close

Rootkit

Salt la navigare Salt la căutare

Rootkit - ul este o colecție de software de obicei rău intenționat conceput pentru a obține acces la un computer sau la o parte a acestuia, care altfel nu ar fi posibil (de exemplu, de către un utilizator neautorizat să se autentifice). Aceste software, pe lângă garantarea unui astfel de acces, au grijă să se mascheze singuri sau alte programe utile pentru a atinge scopul. Termenul englezesc „rootkit” derivă din concatenarea a doi termeni: „ rădăcină ”, care indică în mod tradițional utilizatorul cu cele mai mari permisiuni în sistemele de tip Unix, și „kit”, care se referă la software -ul care implementează instrumentul. Termenul „rootkit” are adesea o conotație negativă, deoarece este în general asociat cu malware [1] .

Instalarea unui rootkit poate fi automatizată sau un atacator ( cracker ) îl poate instala singur odată ce a obținut permisiuni rădăcină sau acces la administrator. Câștigarea acestui tip de acces poate fi rezultatul unui atac direct asupra sistemului prin exploatarea, de exemplu, o vulnerabilitate cunoscută (cum ar fi escaladarea privilegiilor ) sau prin descoperirea unei parole (obținută prin fisură sau inginerie socială ). Odată ce rootkit -ul este instalat, este important să mențineți intruziunea ascunsă, astfel încât să puteți păstra privilegiile obținute. Prin urmare, cheia acestui atac constă în permisiunile de rădăcină sau de administrator. Cu aceste permisiuni este posibil să dețină un control complet al sistemului, aceasta include și software de modificare, inclusiv cel creat pentru a le detecta și bloca (cum ar fi Antivirus).

Detectarea unui rootkit poate fi dificilă, deoarece prima preocupare a acestor software este de a bloca programe care îl pot găsi. Metodele de detectare a rootkit-urilor includ utilizarea unui sistem de operare alternativ și de încredere, metode bazate pe comportament, scanarea semnăturilor, analiza de descărcare a memoriei. Îndepărtarea poate fi foarte complicată, dacă nu aproape imposibilă, în special în cazurile în care rootkit -ul se află în nucleu; Formatarea mașinii și reinstalarea sistemului de operare poate fi singura soluție posibilă [2] . Cu toate acestea, atunci când aveți de -a face cu rootkits în firmware, îndepărtarea poate necesita înlocuirea pieselor hardware sau utilizarea instrumentelor specializate.

Istorie

Termenul rootkit sau kitul root s-a referit inițial la un set de software de gestionare, pentru sistemele de operare asemănătoare unix modificate în scopuri rău intenționate, pentru a obține privilegii ca utilizator „ rădăcină[3] . Dacă un intrus este capabil să înlocuiască instrumentele de administrare standard ale unui sistem cu un rădăcină, atunci nu poate avea acces doar ca utilizator „rădăcină”, dar, în același timp, își poate ascunde activitățile de administratorul de sistem real.

Acest prim tip de rootkit a fost ușor de detectat prin utilizarea unor instrumente precum Tripwire care nu au fost compromise, pentru a accesa aceleași informații [4] [5] . Lane Davis și Steven Dake au scris primul rootkit cunoscut, în 1990, pentru sistemele SunOs UNIX ale Sun Microsystem [6] . În 1983, la conferința Turing Award, Ken Thompson de la Bell Laboratories, unul dintre creatorii Unix , a teoretizat un compilator C modificat în distribuțiile Unix și a discutat despre exploit -ul acestuia . Compilatorul modificat ar detecta încercările de a compila comenzi de conectare Unix și, în consecință, ar genera cod modificat care ar accepta nu numai parola corectă a utilizatorului, ci și o parolă suplimentară „ backdoor ”, cunoscută doar de atacator. Mai mult, compilatorul modificat ar fi detectat încercări de a compila o nouă versiune a compilatorului în sine, inserând astfel același exploit în cel nou. O revizuire a codului sursă al comenzii de conectare sau o actualizare a compilatorului nu ar fi dezvăluit niciun cod rău intenționat [7] . Acest exploit a fost echivalentul unui rootkit.

Primul virus documentat , care a atacat computerele personale, datează din 1986 și a folosit o tehnică de ascundere pentru a se ascunde: virusul Brain a interceptat încercările de a citi sectorul de pornire și le-a redirecționat către alte părți ale hard disk-ului, unde o copie a originalului. cizma [1] . Odată cu trecerea timpului, metodele de ascundere a virușilor DOS au devenit mai sofisticate, cu tehnici avansate, inclusiv conectarea apelurilor de întrerupere BIOS INT 13H de nivel scăzut pentru a ascunde modificările neautorizate ale fișierelor [1] .

Primul rootkit rău intenționat pentru Windows NT [8] a apărut în 1999: un troian numit NTRootkit creat de Greg Hoglund. Cazul a fost urmat de HackerDefender în 2003. Primul rootkit care a vizat un sistem Mac OS X a apărut în 2009 [9] , în timp ce viermele Stuxnet a fost primul care a lovit un PLC [10] .

Scandalul de rootkit de protecție împotriva copierii Sony BMG

Articolul principal: Scandalul rootkit-ului Sony BMG pentru protecția împotriva copierii

În 2005, Sony BMG a lansat CD-uri cu protecție împotriva copierii și software de gestionare a drepturilor digitale numit Extended Copy Protection , creat de compania de software First 4 Internet. Software-ul includea un player de muzică care instala în secret un rootkit care limita capacitatea utilizatorului de a accesa discul [11] .

