|
Vista definitivno pomera granice svega do sada poznatog.. 
Po svemu sudeci napravljen je prvi rootkit specijalno dizajniraran za Vistin kernel pod nazivom Vbootkit. Testiran i radi na 32-bitnim RC verzijama Viste, test na RTM verziji je u toku. Sa mogucnoscu njegovog postavljanja unutar samog B.I.O.S.-a i velicine oko samo 1500 bajta, itekako se moze iskoristiti za zaobilazenje aktivacije Viste ili onemogucavanje DRM-a.
"Kvaka" sa ovim rootkitom je u tome sto se koristi jedinstvenim metodama i moze da se ucita na sistem sa boot sektora ili uredjaja (MBR, CD, PXE, Flopi..itd), i opstane u memoriji dovoljno dugo da bi mogao da nastavi dalje svoj put u zasticeni rezim i startup OS-a.
Rootkit-ovi se instaliraju kada je OS u radu zbog toga sto su im potrebne odredjeni servisi OS-a ili privilegije na njemu za instalaciju. Vbootkit je poseban jer on koristi boot medij za napad na operativni sistem i napravljen je totalno u "in-Ram" conceptu.
Princip rada: BIOS --> Vbootkit kod (sa CD,PXE itd.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.
Za sada je poznato da ovaj rootkit moze sledece:
* Periodicno podize privlilegije Command Prompt-a na nivo "System" nakon svakih nekoliko sekundi.
* Modifikuje Registry i pokrece telnet server automatski.
* Kreira thread u user mod-u i omogucava isporuku payload-a kroz kontekst sistemskih (zasticenih) procesa (LSASS.EXE, Winlogon.exe..itd)
Zloupotreba naravno moze biti daleko veca, jer u globalu sa njim se moze uraditi sve ali sve sto moze i Vistin kernel. Jos nema zvanicnog odgovora na ovo od strane AV kompanija.
Autori ovog rootkita naglasavaju da je softverska zastita nedovoljna da bi se napad na OS tako sprecio. Na pitanje "kako se zastiti" odgovaraju da je jedina zastita moguca na hardverskom nivou kroz TPM model i Secure Startup.
Ostatak clanka tj. tacnije kompletan intervju sa autorima ovog rootkita moze se procitati na linku ispod:
[Link mogu videti samo ulogovani korisnici]
|
