Brain: Анатомията на първия компютърен вирус
През 1986 година братята Басит и Амджад Фарук Алви, притежатели на дребен магазин за компютри в пакистанския град Лахор основават стратегия, която вечно трансформира метода към компютърната сигурност. Тяхното създание – вирусът Brain е първият в историята компютърен вирус за лични компютри IBM и слага началото на нова епоха на цифрови закани.
Как работи Brain?
Brain визира бранша за зареждане на дискети – дребна, само че сериозна област с размер 512 байта от дискетата. В тази област се съхранява кодът, който BIOS чете при включване на компютъра, още преди стартирането на операционната система. Тя също по този начин съдържа таблицата на дяловете на диска и параметрите на файловата система – информация, без която компютърът не може да се зареди.
Механизмът на вируса е бил изненадващо интелигентен за това време. Веднъж попаднал на дискетата, зловредният програмен продукт не просто се записвал върху стартовия бранш, а първо премествал истинския код в друга област на дискетата. Същевременно той маркира тази област като развалена, с цел да не може системата инцидентно да презапише истинския код. Кодът на самия вирус се записвал в освободената област в бранша за зареждане, която се задействал при всеки опит за зареждане от инфектирана дискета.
Brain знаел по какъв начин да се скрие от антивирусните стратегии, като прихващал достъпа до BIOS посредством систематичното спиране INT 13h. Когато някоя стратегия се опита да прочете наличието на boot бранша, вирусът замества своя код с истинското наличие, което благоразумно е запазил. Тогавашните антивирусни стратегии просто сравняваха наличието на бранша с референтното и не можеха да открият подмяната.
Архитектура и механически решения
През 1986 година основателите на Brain ползват няколко усъвършенствани механически решения. На първо място, вирусът е можел да ревизира дали компютърът към този момент е инфектиран, с цел да избегне наново заразяване и възможни неизправности. За тази цел той употребявал лична система от тагове в паметта на компютъра.
Кодът на вируса съдържал процедури за криптиране, с цел да скрие наличието си в системата. Всяко копие на Brain получавало и неповторим идентификатор – това разрешавало на основателите да наблюдават разпространяването на софтуера. По създание братята Алви основават първата в света телеметрична система за злотворен код.
Интересно е, че кодът е съдържал известие с информация за контакт с създателите:
„ Добре пристигнали в подземието… Свържете се с нас за ваксинация… “.
След това следвал цялостният пощенски адрес на техния магазин в Пакистан. Този „ автограф “ е бил самобитно предизвикателство и в същото време рекламен трик – жертвите незабавно са знаели към кого да се извърнат за помощ.
История на сътворението на Brain
И по този начин, защо било належащо всичко това? Братята Алви са сполучливи бизнесмени в Лахор. Тяхната компания Brain Computer Services разработвала медицински програмен продукт за локални клиники – системи за записване на пациенти и здравна документи. Пиратството е било проблем в Пакистан: клиентите постоянно копирали софтуера, който купуват и го предавали на други клиники.
Първоначално Brain е умислен като система за отбрана на авторските права. Вирусът е трябвало да маркира противозаконните копия на софтуера и да затрудни потреблението им. Механизмът на разпространяване посредством boot бранша обаче се оказал прекомерно ефикасен.
Вирусът почнал да се копира върху всички дискети, употребявани в инфектираните системи, без значение дали те съдържали предпазен програмен продукт или не. Разпространението било изключително интензивно в университетските кампуси, където студентите непрекъснато обменяли носители с разнообразни стратегии и данни. Така Brain се популяризира надалеч оттатък първичната потребителска база на братя Алви и стартира триумфалното си шествие по света.
Влияние върху създаването нa Brain
Brain заложил няколко съществени правилото, които по-късно били употребявани от експертите по осведомителна сигурност и нарушителите. Въвеждането в бранша за зареждане подсигурява, че вирусът ще има надзор над системата още преди да се задейства антивирусната отбрана. Този принцип се употребява и през днешния ден в актуалните bootkits – злотворен програмен продукт, който заразява систематичния bootloader.
Техниките за прикриване, въведени за първи път от Brain станаха основа за основаването на цялостен клас скрити вируси. Отвличане на систематични извиквания и подправяне на данни при достъп до инфектирани области – тези техники са настоящи и през днешния ден. Използването на сменяеми носители като вектор на офанзива също било толкоз дейно, че този принцип се употребява и до през днешния ден. Спомнете си единствено за известния Stuxnet, който проникна в изолирани индустриални мрежи посредством USB устройства.
Революция в антивирусната отбрана
Този злотворен програмен продукт наложи цялостно преосмисляне на антивирусната отбрана. Простото сканиране на файловете за известни сигнатури беше неефикасно против вирус, който може да маскира кода си. Разработчиците на антивирусни стратегии започнаха да основават системи за евристичен разбор, които наблюдават съмнително държание.
Появиха се първите стратегии за инспекция на целостта на систематичните дискови области. Антивирусните стратегии се научиха да наблюдават достъпа до BIOS и да улавят опитите за прехващане на систематични повиквания. Бяха създадени специфични помощни стратегии за инспекция на стартовия бранш и отбраната му от промени.
Brain даде подтик на развиването на цяла промишленост. Компании като Symantec, McAfee и DrWeb започнаха да създават комерсиални антивирусни артикули. Появиха се първите профилирани антивирусни лаборатории за проучване на нови киберзаплахи.
Наследството на Brain в актуалната киберсигурност
Принципите, показани за първи път от основателите на Brain са развити в актуалния злотворен програмен продукт. Съвременните вируси са се научили да трансформират кода си, с цел да избегнат разкриване (полиморфни вируси), употребяват усъвършенствани техники за прикриване и даже употребяват детайли на изкуствен интелект, с цел да се приспособяват към защитните механизми.
Класическите вируси за зареждане са се трансформирали в усъвършенствани бууткитове, които заразяват UEFI – актуалния аналог на BIOS. Тези зловредни стратегии също като Brain получават надзор над системата доста рано в процеса на зареждане, което ги прави извънредно сложни за разкриване.
Историята на Brain припомня: в света на осведомителните технологии границата сред отбраната и офанзивата е доста тънка. Механизмите, в началото предопределени за отбрана могат да се трансфорат в рискови оръжия в несъответствуващи ръце. Този урок е настоящ и през днешния ден, когато развиването на невронните мрежи и интернет на нещата основава нови благоприятни условия както за отбрана, по този начин и за офанзива.