Inginerul informatic Mark Russinovich , care a creat un instrument de detectare a rootkit-urilor numit RootkitRevealer , a descoperit problema pe unul dintre computerele sale [1] . Scandalul care a urmat a sensibilizat publicul cu privire la Rootkit-uri [12] .

Pentru a se ascunde, rootkit-ul s-a ascuns în fiecare fișier care începea cu „$ sys $”. La scurt timp după raportul lui Russinovich, au apărut mai multe programe malware care exploatează această vulnerabilitate care afectează sistemele afectate.

Un analist BBC a numit-o „coșmar în relații publice” [13] (coșmar în relații publice). Sony BGM a lansat patch -uri pentru a șterge rootkit-ul, dar acestea au expus utilizatorii la o vulnerabilitate și mai gravă [14] . În cele din urmă, compania a fost nevoită să retragă CD-urile. În SUA, a fost depusă o acțiune de acțiune de clasă împotriva Sony BGM [15] .

Scandalul interceptărilor telefonice din Grecia în 2004-2005

Cazul de interceptări telefonice grecești din 2004-05, cunoscut și sub numele de Watergate grecesc [16] , a implicat interceptarea ilegală a peste 100 de telefoane mobile din rețeaua Vodafone grecească, aceste telefoane aparținând în mare parte membrilor guvernului și înalților funcționari publici. Interceptările telefonice au început în jurul lunii august 2004 și au continuat până în martie 2005, fără ca identitatea făptuitorilor să fie descoperită vreodată. Intrușii au instalat un rootkit care a vizat centrala telefonică AX a lui Ericsson [17] . Potrivit IEEE Spectrum, acesta a fost primul atac rootkit observat vreodată pe un sistem special, în acest caz centrala telefonică Ericsson. Rootkit-ul a fost conceput pentru a modifica memoria de swap în timp ce funcționează, permițând astfel interceptările, în timp ce dezactivează jurnalele de audit, modificând, de asemenea, comenzile care enumerau procesele active și blocurile de date și intervenind asupra .sumei O ușă din spate a permis unui operator, cu permisiuni de administrator de sistem, să dezactiveze jurnalul de tranzacții al panoului de control, alarmele și comenzile de acces de supraveghere [17] . Rootkit-ul a fost descoperit în urma unei actualizări incorecte care a făcut ca SMS-ul să nu fie livrat, ceea ce a generat un raport automat de eroare. Inginerii Ericsson au fost chemați să investigheze problema și au descoperit blocuri de date ascunse care conțineau liste de numere de telefon care trebuie monitorizate, împreună cu rootkit-ul și software-ul de monitorizare ilicit.

Utilizări

Rootkit-urile moderne nu-și mai fac griji cu privire la ridicarea permisiunilor [3] , ci mai degrabă maschează încărcarea altor software-uri prin adăugarea de funcții pentru a-l face invizibil [8] . Majoritatea rootkit-urilor sunt clasificate ca malware deoarece sunt legate de software rău intenționat. De exemplu, sarcina utilă pe care o poartă cu el un rootkit ar putea fura în secret parole de utilizator, informații despre cardul de credit, resurse computerizate sau ar putea efectua activități neautorizate. Un număr mic de rootkit-uri poate fi util utilizatorului: de exemplu, ar putea masca un driver de emulare CD-ROM, permițând depășirea măsurilor anti-piraterie ale unui joc video care necesită, de exemplu, introducerea CD-ului în cititorul pentru a verifica autenticitatea programului (această măsură de protecție ar putea fi enervantă chiar și pentru cei care au cumpărat legal software-ul).

Rootkit-urile cu sarcina utilă pot avea diferite utilizări:

  • Acestea oferă atacatorului acces complet și neautorizat prin ușile din spate, în scopul, de exemplu, de a sustrage sau de a falsifica documente. Una dintre metodele posibile pentru a realiza acest lucru este modificarea mecanismului de conectare, care pentru sistemele de tip UNIX poate fi programul / bin / login sau GINA pentru sistemele Windows. Înlocuitorul pare să funcționeze normal, dar acceptă și o combinație secretă de autentificare (nume de utilizator și parolă) care permite atacatorului acces direct la sistem cu privilegii de administrator, ocolind astfel mecanismele standard de autentificare și autorizare.
  • Ascundeți alte programe malware, în special keylogger care fură parole și virușii informatici [18] .
  • Ei își însușesc mașina compromisă făcându-l un computer zombi pentru a o putea exploata pentru atacuri asupra altor computere (atacul pornește de la computerul zombi și nu direct de pe computerul atacatorului, făcând astfel foarte dificil, dacă nu imposibil, pentru a urmări făptuitorul. Calculatoarele „zombie” fac de obicei parte dintr-o rețea botnet mare care poate lansa atacuri Distributed Denial of Service (DDoS ), spam distribuit prin e- mail , fraudă prin clicuri etc.
  • Forțarea DRM (Gestionarea drepturilor digitale)

În unele cazuri, rootkit-urile oferă funcționalitatea dorită și pot fi instalate în mod intenționat de către utilizator pe computerul său:

  • Trișați programele de ascundere în jocurile online pentru a evita programe precum Warden [19] .
  • Detectează atacurile, de exemplu, cu un honeypot [20] .
  • Software avansat de emulare și securitate [21] . Alcohol 120% și Daemon Tools sunt exemple de rootkit-uri comerciale neostile utilizate pentru a ocoli sistemele de protecție împotriva copierii, cum ar fi SafeDisc sau SecuROM. Software-ul antivirus Kaspersky folosește și tehnici care îl fac să arate ca un rootkit pentru a se proteja de acțiunile rău intenționate. De fapt, el își încarcă șoferii pentru a intercepta activitățile sistemului și a preveni ca aceștia să-l deterioreze. Procesele sale nu sunt ascunse, dar nu pot fi încheiate cu metode standard (Poate fi încheiate prin Process Hacker)
  • Protecție antifurt: laptopurile pot avea software rootkit la nivel de BIOS care raportează periodic unei autorități centrale, permițând monitorizarea, ștergerea sau inaccesibilitatea informațiilor de pe mașină în caz de furt [22] .
  • Ocoliți activarea produsului Microsoft [23]

Tipuri

Image
Inele de securitate computerizate (-1 inelul nu este afișat)

Există cel puțin 5 tipuri de rootkit-uri, de la cele de la cel mai scăzut nivel din firmware (cu cele mai mari privilegii), până la cel cu cele mai puține privilegii, adică la nivel de utilizator, care funcționează în ring 3. Există hibride. combinații care pot combina, de exemplu, modul utilizator și modul nucleu [24] .

Modul utilizator

Rootkit-urile în modul utilizator funcționează în inelul 3, împreună cu alte aplicații utilizator, mai degrabă decât la un nivel inferior cu procesele de sistem [25] . Au mai mulți vectori de instalare posibili pentru a intercepta și modifica comportamentul standard al interfețelor de programare a aplicațiilor ( API-uri ). Unele injectează biblioteci legate dinamic (cum ar fi fișierele DLL pe Windows sau fișierele Dylib pe sistemele Mac OS X) în alte procese și de acolo sunt capabile să se execute în cadrul fiecărui proces țintă, ascunzând aceste biblioteci; Alții, dacă permisiunile lor sunt suficiente, suprascrie pur și simplu memoria aplicației țintă. Mecanismele de injectare includ:

  • Utilizarea extensiilor de aplicație, furnizate de producător în sine. De exemplu, Windows Explorer are interfețe publice care permit terților să -și extindă funcționalitatea
  • Interceptarea mesajelor
  • Depanatoare
  • Exploatarea vulnerabilităților de securitate
  • Conectarea celor mai frecvent utilizate funcții sau patch-uri API, de exemplu, pentru a ascunde un proces sau un fișier care rulează în sistemul de fișiere [26] .

… Atâta timp cât aplicațiile în modul utilizator rulează doar în propriul spațiu rezervat, rootkit-ul va trebui să modifice spațiul de memorie al fiecărei aplicații individuale. Mai mult, rootkit-ul trebuie să monitorizeze sistemul pentru a afla fiecare nouă aplicație pe care o rulează și, de asemenea, să-și modifice memoria, doar pentru a putea rula optim.

—Prezentare generală pentru Windows Rootkit, Symantec

Modul Kernel

Rootkit-urile în modul Kernel funcționează cu cele mai înalte privilegii în sistemul de operare (ring 0), având astfel capacitatea de a adăuga cod sau de a înlocui părți fundamentale ale sistemului de operare, care includ atât nucleul, cât și driverele de dispozitiv Asociații. Majoritatea sistemelor de operare permit driverelor de dispozitiv să funcționeze în modul kernel, lucrând astfel cu aceleași privilegii ca și sistemul de operare în sine. Din acest motiv, multe rookit-uri în modul kernel sunt dezvoltate ca drivere de dispozitiv sau module încărcabile, cum ar fi modulele kernel încărcabile pe sistemele Linux sau driverele de dispozitiv pe sistemele Windows. Această clasă RootKit are acces complet fără restricții de securitate, dar sunt mult mai dificil de dezvoltat [27] . Complexitatea lor mare face erorile destul de comune și orice eroare la nivel de kernel poate avea un impact puternic asupra stabilității sistemului, ducând astfel la descoperirea rootkit-ului [27] . Unul dintre cele mai cunoscute rootkit-uri la nivel de kernel a fost dezvoltat pentru Windows NT 4.0 și publicat în revista Phrack de Greg Hoglund în 1999 [28] [29] [30] .

Rootkit-urile de acest tip pot fi deosebit de dificil de găsit și de eliminat, deoarece funcționează la același nivel de securitate ca sistemul de operare și, prin urmare, sunt capabile să intercepteze și să submina chiar și operațiunile de încredere (de încredere) ale sistemului de operare. Orice software, cum ar fi un antivirus , care rulează pe un sistem compromis este, de asemenea, vulnerabil [31] . Într -o astfel de situație, nicio componentă a sistemului de operare nu poate fi de încredere.

Un rootkit poate modifica structurile de date în kernel -ul Windows folosind o metodă cunoscută sub numele de manipulare a obiectelor de kernel direct (DKOM ) [32] . Acest sistem poate fi folosit pentru a ascunde procese. Un rootkit în modul kernel poate conecta apoi System Service Descriptor Table (SSDT) ​​sau poate modifica „porturile” pentru a trece de la modul utilizator la modul kernel pentru a ascunde [3] . Într -un mod foarte similar în sistemele Linux, un rootkit poate modifica tabelul de apeluri ale sistemului pentru a interveni asupra funcționalității kernelului [33] . Nu este neobișnuit ca un rootkit să creeze un sistem de fișiere ascuns și criptat în care să ascundă alte programe malware sau copii originale ale fișierelor infectate [34] .

Sistemele de operare evoluează pentru a face față amenințării rootkit-urilor în modul kernel. De exemplu, versiunile pe 64 de biți ale Microsoft Windows implementează acum o semnătură obligatorie pentru toate driverele care rulează la același nivel cu nucleul, ceea ce face mult mai dificilă rularea codului neverificat cu privilegii atât de mari [35] .

Bootkit-uri

O variantă a rootkit-ului în modul kernel este bootkit-ul, care poate infecta codul de pornire, cum ar fi Master Boot Record (MBR), Volume Boot Record (VBR) sau sectorul de boot și în acest fel poate fi folosit pentru a ataca întregul disc . sisteme de criptare , adică sisteme cu hard disk-uri complet criptate. Un exemplu este „Evil Maid Attack”, în care atacatorul instalează bootkit-ul pe un computer nesupravegheat și înlocuiește bootloader-ul original cu altul sub controlul său. De obicei, încărcătorul de malware supraviețuiește trecând prin modul protejat , atunci când nucleul a fost deja încărcat și, prin urmare, este capabil să ocolească această protecție [36] [37] [38] [39] . De exemplu, „Stoned Bootkit” reușește să submineze sistemul folosind un încărcător de pornire compromis, capabil să intercepteze cheile și parolele de criptare [40] . Mai recent, rootkit-ul Alureon a ocolit cu succes protecția bazată pe semnătura driverului pe Windows 7 pentru a evita rootkit-urile în modul kernel în arhitecturile pe 64 de biți. Acest lucru a fost realizat prin modificarea înregistrării master boot [41] . Alte programe malware, chiar dacă nu sunt concepute ca ceva care efectuează acțiuni nedorite de către utilizator, pot fi unele „Vista Loader” sau „Windows Loader” care funcționează într-un mod foarte similar, injectând un tabel ACPI SLIC (System Licensed Internal Code) în tabelul versiunea încărcată în RAM a BIOS-ului în timpul pornirii, pentru a ocoli procesul de activare a Windows Vista și Windows 7 [42] . Acest vector de atac a fost inutil în versiunile (non-server) ale Windows 8 , care utilizează o cheie unică, specifică fiecărei mașini, pe fiecare sistem. Cheia poate fi folosită numai pe mașina căreia îi aparține [43] .

Singura apărare cunoscută împotriva bootkit-urilor este prevenirea accesului fizic neautorizat la mașină, o problemă pentru dispozitivele portabile sau utilizarea unui Modul Trusted Platform configurat pentru a proteja fișierele de boot [44] .

Nivelul Hypervisor

Rootkit-urile au fost create ca Hypervisori de tip II , în mediul academic, ca o dovadă a conceptului . Profitând de caracteristicile de virtualizare, cum ar fi Intel VT sau AMD-V , acest tip de rootkit funcționează în Ring-1 și găzduiește sistemul de operare țintă ca o mașină virtuală , autorizând astfel rootkit-ul să intercepteze apelurile de sistem efectuate de sistemul de operare original [5] ] . Spre deosebire de Hypervisorii obișnuiți, acestea nu trebuie să fie încărcate înainte de sistemul de operare. Un Hypervisor Rootkit nu trebuie să facă nicio modificare la nucleul țintei pentru a-l ataca; cu toate acestea, aceasta nu înseamnă că nu poate fi descoperit de sistemul de operare gazdă [5] . De exemplu, diferențele de sincronizare pot fi descoperite prin instrucțiunile CPU [5] . Rootkit-ul „SubVirt”, dezvoltat în comun în laborator de Microsoft și cercetătorii de la Universitatea din Michigan , este un exemplu academic de VMBR (Virtual Machine Based Rootkit) [45] , în timp ce Blue Pill este un alt exemplu.

În 2009, cercetătorii de la Microsoft și de la Universitatea de Stat din Carolina de Nord au demonstrat funcționarea unui strat de hipervizor anti-rootkit numit Hooksafe, care oferă protecție generică împotriva rootkit-urilor în modul kernel [46] .

Windows 10 introduce o nouă caracteristică numită „Device Guard”, care folosește virtualizarea pentru a oferi protecție externă independentă sistemului de operare împotriva malware-ului de tip rootkit [47] .

Firmware și hardware

Un firmware rootkit folosește firmware-ul dispozitivului sau al platformei pentru a crea o imagine persistentă a malware-ului pe un dispozitiv hardware, cum ar fi un router , o placă de rețea [48] , un hard disk sau BIOS de sistem [25] [49] . Rootkit se ascunde în firmware, deoarece integritatea codului său nu este adesea verificată. John Heasman a demonstrat fezabilitatea firmware -ului rootkit atât în ​​rutinele de firmware ACPI [50] , cât și în cardurile de expansiune ROM PCI [51] .

În octombrie 2008, criminalii au manipulat cititoarele europene de carduri de credit înainte de a fi instalate. Dispozitivele au interceptat și transmis date cardului printr-o rețea de telefonie mobilă [52] . În martie 2009, cercetătorii Alfredo Ortega și Anibal Sacco au publicat detalii despre un rootkit la nivel de BIOS pentru sistemele Windows care poate rezista la înlocuirea hard disk-ului sau reinstalarea sistemului de operare [53] [54] [55] . Câteva luni mai târziu, au descoperit că unele laptopuri au fost vândute cu un rootkit legitim, cunoscut sub numele de Absolute CompuTrace sau Absolute LoJack pentru laptopuri , preinstalat în multe BIOS-uri. Acest rootkit este un sistem antifurt, dar cercetătorii au demonstrat că poate fi folosit cu ușurință în scopuri rău intenționate.

Intel Active Management Technology , parte a Intel vPro, implementează managementul în afara bandă , care oferă administratorilor administrarea de la distanță, managementul de la distanță și controlul de la distanță al computerelor, fără nicio implicare a procesorului sistemului gazdă sau a BIOS-ului, chiar și atunci când sistemul este pornit. oprit. Administrarea de la distanță include oprirea sau pornirea de la distanță, resetarea, redirecționarea pornirii, redirecționarea consolei, acces pre-pornire la setările BIOS, filtre configurabile pentru traficul de rețea de intrare și de ieșire, verificarea prezenței, alerte de ieșire din bandă bazate pe politici, acces la informații despre sistem, cum ar fi configurația hardware, jurnalul de evenimente persistente și alte informații care sunt stocate într-o memorie dedicată (nu pe hard disk), accesibile chiar și atunci când computerul este oprit sau dacă sistemul de operare nu este pornit. Unele dintre aceste funcții necesită un rootkit la nivel mai profund și un al doilea computer spion nestabilit este construit în jurul computerului principal. Sandy Bridge și viitoarele chipset-uri au „capacitatea de a ucide și de a restaura de la distanță un PC pierdut sau furat folosind 3G.” Rootkit-urile hardware implantate în chipset pot ajuta la recuperarea PC-urilor furate, la eliminarea datelor sau la redarea lor inutilă, dar reprezintă și o problemă de Confidențialitate și securitate, întrucât sunt de fapt spioni de neatins și un hacker ar putea obține controlul mașinii de la distanță.

Instalare și ascundere

Rootkit-urile folosesc diverse tehnici pentru a prelua controlul asupra unui sistem; tipul de rootkit afectează alegerea vectorului de atac. Cea mai comună tehnică este de a folosi o vulnerabilitate de securitate pentru a obține o creștere nedorită a privilegiilor. O altă abordare este aceea de a folosi un cal troian (troian), păcălindu-l pe un utilizator de calculator să creadă că instalarea rootkit-ului este de fapt o instalare benignă [27] - în acest caz, ingineria socială este cea care convinge utilizatorul că instalarea este benefică. Sarcina de instalare este și mai ușoară dacă nu se aplică principiul celor mai mici privilegii , deoarece în acest caz rootkit-ul nu trebuie să solicite în mod explicit permisiuni ridicate (nivel de administrator). Alte clase de rootkit pot fi instalate numai de cineva cu acces fizic la sistemul țintă. Unele rootkit-uri pot fi instalate în mod intenționat de către proprietarul sistemului sau de către altcineva autorizat de proprietar, în scopul, de exemplu, de a monitoriza angajații, făcând inutile tehnicile subversive [56] .

Instalarea rootkit rău intenționată este ghidată comercial, cu o metodă de compensare a plății pe instalare tipică pentru distribuție [57] [58] .

Odată ce un rootkit este instalat, acesta ia măsuri active pentru a ascunde prezența acestuia în sistemul gazdă prin subversia sau evaziunea instrumentelor standard de securitate a sistemului și a API-urilor utilizate pentru diagnosticare, scanare și monitorizare. Rootkit-urile realizează acest lucru modificând comportamentul părților fundamentale ale unui sistem de operare prin încărcarea codului în procese, instalarea sau modificarea driverelor sau modulelor kernelului. Tehnicile de ofuscare includ ascunderea proceselor care rulează de mecanismele de monitorizare a sistemului și ascunderea fișierelor de sistem și a altor date de configurare [59] . Nu este neobișnuit ca un rootkit să dezactiveze capacitatea de înregistrare a evenimentelor unui sistem de operare în încercarea de a ascunde dovezile unui atac. Rootkit-urile pot, în teorie, să submina orice activitate a sistemului de operare [60] . „Rootkit-ul perfect” poate fi considerat „ crima perfectă ”: cea despre care nimeni nu își dă seama că a avut loc.

Rootkit-urile iau, de asemenea, o serie de măsuri, pe lângă faptul că sunt instalate în Ring 0 (mod kernel), pentru a le asigura supraviețuirea împotriva detectării și curățării de către software-ul antivirus. Acestea includ polimorfismul , tehnicile de acoperire, regenerarea, blocarea software-ului anti-malware [61] și neinstalarea pe mașini virtuale, unde cercetătorii le pot descoperi și analiza mai ușor.

Detectarea

Problema fundamentală în descoperirea rootkit-urilor este că sistemul de operare în sine este compromis, în special de către rootkit-uri la nivel de kernel, deci nu este de încredere atunci când vine vorba de căutarea unor modificări neautorizate la sine sau la componentele sale [60] . Acțiuni precum solicitarea unei liste de procese care rulează sau a unei liste de fișiere din directoare nu sunt de încredere, este posibil ca răspunsurile să nu fie cele așteptate. Cu alte cuvinte, programele care identifică rootkit-uri care funcționează în timp ce sistemul infectat rulează sunt eficiente numai împotriva rootkit-urilor care au un defect în ascunderea lor sau care funcționează cu privilegii mai mici decât programul responsabil să le descopere. Ca și în cazul virușilor , descoperirea și eliminarea rootkits este o luptă constantă între cele două părți [60] .

Identificarea poate folosi mai multe abordări diferite, inclusiv semnături (de exemplu, software antivirus), verificări de integritate (de exemplu , semnături digitale ), detectarea bazată pe diferențe (de exemplu, rezultatul comparației așteptate față de rezultatele reale) și detectarea comportamentală (de exemplu, „utilizarea CPU sau traficul de rețea). Pentru rootkit-urile în modul kernel, descoperirea este de considerată mai complexă, necesită o analiză atentă a tabelului de apeluri de sistem în căutarea funcțiilor hooked unde malware-ul ar putea compromite comportamentul sistemului [62] sau analiza memoriei la nivelul caută modele care indică procese ascunse.

Software-ul de detectare a rootkit-ului pe sistemele Unix include Zeppo [63] , chrootkit , rkhunter și OSSEC . Într-un mediu Windows, software-urile de acest tip sunt Microsoft Sysinternals, RootkitRevealer [64] , Avast! Antivirus , Sophos Anti-Rootkit [65] , F-Secure [66] , Radix [67] , GMER [68] și WindowsSCOPE . Orice software de acest tip își îmbunătățește propria eficiență pe măsură ce sunt descoperite noi programe malware, dar, în mod similar, autorii de malware își adaptează și testează codul pentru a evita detectarea de către cele mai cunoscute instrumente.

Descoperirea printr-o examinare a memoriei, în timp ce sistemul de operare examinat nu funcționează, rootkit-urile necunoscute de software-ul folosit pot lipsi, întrucât nici măcar rootkit-ul nu funcționează și deci nu sunt detectate comportamente suspecte. Software-ul anti-malware convențional, care funcționează împreună cu rootkit-ul, ar putea eșua dacă rootkit-ul se ascunde efectiv.

Alternative medii de încredere

Cea mai bună și cea mai fiabilă metodă de detectare a rootkit-urilor care funcționează la nivel de sistem de operare este să închideți computerul suspect și să verificați memoria de stocare a acestuia prin pornirea unui mediu alternativ de încredere (de exemplu, un CD de salvare, o cheie USB) [69] . Tehnica este eficientă deoarece rootkit-ul nu își poate ascunde în mod activ prezența, deoarece nu rulează.

Pe bază de comportament

Abordarea bazată pe comportament pentru detectarea rootkit-urilor încearcă să deducă prezența unui rootkit prin căutarea unui comportament asemănător rootkit-urilor. De exemplu, poate profila sistemul pentru diferențele în timpul și frecvența apelurilor API sau poate analiza utilizarea generală a CPU. Această metodă este complexă și are o incidență mare de fals pozitive. Rootkiturile defecte pot genera modificări foarte vizibile la un sistem: rootkit-ul Alureon blochează sistemele Windows după ce o actualizare de securitate a descoperit o eroare de proiectare în codul său [70] [71] .

Jurnalele de la un analizor de pachete, firewall sau sistem de prevenire a intruziunilor pot evidenția prezența unui rootkit într-un mediu de rețea.

Bazat pe semnătură

Antivirușii găsesc rar toți virușii în testele publice (în funcție de ce este folosit și în ce măsură), chiar dacă producătorii acestor software încorporează detectoare de rootkit în produsele lor. Dacă un rootkit încearcă să se ascundă în timpul unei scanări de viruși, detectorul stealth îl poate detecta; dacă rootkit-ul încearcă să se elimine temporar din sistem, detectorul de semnătură (sau „amprenta”) îl poate găsi în continuare. Această abordare combinată forțează atacatorul să implementeze mecanisme de contraatac sau rutine „retro” care încearcă să întrerupă programele antivirus. Metodele de detectare bazate pe semnături pot fi eficiente cu rootkit-uri bine-cunoscute, dar sunt mult mai puțin eficiente cu rootkit-uri create special pentru o anumită victimă, rootkit-urile custom-root [60] .

Bazat pe diferențe

O altă metodă care detectează rootkit-urile compară datele brute „de încredere” cu conținutul „contaminat” returnat de un API . De exemplu, fișierele binare de pe disc pot fi comparate cu copiile lor din memoria de lucru (în unele sisteme de operare, imaginea din memorie ar trebui să fie identică cu versiunea de pe disc), altfel cu rezultatul returnat de sistemul de fișiere sau de API - ul registrului poate fi controlat prin structurile brute din discurile fizice subiacente [60] [72] - totuși, în primul caz, unele variații importante pot fi introduse de unele mecanisme ale sistemului de operare precum relocarea memoriei sau dislocare _ _ Un rootkit poate detecta prezența mai multor scanere bazate pe diferențe sau mașini virtuale (acestea din urmă sunt utilizate în mod obișnuit pentru a efectua analize criminalistice) și își poate modifica comportamentul astfel încât să nu fie detectată nicio diferență. Detectarea bazată pe diferențe a fost folosită de Russinovich pentru a găsi rootkit-ul Sony DRM [1] .

Image
Utilitatea RKHUNTER folosește algoritmul SHA-1 Hashing pentru a verifica integritatea fișierelor de sistem

Verificarea integrității

Semnarea codului folosește structura cheii publice pentru a verifica dacă fișierul s-a modificat de când a fost semnat digital de producător. În mod alternativ, proprietarul sau administratorul de sistem poate folosi o funcție hash criptografică pentru a calcula „amprenta” în momentul instalării, ceea ce poate ajuta la detectarea modificărilor ulterioare neautorizate ale bibliotecilor de pe disc [73] . Cu toate acestea, sistemele mai puțin sofisticate verifică doar dacă codul s-a schimbat de la momentul instalării; orice modificări înainte de această oră nu sunt detectate. Amprenta va trebui să fie restabilită ori de câte ori se fac modificări majore în sistem: de exemplu, după instalarea actualizărilor de securitate sau a pachetelor de service . Funcția hash creează un mesaj de digest, adică un cod relativ scurt, calculat din fiecare bit din fișier, folosind un algoritm care generează modificări mari ca rezultat chiar și a unei mici modificări în fișierul original. Prin recalcularea și compararea mesajelor rezumate ale fișierului instalat la intervale regulate cu o listă de mesaje de încredere, modificările din sistem pot fi descoperite și monitorizate - atâta timp cât linia de bază originală a fost creată înainte de introducerea malware-ului. Rootkit-urile mai sofisticate sunt capabile să compromită sistemul de verificare prin prezentarea unei copii nemodificate a fișierului în timpul inspecției sau prin modificarea codului doar în memorie și nu pe hard-disk. Prin urmare, această tehnică poate fi eficientă numai împotriva rootkit-urilor nesofisticate - de exemplu, cele care înlocuiesc fișierele binare Unix, cum ar fi „ls”, pentru a ascunde prezența fișierelor.

