Способ обнаружения вредоносного программного обеспечения в ядре операционной системы

Авторы патента:

Тумоян Евгений Петрович (RU)

Ольшанов Константин Дмитриевич (RU)

Череменцев Сергей Николаевич (RU)

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F12/14 - защита от обращений к памяти посторонних пользователей

G06F11/00 - Обнаружение ошибок, исправление ошибок; контроль (способы или устройства для контроля правильности записи на носителе информации G06K 5/00; при накоплении информации, основанном на относительном перемещении носителя записи и преобразователя G11B, например G11B 20/18; в статических запоминающих устройствах G11C; кодирование, декодирование, или преобразование кода для обнаружения или исправления ошибок вообще H03M 13/00 )

Владельцы патента RU 2510075:

Открытое акционерное общество "Информационные технологии и коммуникационные системы" (RU)

Изобретение относится к вычислительной технике и к обеспечению информационной безопасности автоматизированных и информационно-вычислительных систем, в частности к средствам обнаружения вредоносного программного обеспечения (ПО). Техническим результатом является повышение эффективности обнаружения вредоносного ПО за счет обеспечения возможности обнаружения нелегальных перехватов и изменения кода в ядре и загружаемых модулях ядра ОС. Способ реализуется на компьютере с установленной на нем операционной системой (ОС) и заключается в том, что формируют точку прерывания при выполнении системного вызова пользовательского приложения на возникновение передачи управления по адресу в ядре загруженной ОС, проводят проверку структуры данных загруженной ОС, выполняя следующие действия: определяют адрес команды в оперативной памяти компьютера, которой будет передано управление в ходе системного вызова; проверяют принадлежность адресов команд, выполняемых в ходе системного вызова, к нормальному диапазону адресов ядра и модулей ядра ОС в оперативной памяти; судят о наличии вредоносного ПО при отсутствии принадлежности адреса команды к нормальному диапазону адресов.

Область техники, к которой относится изобретение

Уровень техники

В настоящее время разработаны и реализованы в прикладном программном обеспечении (ПО) следующие основные методы обнаружения вредоносного ПО:

1) обнаружение фактов скрытия программ, файлов, процессов, модулей ядра путем проверки наличия данных объектов на разных уровнях операционной системы (ОС);

2) обнаружение отличительных признаков ранее зарегистрированного вредоносного ПО, в частности последовательностей байтов исполняемого кода, строк и констант, характерных для вредоносных программ;

3) контроль целостности исполняемого кода ядра в оперативной памяти.

Так, известен прикладной программный пакет Rootkit Profiler LX для обнаружения вредоносного ПО [1].

Средство Rootkit Profiler LX выполняет проверку:

1) адреса таблицы системных вызовов, таблицы прерываний, обработчика системного вызова, обработчика прерывания,

2) кода системного вызова, кода обработчика прерывания,

3) указателей в структурах виртуальной файловой системы (Virtual File System, VFS).

Таким образом, известное средство не проводит проверку целостности всего кода ядра, а также динамическую проверку исполнения кода ядра, вследствие чего не обнаруживает перехватов в структурах данных ОС, а также перехватов и модификации кода в ядре (за исключением структур виртуальной файловой системы), что является недостатком.

Известен также способ обнаружения вредоносного ПО [2], реализуемый на компьютере с ОС и, согласно одному из вариантов реализации, заключающийся в том, что:

- формируют точку прерывания при возникновении системного вызова из пользовательского приложения на изменение структуры данных загруженной ОС;

- проводят проверку структуры данных загруженной ОС, выполняя следующие действия:

- определяют адрес команды в оперативной памяти компьютера, которая произвела изменения в структуре данных;

- проверяют принадлежность адреса команды к нормальному диапазону адресов ОС в оперативной памяти;

- судят о наличии ВП при отсутствии принадлежности адреса команды к нормальному диапазону адресов.

Под структурой данных здесь понимаются формируемые ОС таблицы исполняемых процессов (в том числе пользовательских приложений), ссылки на системный реестр и файлы и пр.

Перед реализацией способа обеспечивают доступ на чтение и запись к областям оперативной памяти с загруженным ядром ОС и модулями ядра и загружают ОС на компьютер. Способ может быть реализован на компьютерах с ОС общего назначения типа Unix, Linux, Microsoft Windows и др.

