacji niezbędne są przywileje admina, mogłaby ona zacząć działać natychmiast. Nie ma potrzeby eksperymentowania z innym oprogramowaniem. Duży wpływ na popularność tego tematu miały media, które zbyt ogólnie i bez przygotowania merytorycznego przedstawiły zagadnienie. G DATA jest jednak dobrze przygotowana na wszelkiego rodzaju zagrożenia.

Podsumowanie

  1. Double Agent nie stanowi zagrożenia. Doniesienia medialne tworzą fałszywe wrażenie.
  2. Oprogramowanie antywirusowe jest w stanie bronić się samo.
  3. Opisany atak na oprogramowanie AV nie ma nic wspólnego z prawdziwymi atakami.
  4. Z technicznego punktu widzenia nie ma podstaw do paniki.
Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...