În mod similar, descoperirea în firmware poate fi obținută prin calcularea hash-ului firmware-ului și comparându-l cu o listă albă de valori așteptate, sau prin extinderea valorilor hash în registrul de configurare al Trusted Platform Module (TPM) care sunt apoi comparativ, tot în acest caz, cu o listă albă de valori așteptate [74] . Codul care hash, compară sau extinde operațiunile trebuie protejat - în acest context, noțiunea de rădăcină imuabilă a încrederii susține că primul cod care măsoară proprietățile de securitate ale unui sistem trebuie să fie el însuși de încredere. pentru a se asigura că un rootkit sau bootkit-ul nu compromite sistemul la nivelul său cel mai fundamental [75] .

Memory dump

Forțarea unui dump complet al memoriei virtuale sau a unui dump kernel (în cazul unui rootkit în mod kernel) poate captura un rootkit activ, permițând astfel analiza criminalistică prin intermediul unui depanator aplicat fișierului dump, fără ca rootkit-ul să poată utiliza nicio măsură a se ascunde. Această tehnică este foarte specializată și poate fi necesar accesul la codul sursă non-public sau la simboluri de depanare . Dumpurile de memorie inițiate de sistemul de operare pot să nu fie întotdeauna folosite pentru a descoperi un rootkit bazat pe hypervisor, care este capabil să intercepteze și să compromită încercările de nivel scăzut și să citească memoria - într-un astfel de scenariu ar putea fi nevoie de un dispozitiv hardware, cum ar fi unul care implementează o întrerupere nemascabilă , pentru a descărca memoria [76] [77] . Mașinile virtuale facilitează, de asemenea, analizarea memoriei unei mașini compromise de către hypervisorul de bază, motiv pentru care unele rootkit-uri evită infectarea mașinilor virtuale.

Eliminare

Îndepărtarea manuală a unui rootkit este adesea prea complexă pentru utilizatorul obișnuit, dar multe programe de securitate conțin instrumente specifice pentru căutarea și eliminarea lor, de obicei, aceste instrumente fac parte din suita antivirus . Începând cu 2005, instrumentul de eliminare a software-ului rău intenționat Microsoft Windows a fost capabil să detecteze și să elimine diferite tipuri de rootkit-uri [78] [79] . Unele scanere de viruși pot ocoli API-urile sistemului de fișiere , care sunt vulnerabile la manipularea de către rootkit-uri și pot accesa direct structurile de date brute ale sistemului de fișiere folosind aceste informații pentru a valida rezultatele API-urilor de sistem și, astfel, a detecta orice diferențe care pot indica prezența. a unui rootkit [80] [81] [82] [83] .

Există experți care cred că singura modalitate fiabilă de a elimina un rootkit este reinstalarea sistemului de operare printr-un mijloc de încredere [84] [85] . Acest lucru se datorează faptului că antivirusul și antimalware funcționează pe un sistem neîncrezat și, prin urmare, se pot dovedi ineficiente împotriva rootkit-urilor în modul kernel bine scrise. Pornirea unui sistem de operare alternativ prin medii de încredere poate permite o curățare sigură a sistemului infectat și o copie a datelor critice - sau, alternativ, analiza criminalistică [24] . Sistemele de operare ușoare precum Windows PE, Windows Recovery Console, Windows Recovery Environment, BartPE sau Distro Live pot fi folosite în acest scop, permițând astfel o curățare a sistemului.

Deși tipul și natura rootkit-ului sunt cunoscute, intervenția manuală poate fi nepractică, în timp ce reinstalarea sistemului de operare și a aplicațiilor este mai sigură, mai ușoară și mai rapidă [84] .

Disponibilitate publică

La fel ca multe malware utilizate de atacatori, multe implementări RootKit sunt partajate și ușor de găsit pe net. Nu este neobișnuit să vedem un sistem compromis în care un rootkit sofisticat și disponibil public ascunde prezența unui vierme mult mai simplu sau instrumente de atac scrise aparent de programatori neexperimentați [24] .

Majoritatea rootkit-urilor disponibile pe net au început ca exploatări sau „ dovadă a conceptelor ” academice pentru a demonstra veridicitatea metodelor de a ascunde ceva în interiorul unui sistem informatic sau de a prelua controlul asupra acestuia [86] Sistemele de ascundere neoptimizate lasă uneori dovezi neintenționate de prezența lor. Cu toate acestea, în ciuda acestui fapt, atunci când sunt utilizate pentru un atac, ele sunt încă eficiente de cele mai multe ori. Alte rootkit-uri cu funcții de înregistrare a tastelor, cum ar fi GameGuard , sunt instalate alături de jocurile online .

Apărare

Întărirea sistemului este primul strat de apărare împotriva rootkit-urilor, împiedicând direct instalarea [87] . Corectarea securității, aplicarea principiului minimului privilegiu , reducerea suprafeței de atac și instalarea de software antivirus sunt cele mai bune și mai comune practici de apărare împotriva tuturor tipurilor de malware [88] .

Noile specificații de pornire sigură, cum ar fi Unified Extensible Firmware Interface , sunt concepute pentru a aborda amenințarea bootkit-urilor, dar chiar și acestea se dovedesc ineficiente dacă caracteristicile de securitate pe care le oferă nu sunt utilizate.