Непосредственная реализация способа обеспечивается с помощью предварительно создаваемого прикладного ПО:

- средства отладчика ядра (kernel debugger facilities), выполненного с возможностью получать данные из структур данных, сформированных ОС, путем установки точки прерывания;

- модуля проверки целостности (integrity checker), выполненного с возможностью определения, содержат ли данные, полученные средствами отладчика ядра, когда точка прерывания была установлена, несогласованности, характерные для вредоносного ПО;

- модуль обнаружения (detection module), который координирует полученные данные, сформированные ОС, и обеспечивает данные для модуля проверки целостности.

Перечисленные программные средства не являются уникальными и могут быть созданы профильным специалистом (программистом) на основе знания выполняемых этими средствами функций.

Известный способ принят за прототип для предлагаемого технического решения.

Недостатком известного способа является невысокая вероятность обнаружения вредоносного ПО, поскольку обеспечивается отслеживание действий только при изменении в структуре данных ОС. Соответственно, вредоносное ПО непосредственно в ядре ОС и модулях ядра при использовании известного способа не будет обнаружено.

Раскрытие изобретения

Предлагаемый способ включает динамическую проверку исполнения кода ядра ОС для обнаружения нелегальных перехватов и изменения кода в ядре и загружаемых модулях ядра (драйверах).

Техническим результатом является повышение вероятности обнаружения вредоносного ПО за счет обеспечения возможности обнаружения нелегальных перехватов и изменения кода в ядре и загружаемых модулях ядра ОС.

Дополнительным техническим результатом является также обеспечение проверки целостности исполняемого кода ядра.

Для этого предлагается способ, заключающийся в том, что

- формируют точку прерывания при выполнении системного вызова пользовательского приложения на возникновение передачи управления по адресу в ядре загруженной ОС;

- проводят проверку структуры данных загруженной ОС, выполняя следующие действия:

- определяют адрес команды в оперативной памяти компьютера, которой будет передано управление в ходе системного вызова;

- проверяют принадлежность адресов команд, выполняемых в ходе системного вызова, к нормальному диапазону адресов ядра и модулей ядра ОС в оперативной памяти;

- судят о наличии ВП при отсутствии принадлежности адреса команды к нормальному диапазону адресов.

Таким образом, в отличие от известного способа, в котором проверка проводится только в случае изменения в структуре данных загруженной ОС, в предлагаемом способе проводится проверка всей совокупности адресов команд, осуществляемых в ходе системного вызова.

Это позволяет контролировать все команды и переходы по адресам, в том числе генерируемые вредоносным ПО в составе ядра и модулей ОС, а не только вредоносным ПО в пользовательских приложениях.

Дополнительно также выявляется целостность исполняемого кода ядра.

Осуществление изобретения

Необходимым условием реализации предложенного способа является обеспечение доступа на чтение и запись к областям оперативной памяти с загруженным ядром ОС и модулями ядра. Это условие наиболее просто реализуется в ОС Linux.

Процесс осуществления предлагаемого способа далее описывается для компьютера, имеющего:

1) ОС Linux Ubuntu 9.10 с ядром серии 2.6.31,

2) процессор Pentium серии Р6 и более поздних производства компании Intel (США).

Для автоматизированного выполнения предлагаемого способа необходимо, как и в прототипе, предварительно сформировать программу средства отладчика ядра, позволяющую

1) устанавливать точки прерывания на команды передачи управления;

2) определять адреса команды в оперативной памяти, на которую будет передано управление.

Создание такой программы может осуществить специалист в области ОС (программист).

Перед непосредственным осуществлением предлагаемого способа целесообразно обеспечить наличие доверительного образа ядра ОС для последующего сравнения.

Для этого сначала формируют образ ядра ОС, например, на жестком диске компьютера, а затем распаковывают образ ядра. Обычно код ядра упакован с помощью какой-либо известной программы-архиватора, при упаковке/распаковке могут использоваться алгоритмы Gzip, Bzip и др.

После распаковки код ядра представляет собой файл формата .elf. В полученном файле производится определение сегментов кода.

В сегментах кода выполняется исправление изменяемых адресов кода ядра аналогично тому, как это выполняет стандартный для данной ОС загрузчик ядра:

- изменение альтернативных инструкций - инструкций, указанных в секции .altinstructions ядра,

- изменение инструкций с префиксом LOCK,

- изменение инструкций, связанных с паравиртуализацией.

В результате получают доверительный (эталонный) образ ядра ОС и нормальный диапазон адресов размещения кода ядра в оперативной памяти.

Получение доверительного образа ядра ОС производится с использованием стандартных средств работы с файлами ОС.

Для получения нормального диапазона адресов ядра ОС и модулей ядра необходимо также предварительно сформировать вспомогательную программу, позволяющую:

1) сформировать доверительный образ ядра в оперативной памяти;

2) определять адрес начала и конца каждого сегмента ядра в оперативной памяти.

Целесообразность создания такой вспомогательной программы определяется тем, что стандартные средства ОС могут быть модифицированы ВП для скрытия своего наличия в компьютере.

Создание такой вспомогательной программы также может осуществить специалист в области ОС (программист).

После выполнения перечисленных выше подготовительных действий, в первую очередь осуществляют проверку целостности кода ядра загруженной ОС в оперативной памяти компьютера путем последовательного сравнения с доверительным кодом ядра.

Если обнаружено изменение адреса, проводится проверка, принадлежит ли адрес доверительному модулю в составе ядра. Если нет - считают, что обнаружено вредоносное ПО.

Если обнаружено изменение команд - то также считают, что обнаружено вредоносное ПО.

При обнаружении вредоносного ПО для его последующей нейтрализации могут быть применены какие-либо известные методы, например последовательно выполняемые действия: завершение процесса, связанного с вредоносным ПО, удаление вредоносного ПО и удаление файла, который содержит код программы, которая осуществляет действия вредоносного ПО [2].

После успешной проверки целостности кода ядра выполняют динамическую проверку исполнения кода ядра.

Для этого формируют список адресов, соответствующих участкам кода ядра и модулей ядра.

Затем с помощью средства отладчика ядра блокируют переключение процессов.

Процессор переводят в отладочный режим и устанавливают флаг трассировки TF=1 для всех потоков ядра.

Отключают маскируемые прерывания инструкцией CLI.

Устанавливают перехватчики точек входа в ядро (SYSENTER, int80h).

Включают маскируемые прерывания инструкцией STI.

После этого разблокируют переключение процессов.

При выполнении отладочного прерывания по факту совершения перехода выполняют проверку адреса перехода.

Если адрес не принадлежит коду ядра или коду модуля ядра, то считают модуль, который содержит данный адрес, вредоносным.

Затем устанавливают в процессоре флаг BTF=1 и выходят из обработчика отладочного прерывания.

Возможные действия при обнаружении вредоносного модуля ядра для его последующей нейтрализации могут быть аналогичны описанным выше.

Источники информации

1. Klein Т. - Rootkit Profiler LX. Overview and Documentation, 2007 [Электронный ресурс]. - Режим доступа:

http://www.trapkit.de/research/rkprofiler/rkplx/RKProfilerLX_v0.12_20070422.pdf, дата обращения 09.03.2012, свободный.

2. Патент США №7571482, Automated rootkit detector, приоритет от 28.06.2005 г.

Способ обнаружения вредоносного программного обеспечения в ядре операционной системы, установленной на компьютере, заключающийся в том, что
формируют точку прерывания при выполнении системного вызова пользовательского приложения на возникновение передачи управления по адресу в ядре загруженной ОС,
проводят проверку структуры данных загруженной операционной системы, выполняя следующие действия:
определяют адрес команды в оперативной памяти компьютера, которой будет передано управление в ходе системного вызова;
проверяют принадлежность адресов команд, выполняемых в ходе системного вызова, к нормальному диапазону адресов ядра и модулей ядра операционной системы в оперативной памяти;
судят о наличии вредоносного программного обеспечения при отсутствии принадлежности адреса команды к нормальному диапазону адресов.

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении программного кода, использующего уязвимости в программном обеспечении.

Способ и устройство управления потоками данных распределенной информационной системы // 2509425

Группа изобретений относится к области обеспечения информационной безопасности и может быть использована для предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.

