Rootkit

Rootkit je definován jako sada softwaru , který umožňuje uživateli „privilegovaný“ přístup k počítači, ale udržuje jeho přítomnost zpočátku skrytou před administrátory tím, že narušuje normální fungování operačního systému . Tento výraz pochází ze zřetězení anglického slova root , které znamená 'root' (tradiční název privilegovaného účtu v operačních systémech Unix ) a anglického slova kit ., což znamená 'toolkit' (s odkazem na softwarové komponenty, které implementují tento program). Některé španělské verze počítačových programů, univerzitní dokumenty a samotný ICANN jej přeložily jako korektor . ^{[ 1 ]}^[ ²^]^[ ³ ]

Termín rootkit má pejorativní konotace, protože je spojován s malwarem , skrýváním sebe sama a dalších programů , procesů , souborů , adresářů , klíčů registru a portů, které umožňují útočníkovi udržovat přístup k široké škále operačních systémů, jak jen mohou. být GNU /Linux , Solaris nebo Microsoft Windows pro vzdálené ovládání akcí nebo extrahování citlivých informací .

Útočník obvykle nainstaluje rootkit do počítače poté, co nejprve získal práva k zápisu jinde v hierarchii souborového systému , buď zneužitím známé zranitelnosti, nebo získáním hesla (buď prolomením rootkitu), šifrováním nebo sociálním inženýrstvím ). Jakmile je rootkit nainstalován, umožňuje útočníkovi zamaskovat další průnik a zachovat si privilegovaný přístup k počítači obcházením běžných mechanismů ověřování a autorizace . Ačkoli rootkity mohou sloužit mnoha účelům, proslulost si získaly především jako malware, skrývající programy, které unášejí počítačové prostředky nebo kradou hesla bez vědomí administrátorů a uživatelů postižených systémů. Rootkity se mohou zaměřovat na firmware , hypervizor , jádro nebo, častěji, uživatelské programy.

Detekce rootkitů je komplikovaná, protože je schopna poškodit program, který by jej měl detekovat. Mezi metody detekce patří použití důvěryhodného alternativního operačního systému; behaviorálně založené metody ; kontroly podpisů, kontroly rozdílů a analýza výpisu paměti . Odstranění rootkitu může být velmi obtížné nebo prakticky nemožné, zvláště v případech, kdy rootkit sídlí v jádře; Někdy je reinstalace operačního systému jedinou možnou metodou k vyřešení problému.

Použití rootkitů

Rootkit se běžně používá ke skrytí některých aplikací, které by mohly působit na napadený systém. Často obsahují zadní vrátka , která útočníkovi pomáhají získat snadný přístup do systému, jakmile poprvé vstoupí do systému. Rootkit může například skrýt aplikaci, která spustí konzoli pokaždé, když se útočník připojí k systému přes určitý port . Kernel rootkity mohou obsahovat podobnou funkcionalitu. Backdoor může také umožnit procesům spuštěným uživatelem bez administrátorských práv provádět některé funkce vyhrazené pouze pro uživatele root . Všechny druhy užitečných nástrojů pro nelegální získávání informací mohou být skryty rootkity.

Rootkity se také používají k použití napadeného systému jako "základny operací", to znamená, že jej využívají k útokům proti jiným počítačům. Tímto způsobem se může zdát, že útoky spouští infiltrovaný systém a nikoli vnější vetřelec. Tyto typy útoků mohou být odmítnutí služby ( DoS ), IRC útoky nebo e-mail ( spam ).

Jak fungují rootkity

Činnost rootkitů lze zobecnit následovně:

1. Infekce systému – Nejprve se na zařízení nainstaluje rootkit a infikuje systém.

2. Skrytý režim – Jakmile je rootkit nainstalován, přejde do skrytého režimu. Jinými slovy, rootkit se skryje v systému a začne manipulovat s procesy výměny dat používanými programy a funkcemi k odesílání falešných informací bezpečnostním programům, jako jsou antivirové programy .

3. Vytvořte zadní vrátka : Posledním krokem je vytvoření zadních vrátek , které umožní vzdálený přístup k zařízení. Úkolem rootkitu je skrýt vzdálené přihlášení a jakoukoli aktivitu, která může být klasifikována jako podezřelá, aby bylo možné manipulovat se zařízením bez zanechání jakýchkoli stop. ^{[ 4} ]

Typy rootkitů

Základní typy

Rootkity lze rozdělit do dvou skupin: ty, které jsou zabudovány do jádra , a ty, které fungují na aplikační úrovni . Ti, kteří jednají z jádra, přidávají nebo upravují část kódu jádra, aby skryli zadní vrátka . Obvykle je tento postup doplněn přidáním nového kódu do jádra, buď prostřednictvím ovladače ( driver ) nebo modulu, jako jsou moduly jádra Linuxu nebo systémová zařízení Windows. Tyto rootkity často opravují systémová volání verzemi, které skrývají informace o útočníkovi. Jsou nejnebezpečnější, protože jejich detekce může být velmi komplikovaná.

Rootkity fungující jako aplikace mohou nahradit původní spustitelné soubory cracknutými verzemi obsahujícími nějakého trojského koně, nebo mohou také upravit chování existujících aplikací pomocí hacků , patchů, vloženého kódu atd.

