close

Rootkit

Przejdź do nawigacji Przejdź do wyszukiwania

Rootkit jest zdefiniowany jako zestaw oprogramowania , które umożliwia użytkownikowi „uprzywilejowany” dostęp do komputera, ale początkowo ukrywa swoją obecność przed administratorami, zakłócając normalne funkcjonowanie systemu operacyjnego . Termin ten pochodzi z połączenia angielskiego słowa root , które oznacza „root” (tradycyjna nazwa konta uprzywilejowanego w systemach operacyjnych Unix ) i angielskiego słowa kit, co oznacza „zestaw narzędzi” (odnoszący się do komponentów oprogramowania, które implementują ten program). Niektóre hiszpańskie wersje programów komputerowych, dokumenty uniwersyteckie i sam ICANN przetłumaczyły go jako korektor . [ 1 ] ​[ 2 ] ​[ 3 ]

Termin rootkit ma pejoratywne konotacje, ponieważ kojarzy się ze złośliwym oprogramowaniem , ukrywającym siebie i inne programy , procesy , pliki , katalogi , klucze rejestru i porty, które pozwalają atakującemu na utrzymanie dostępu do szerokiej gamy systemów operacyjnych. /Linux , Solaris lub Microsoft Windows do zdalnego wydawania poleceń akcji lub wydobywania poufnych informacji .

Zazwyczaj osoba atakująca instaluje rootkita na komputerze po pierwszym uzyskaniu praw zapisu w innym miejscu w hierarchii systemu plików , wykorzystując znaną lukę lub uzyskując hasło (poprzez złamanie rootkita), szyfrowanie lub socjotechnikę . Po zainstalowaniu rootkita umożliwia atakującemu ukrycie kolejnego włamania i utrzymanie uprzywilejowanego dostępu do komputera poprzez ominięcie normalnych mechanizmów uwierzytelniania i autoryzacji . Chociaż rootkity mogą służyć wielu celom, zyskały rozgłos przede wszystkim jako złośliwe oprogramowanie, ukrywające programy, które porywają zasoby komputera lub kradną hasła bez wiedzy administratorów i użytkowników systemów, których dotyczą. Rootkity mogą atakować oprogramowanie układowe , hipernadzorcę , jądro lub, częściej, programy użytkownika.

Wykrywanie rootkitów jest skomplikowane, ponieważ może uszkodzić program, który powinien go wykryć. Metody wykrywania obejmują korzystanie z zaufanego alternatywnego systemu operacyjnego; metody behawioralne ; sprawdzanie podpisów, sprawdzanie różnic i analiza zrzutu pamięci . Usunięcie rootkita może być bardzo trudne lub praktycznie niemożliwe, szczególnie w przypadkach, gdy rootkit znajduje się w jądrze; czasami ponowna instalacja systemu operacyjnego jest jedyną możliwą metodą rozwiązania problemu.

Korzystanie z rootkitów

Rootkit jest powszechnie używany do ukrywania niektórych aplikacji, które mogą działać na atakowanym systemie. Często zawierają backdoory , które pomagają atakującemu uzyskać łatwy dostęp do systemu po pierwszym wejściu do systemu. Na przykład rootkit może ukryć aplikację, która uruchamia konsolę za każdym razem, gdy atakujący łączy się z systemem przez określony port . Rootkity jądra mogą zawierać podobną funkcjonalność. Backdoor może również pozwolić procesom uruchomionym przez użytkownika bez uprawnień administratora na wykonanie niektórych funkcji zarezerwowanych tylko dla użytkownika root . Rootkity mogą ukrywać wszelkiego rodzaju przydatne narzędzia do nielegalnego pozyskiwania informacji.

Rootkity są również wykorzystywane do wykorzystywania zaatakowanego systemu jako "bazy operacyjnej", to znaczy do wykorzystywania go z kolei do przeprowadzania ataków na inne komputery. W ten sposób może się wydawać, że to infiltrowany system rozpoczyna ataki, a nie zewnętrzny intruz. Tego typu ataki mogą obejmować odmowę usługi ( DoS ), ataki IRC lub wiadomości e-mail ( spam ).

Jak działają rootkity

Działanie rootkitów można uogólnić w następujący sposób:

1. Infekcja systemu – Po pierwsze, rootkit zostaje zainstalowany na urządzeniu i infekuje system.

2. Tryb ukryty – Po zainstalowaniu rootkita przechodzi w tryb ukryty. Innymi słowy, rootkit ukrywa się w systemie i zaczyna manipulować procesami wymiany danych używanymi przez programy i funkcje w celu wysyłania fałszywych informacji do programów zabezpieczających, takich jak programy antywirusowe .

3. Utwórz backdoor : Ostatnim krokiem jest utworzenie backdoora umożliwiającego zdalny dostęp do urządzenia. Zadaniem rootkita jest ukrywanie zdalnych logowań i wszelkiej aktywności, która może zostać zaklasyfikowana jako podejrzana w celu manipulowania urządzeniem bez pozostawiania śladów. [ 4 ]

Rodzaje rootkitów

Podstawowe typy

Rootkity można podzielić na dwie grupy: te wbudowane w jądro oraz te, które działają na poziomie aplikacji . Ci, którzy działają z jądra dodają lub modyfikują część kodu jądra, aby ukryć backdoora . Zwykle ta procedura jest uzupełniana przez dodanie nowego kodu do jądra, za pośrednictwem sterownika ( sterownika ) lub modułu, takiego jak moduły jądra Linux lub urządzenia systemu Windows. Te rootkity często łatują wywołania systemowe wersjami, które ukrywają informacje o atakującym. Są najbardziej niebezpieczne, ponieważ ich wykrycie może być bardzo skomplikowane.

