DETEKT - narzędzie do wykrywania rządowych trojanów

Dzięki współpracy organizacji takich jak Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation oraz Privacy International od kilku dni możemy ściągnąć z sieci darmowe narzędzie o nazwie DETEKT. Podstawowym zamierzeniem twórców było zwiększenie świadomości cyberszpiegowania ze strony instytucji państwowych, w szczególności wśród dziennikarzy, działaczy organizacji pozarządowych, ale także zwykłych użytkowników. Narzędzie o bardzo ograniczonych możliwościach przeznaczone jest do wykrywania jedynie kilku rodzin złośliwych programów szpiegujących o rządowym rodowodzie i pochodzeniu. Eksperci G DATA uznali, że użytkownicy powinni poznać możliwości tego narzędzia oraz jego poważne ograniczenia.

To niewielki narzędzie do skanowania komputera oraz wykrywania jedynie 8 różnych rodzin oprogramowania szpiegującego - jak podaje producent. Najbardziej znanym programem typu spyware wykrywanym przez DETEKT jest FinSpy firmy FinFisher.

DETEKT korzysta z reguł Yara, by wykonać skanowanie pamięci szukając określonych łańcuchów znaków (np. nazwy plików lub ścieżki), które znane są z wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W przypadku odnalezienia pasujących łańcuchów znaków narzędzie informuje użytkownika o możliwej infekcji.

Ograniczenia narzędzia

Po pierwsze DETEKT jest oprogramowaniem bazującym jedynie na metodach reaktywnych podczas skanowania pamięci sprawdzanego urządzenia. Przykładowo, dziennikarz korzystający z takiego narzędzia zostanie poinformowany o zagrożeniu już po zainfekowaniu komputera. DETEKT nie zapobiega szkodnikom, nie usuwa ich, ani nie poddaje kwarantannie wykrytych plików.

Strona projektu na wypadek wykrytej infekcji wzywa użytkownika do „odłączenia komputera od internetu i wezwania eksperta do pomocy”. Znajdziemy też porady dotyczące całkowitego zaprzestania korzystania z naszego komputera, a nawet fizycznego pozbycia się samego sprzętu! Tak drastyczne komunikaty mogą wprawiać użytkowników w osłupienie i z pewnością nie pomagają w trzeźwej ocenie sytuacji w której się znaleźli. Eksperci G DATA SecurityLabs podpisują się jedynie pod jedną radą dostępną na stronie DETEKT, którą jest kontakt z odpowiednim fachowcem w dziedzinie bezpieczeństwa komputerowego.

Co więcej, reguły Yara z których korzystali autorzy są ogólnie dostępne w sieci. Więc możemy spokojnie rozsiąść się w fotelu i z zegarkiem w ręku czekać na nowe, uaktualnione wersje złośliwego oprogramowania prosto od hakerów. Wynik jasny do przewidzenia, uniknięcie ich wykrycia przez narzędzie, którego dostawcą jest Amnesty International. Ponadto wciąż mogą istnieć szkodliwe programy szpiegujące niewykrywane przez DETEKT, choć jak deklarują autorzy, narzędzie będzie wciąż rozwijane i aktualizowane. Na stronie możemy znaleźć taki opis:

„Zachęcamy naukowców, badaczy bezpieczeństwa IT oraz społeczność open source do pomocy w pracach nad projektem”.  Ważna informacja dla użytkowników „jeżeli DETEKT nie wykryje żadnych zagrożeń na Twoim komputerze nie oznacza to, że sprzęt z którego korzystasz jest wolny od oprogramowania szpiegującego” podsumowują autorzy.

Opublikowanie narzędzia DETEKT zdobyło uznanie wśród osób z branży bezpieczeństwa IT. Musimy jednak być pewni, że osoby korzystające z tego narzędzia nie pomylą go z kompleksowym pakietem bezpieczeństwa, gdyż program DETEKT takim z pewnością nie jest.

Mniej reguł

Twórcy pozbyli się z kodu programu 6 z 8 reguł odpowiadających za wykrywanie złośliwego oprogramowania. Oznacza to, że DETEKT w obecnej chwili wykrywa jedynie dwa zagrożenia odpowiedzialne za wykradanie danych użytkowników. Prawdopodobnym powodem mógłbyć problem z ogromną ilością fałszywych alarmów generowanych przez skaner. Zgodnie z komentarzami do kodu dostępnymi na serwisie GitHub.

# TODO: this is hacky, need to find a better solution to false positives
# especially with security software

Przeglądarki obrywają

DETEKT nie jest bez wad. Eksperci z G DATA SecurityLabs sprawdzili wykrywalność narzędzia na świeżo postawionym systemie z przeglądarką Mozilla Firefox, dzięki której zostało pobrane narzędzie darmowe narzędzie skanujące. Po uruchomieniu oprogramowania od Amnesty International określiło ono plik firefox.exe jako spyware, miało to bezpośredni związek z zawartością pamięci przeglądarki. Wciąż mogliśmy tam odnaleźć informacje o samym narzędziu DETEKT jak i regułach Yara zawartych w jego kodzie. Brawo! DETEKT wykrył się sam ;)



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej