Мирт и гуава: Эпизод 2

Продолжаем забираться в ботанические дебри. В этом посте о троянце Stuxnet посмотрим на вторую его особенность – цифровую подпись.

Вредоносные программы с цифровыми подписями – это страшный сон для разработчиков антивирусных компаний. На подписи завязано многое, они служат признаком легальности (неоспоримым) приложения, лежат в основе концепций информационной защиты и составляют важное звено эффективности антивирусных продуктов. Ни для кого не секрет, что файл с цифровой подписью априори вызывает «доверие» у модулей защиты и зачастую автоматически считается «белым».

Впрочем, порой случаются ситуации, когда киберпреступникам все-таки удается получить собственный сертификат-подпись. В последнее время такие инциденты, например, регулярно происходят с сертификатами у ряда троянских программ для мобильных телефонов. Мы их находим, уведомляем сертификационный центр, сертификат отзывается и т.д.

Однако со Stuxnet дело темное. Потому что используется там подпись не кого-нибудь, а компании Realtek Semiconductor, одного из крупнейших производителей компьютерного оборудования.

Отозвать сертификат у такой компании невозможно. Это повлечет за собой неработоспособность гигантского количества выпущенного ими софта.

Впрочем, давайте по порядку. Итак, вредоносная программа создает два файла в %SystemRoot%\system32\Drivers\: mrxcls.sys, mrxnet.sys

Эти файлы-драйверы призваны обеспечить работу руткит-функционала Stuxnet – скрывать его присутствие в системе\на зараженных флешках. Именно они и снабжены цифровой подписью:

Видно, что файлы были подписаны 25 января 2010 года. Это означает, что с момента создания до момента обнаружения троянца в дикой природе (в середине июня) прошло несколько месяцев.
Но как злоумышленникам удалось подписать файлы ?

Из соседнего кабинета мне подсказывают, что известен один «эксплоит», но он не позволяет подписывать произвольные файлы.

Давайте пойдем на сайт Verisign, чтобы проверить – действительно ли такой сертификат существует и был выдан ?

Что ж, сертификат абсолютно легален.

Единственное, что смущает, - это то, что он истек 12 июня 2010 года. Эта дата удивительным образом совпадает и с моментом обнаружения троянца экспертами компании VBA.

Означает ли это, что именно из-за своей подписи – он столь долгое время был «невидим» для антивирусных решений ? Возможно, да.

Все эти факты указывают на то, что действительно кто-то имеющий возможность подписывать файлы подписью от Realtek – сделал это: подписал троянца.

Мы сами не связывались с Realtek по этому поводу. Мы знаем, что это сделали ребята из ВирусБлокАда, и они до сих пор не получили никакого ответа от этой компании.

Со своей стороны, мы можем заблокировать данную подпись для наших продуктов, при помощи KSN. На самом деле мы уже сделали это.

Но что же насчет действительной опасности и текущей распространенности Stuxnet? Ответ на этот вопрос, возможно, даст информацию и об источнике проблемы ?

Продолжение следует...