Příklady

Některé trojské koně používají tyto neperzistentní rootkity (FU Rootkity), které se po instalaci načtou do paměti:

Sát TO
uctívat
T0rn
Ambient's Rootkit (ARK)
Hacker Defender
První 4 Internet XCP (Extended Copy Protection) DRM
RkU Test Rootkit & Unreal ^{[ 5} ]
Kernel rootkit : UACd (Přidává ovladač velmi nízké úrovně s názvem UACd.sys)
Rootkity pro Macintosh

Detekce rootkitu

Každý program, který se pokouší detekovat rootkity, když běží na podezřelém systému, má svá vlastní omezení. Rootkity jsou aplikace, které upravují mnoho nástrojů a knihoven, na kterých je systém závislý. Některé rootkity upravují samotné jádro (pomocí modulů a dalších metod, jak je uvedeno výše). ^{[ pochvalná zmínka potřebovaný ]} Hlavním problémem s detekcí rootkitů je to, že běžící operační systém je globálně nedůvěryhodný. ^{[ citace ]} Jinými slovy, některé akce, jako je vyžádání seznamu běžících procesů nebo výpis souborů v adresáři , nejsou spolehlivé, protože se nechovají tak, jak by měly.

Nejlepší metodou detekce rootkitu je vypnout systém, o kterém se domníváme, že je infikován, a zkontrolovat nebo uložit data zavedením z alternativního média, jako je záchranný CD-ROM nebo USB flash disk . Neaktivní rootkit nemůže skrýt svou přítomnost. Lépe připravené antivirové programy často identifikují fungující rootkity prostřednictvím systémových volání a nízkoúrovňových požadavků, přičemž obojí musí zůstat nedotčeno. Pokud je mezi nimi nějaký rozdíl, lze potvrdit přítomnost rootkitu. Rootkity se snaží chránit tím, že monitorují běžící procesy a pozastavují jejich činnost, dokud není skenování dokončeno, takže rootkit nemůže být identifikován skenerem.

Dodavatelé bezpečnostních aplikací integrují skenery rootkitů do tradičních antivirových produktů . Pokud se rootkit během procesu detekce skryje, bude identifikován detektorem rootkitů, který hledá podezřelé pohyby. Pokud se rootkit „rozhodne“ dočasně zastavit, bude identifikován jako virus . Tato kombinovaná detekční technika může donutit útočníky implementovat ^{[ pochvalná zmínka potřebovaný ]} mechanismy čítače (také nazývané retro-rutiny) v kódu rootkitu, s cílem zabíjet procesy vytvořené bezpečnostním softwarem, a tak zabít program. Stejně jako u běžných virů bude detekce a odstraňování rootkitů neustálým bojem mezi autory rootkitů a bezpečnostním softwarem.

Existuje několik dostupných programů pro detekci rootkitů. Na systémech založených na Unixu jsou dvě nejoblíbenější aplikace chkrootkit a rkhunter . Pro Windows je na webu F-Secure k dispozici detektor s názvem Blacklight (zdarma pro osobní použití). ^{[ pochvalná zmínka potřebovaný ]} Blacklight má problémy s nekompatibilitou ve Windows 7. ^{[ pochvalná zmínka potřebovaný ]} Další detekční aplikací pro Windows je Sysinternals' Rootkit Revealer . Detekuje všechny aktuální rootkity porovnáním funkcí původního operačního systému s těmi, které byly zjištěny. Některé rootkity však začaly přidávat tento program na seznam, který by neměl být skrytý. V podstatě odstraňují rozdíly mezi dvěma výpisy, takže je detektor nenajde. Ale něco tak jednoduchého, jako je přejmenování souboru rootkitrevealer.exe, způsobí, že rootkit už neví, že má co do činění s detektorem. Jak již bylo řečeno, bude to nepřetržitý boj mezi rootkity a antiviry.

Viz také

Reference

↑ "Co je to rootkit a jak ho odstranit?" . www.avast.com . Staženo 8. dubna 2019 .
↑ "Rootkity" . moodle2017-18.ua.es . Staženo 8. dubna 2019 .
↑ "Co je to útok typu man-in-the-middle?" . www.icann.org . Staženo 8. dubna 2019 .
↑ „Co potřebujete vědět o rootkitu“ . Digitální průvodce IONOS . Staženo 20. dubna 2022 .
↑ RkU Test Rootkit & Unreal (ve francouzštině) rootkity pro testování vašeho ochranného softwaru.

Externí odkazy

Rootkity v jádře Linuxu
T0rn analýza rootkitů
Rootkity pro Windows a Linux a detekční software (v němčině)
Anti-trojan.org: Informace o trojských koních v rootkitech a detekčním softwaru
Detekce Rootkitu Strider GhostBuster
Rootkity Unix v zabezpečení paketové bouře
(v angličtině) Šest detektorů Rootkit chrání váš systém (Serdar Yegulalp - InformationWeek)
Web F-Secure
Sysinternals

[1] "Co je to rootkit a jak ho odstranit?" . www.avast.com . Staženo 8. dubna 2019 .

[2] "Rootkity" . moodle2017-18.ua.es . Staženo 8. dubna 2019 .

[3] "Co je to útok typu man-in-the-middle?" . www.icann.org . Staženo 8. dubna 2019 .

[4] „Co potřebujete vědět o rootkitu“ . Digitální průvodce IONOS . Staženo 20. dubna 2022 .

[5] RkU Test Rootkit & Unreal (ve francouzštině) rootkity pro testování vašeho ochranného softwaru.

[ 1 ]

[

[

[ 4

[ 5