Способ скрытой передачи информации // 2509423

Изобретение относится к радиотехнике и передаче информации и может найти применение в системах связи для помехоустойчивой передачи цифровой информации, в том числе с высокой степенью конфиденциальности.

Способ и сеть для синхронизации служебного ключа мобильного мультимедийного вещания и региональной системы мобильного условного доступа // 2507711

Способ синхронизации служебного ключа мобильного мультимедийного вещания включает: генерирование каждой региональной системой мобильного условного доступа (M-CAS) соответствующего регионального служебного ключа и синхронизацию регионального служебного ключа с центральной M-CAS через интерфейс региональной платформы; генерирование центральной M-CAS центрального служебного ключа и синхронизацию центрального служебного ключа и регионального служебного ключа с рядом региональных M-CAS через интерфейс центральной платформы; и аутентификацию мобильного терминала каждой региональной M-CAS путем использования частной информации соответствующего приписанного мобильного терминала.

Способ приема клиента управления доступом, способ модификации операционной системы устройства, беспроводное устройство и сетевое устройство // 2507710

Предлагаются способ и устройство, обеспечивающие программирование электронной идентификационной информации беспроводного устройства. В одном варианте осуществления ранее приобретенное или развернутое беспроводное устройство активируется посредством сотовой сети.

Система управления лицензиями, устройство управления лицензиями и компьютерно-читаемый носитель записи, на котором имеется программа управления лицензиями // 2507577

Изобретение относится к средствам управления лицензиями. Технический результат заключается в уменьшении вероятности несанкционированного доступа к группе прикладных программ.

Способы и устройство для аутентификации и идентификации с использованием инфраструктуры открытых ключей в среде ip-телефонии // 2506703

В заявке описаны способы и устройство для аутентификации абонентов с использованием инфраструктуры открытых ключей (PKI) в среде IP-телефонии, такой как сеть IMS. Для аутентификации пользователя абонентского устройства при попытке получения доступа к сети IP-телефонии получают один или несколько индивидуальных ключей абонента из защищенной памяти, связанной с абонентским устройством; генерируют ключ целостности и ключ шифрования; шифруют ключ целостности и ключ шифрования с использованием сеансового ключа; шифруют сеансовый ключ открытым ключом сети IP-телефонии; и предоставляют зашифрованный сеансовый ключ, зашифрованный ключ целостности и зашифрованный ключ шифрования сети IP-телефонии для аутентификации.

Система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере // 2506638

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении защиты от распространения неизвестного вредоносного ПО.

Способ и устройство верификации динамического пароля // 2506637

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности проверки подлинности.

Устройство хранения данных (варианты) // 2506633

Изобретение относится к вычислительной технике, в частности к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в повышении надежности устройства хранения данных и обеспечении более высокой степени безопасности хранения информации.

Система и способ проверки исполняемого кода перед его выполнением // 2510074

Устройство хранения данных (варианты) // 2506633

Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну // 2504835

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей.

Система и способ для обнаружения вредоносных программ // 2497189

Изобретение относится к вычислительной технике, в частности к способам защиты информации от вредоносных программ. Техническим результатом является обеспечение безопасности вычислительных устройств за счет автоматизированного анализа исполняемого кода.

Использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях // 2494448

Изобретение относится к системам и способам безопасной передачи данных в небезопасных сетях. Технический результат заключается в повышении уровня защиты данных при передаче в небезопасных сетях.

Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз // 2488880

Изобретение относится к системам и способам проверки потока данных, передающихся по сети, на наличие угроз. .

Электромеханическое устройство защиты информации, размещенной на цифровом usb флеш-накопителе, от несанкционированного доступа // 2486583

Изобретение относится к вычислительной технике. .

Способ увеличения надежности определения вредоносного программного обеспечения // 2485577

Способ защиты информационно-вычислительных сетей от компьютерных атак // 2483348

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС).

Предоставление цифровых удостоверений // 2475840

Изобретение относится к области защиты информации и может быть использовано для создания и предоставления цифровых удостоверений пользователю. .

Система автоматизированного контроля работоспособности и диагностки неисправностей радиоэлектронной аппаратуры // 2504828

Изобретение относится к области измерительной техники и технической диагностики, в частности к устройствам контроля работоспособности и диагностики неисправностей радиоэлектронной аппаратуры.