Rootkity działające jako aplikacje mogą zastępować oryginalne pliki wykonywalne skrakowanymi wersjami zawierającymi konia trojańskiego lub mogą również modyfikować zachowanie istniejących aplikacji za pomocą hacków , łatek, wstrzykniętego kodu itp.

Przykłady

Niektóre trojany wykorzystują te nietrwałe rootkity (rootkity FU), które ładują się do pamięci po zainstalowaniu:

  • ssać to
  • adorować
  • T0rn
  • Rootkit otoczenia (ARK)
  • Obrońca hakerów
  • Pierwsze 4 internetowe XCP (rozszerzona ochrona przed kopiowaniem) DRM
  • RkU Testuj rootkit i Unreal [ 5 ]
  • Kernel rootkit : UACd (Dodaje sterownik bardzo niskiego poziomu o nazwie UACd.sys)
  • Rootkity Macintosh

Wykrywanie rootkitów

Każdy program, który próbuje wykryć rootkity działające w podejrzanym systemie, ma nieodłączne ograniczenia. Rootkity to aplikacje, które modyfikują wiele narzędzi i bibliotek, od których zależy system. Niektóre rootkity modyfikują samo jądro (poprzez moduły i inne metody, jak wspomniano powyżej). [ potrzebne źródło ] Główny problem z wykrywaniem rootkitów polega na tym, że działający system operacyjny jest ogólnie niewiarygodny. [ potrzebne źródło ] Innymi słowy, niektóre działania, takie jak żądanie listy uruchomionych procesów lub wyświetlanie plików w katalogu , nie są niezawodne, ponieważ nie zachowują się tak, jak powinny.

Najlepszą metodą wykrycia rootkita jest zamknięcie systemu, który uważa się za zainfekowany, i przejrzenie lub zapisanie danych przez uruchomienie z alternatywnego nośnika, takiego jak ratunkowy dysk CD-ROM lub dysk flash USB . Nieaktywny rootkit nie może ukryć swojej obecności. Lepiej przygotowane programy antywirusowe często identyfikują działające rootkity za pomocą wywołań systemowych i żądań niskiego poziomu, które muszą pozostać nietknięte. Jeśli jest między nimi jakaś różnica, można potwierdzić obecność rootkita. Rootkity starają się chronić siebie, monitorując uruchomione procesy i wstrzymując swoją aktywność do czasu zakończenia skanowania, dzięki czemu rootkit nie może zostać zidentyfikowany przez skaner.

Producenci aplikacji zabezpieczających integrują skanery rootkitów z tradycyjnymi produktami do wykrywania wirusów . Jeśli rootkit zdoła ukryć się podczas procesu wykrywania, zostanie zidentyfikowany przez detektor rootkitów, który wyszukuje podejrzane ruchy. Jeśli rootkit „postanowi” zatrzymać się na chwilę, zostanie zidentyfikowany jako wirus . Ta połączona technika wykrywania może zmusić atakujących do zaimplementowania w kodzie rootkita mechanizmów licznika [ potrzebne cytaty ] (zwanych również retro-procedurami), w celu zabicia procesów utworzonych przez oprogramowanie zabezpieczające, a tym samym zabicia wirusa pamięci programu. Podobnie jak w przypadku konwencjonalnych wirusów, wykrywanie i usuwanie rootkitów będzie trwałą walką między twórcami rootkitów a oprogramowaniem zabezpieczającym.

Dostępnych jest kilka programów do wykrywania rootkitów. W systemach uniksowych dwie najpopularniejsze aplikacje to chkrootkit i rkhunter . W przypadku systemu Windows w witrynie internetowej firmy F-Secure dostępny jest detektor o nazwie Blacklight (bezpłatny do użytku osobistego). [ potrzebne cytowanie ] Blacklight ma problemy z niekompatybilnością w systemie Windows 7. [ potrzebne cytowanie ] Inną aplikacją wykrywającą dla systemu Windows jest Rootkit Revealer firmy Sysinternals . Wykrywa wszystkie obecne rootkity, porównując funkcje oryginalnego systemu operacyjnego z tymi, które zostały wykryte. Jednak niektóre rootkity zaczęły dodawać ten program do listy, którego nie należy ukrywać. Zasadniczo usuwają różnice między tymi dwoma wykazami, więc detektor ich nie znajduje. Ale coś tak prostego jak zmiana nazwy pliku rootkitrevealer.exe sprawia, że ​​rootkit nie wie już, że ma do czynienia z detektorem. Jak wspomniano wcześniej, będzie to ciągła walka między rootkitami a antywirusami.

Zobacz także

Referencje

  1. „Co to jest rootkit i jak go usunąć?” . www.avast.com . Źródło 8 kwietnia 2019 . 
  2. „Rootkity” . moodle2017-18.ua.es . Źródło 8 kwietnia 2019 . 
  3. „Co to jest atak typu man-in-the-middle?” . www.icann.org . Źródło 8 kwietnia 2019 . 
  4. „Co musisz wiedzieć o rootkicie” . Cyfrowy przewodnik IONOS . Źródło 20 kwietnia 2022 . 
  5. RkU Testuj rootkity i Unreal (w języku francuskim) do testowania oprogramowania zabezpieczającego.

Linki zewnętrzne