Pentru sistemele de servere sunt utilizate tehnologii precum Trusted Execution Technology (TXT) de la Intel, care oferă o modalitate de a valida aceste servere și de a rămâne astfel într-o stare de încredere. De exemplu, Microsoft Bitlocker criptează datele în repaus validând serverele care sunt într-o stare de încredere la pornire.

PrivateCore Cage este un software care protejează data-in-use (memoria), pentru a evita rootkit-urile și bootkit-urile, prin validarea serverelor care se află într-o stare recunoscută ca „bună” la pornire.

Rootkit-uri celebre

Printre cele mai cunoscute sunt FU și NT Rootkit .

Un anumit tip de rootkit este prezent și în sistemul de operare (versiunea 3.56 sau mai mare) al PlayStation 3 . Acesta a fost introdus de Sony cu actualizarea firmware-ului la versiunea 3.56 și servește pentru a împiedica accesul consolelor modificate PlayStation Network , cu interzicerea ulterioară a adresei MAC a plăcii lor de rețea.

Note

  1. ^ a b c d și McAfee, Proven Security 2006 , la https://web.archive.org/web/20060823090948/http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf .
  2. ^ Rootkit Removal from a Windows System , Technibble , 25 octombrie 2011. Consultat la 8 iunie 2016 .
  3. ^ a b c Symantec, Windows rootkit overview , https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf .
  4. ^ Sparks, Sherri; Butler, Jamie (01-08-2005), Ridicarea ștachetei pentru detectarea rootkit-ului Windows .
  5. ^ a b c d Myers, Michael; Youndt, Ștefan (2007-08-07), o introducere a rootkits-ului cu mașina virtuală asistată de hardware (HVM) .
  6. ^ Rory Bray, Daniel Cid și Andrew Hay, Ghid de detectare a intruziunilor bazate pe gazdă OSSEC , Syngress , 9 aprilie 2008, ISBN 978-0-08-055877-6 . Consultat la 8 iunie 2016 . 
  7. ^ Thompson, Ken (august 1984), Reflections on Trusting Trust , la https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf .
  8. ^ a b Greg Hoglund și James Butler, Rootkits: Subverting the Windows Kernel , Addison-Wesley Professional, 1 ianuarie 2006, ISBN 978-0-321-29431-9 . Consultat la 8 iunie 2016 . 
  9. ^ Advanced OSX Rootkits , la https://www.blackhat.com/presentations/bh-usa-09/DAIZOVI/BHUSA09-Daizovi-AdvOSXRootkits-SLIDES.pdf .
  10. ^ Stuxnet introduce primul RootKit cunoscut pentru sistemele de control industrial , pe răspunsul la securitate Symantec . Consultat la 8 iunie 2016 .
  11. ^ XCP.Sony.Rootkit - CA Technologies , pe ca.com , 18 august 2010. Preluat la 8 iunie 2016 (arhivat din original pe 18 august 2010) .
  12. ^ Sony, rootkits și managementul drepturilor digitale au mers prea departe , pe blogul lui Mark . Consultat la 8 iunie 2016 .
  13. ^ Sony's long-term rootkit CD woes , BBC , 21 noiembrie 2005. Consultat la 8 iunie 2016 .
  14. ^ Dezinstaller-ul bazat pe web al lui Sony deschide o mare gaură de securitate; Sony să reamintească discurile , la libertate-tinker.com . Consultat la 8 iunie 2016 .
  15. ^ Will Knight , Sony BMG a dat în judecată pe software -ul de cloaking pe CD -ul muzical , pe New Scientist . Consultat la 8 iunie 2016 .
  16. ^ Greek Watergate , la http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html .
  17. ^ A B The Atena Affair , pe IEEE Spectrum: Tehnologia, inginerie și științe științifice . Preluat la 8 iunie 2016 (arhivat din original pe 21 septembrie 2012) .
  18. ^ Unearthing Root Kits , pe windowsitpro.com . Preluat la 8 iunie 2016 (arhivat din original pe 18 septembrie 2012) .
  19. ^ Apple Patches Critical iTunes Bug, World of Warcraft Hackers folosind Sony BMG RootKit , la theregister.co.uk . Consultat la 8 iunie 2016 .
  20. ^ Utilizarea tehnologiei Rootkit pentru detectarea malware bazată pe miere , la http://www.vividmachines.com/download/icsicceid.pdf .
  21. ^ Folosind rootkits pentru a învinge gestionarea drepturilor digitale , ​​pe blogul lui Mark . Consultat la 8 iunie 2016 .
  22. ^ Dezactivați Rootkit: Attacks on BIOS anti-theft technologies , la https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf .
  23. ^ Peter Kleissner, Peter Kleissner ( PDF ), pe Stoned-lienna.com . Preluat la 8 iunie 2016 (arhivat din original pe 18 iunie 2012) .
  24. ^ a b c ( EN ) Steven Anson și Steve Bunting, Mastering Windows Network Forensics and Investigation , John Wiley & Sons, 2 aprilie 2007, ISBN  978-0-470-09762-5 . Consultat la 8 iunie 2016 .
  25. ^ a b Rootkits Part 2: A Technical Primer , la https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf .
  26. ^ . :: Phrack Magazine ::. , pe phrack.org . Consultat la 8 iunie 2016 .
  27. ^ a b c înțelegerea tehnologiilor anti-malware , la https://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf .
  28. ^ . :: Phrack Magazine ::. , pe phrack.org . Consultat la 8 iunie 2016 .
  29. ^ Alisa Shevchenko, Rootkit Evolution , Help Net Security , 1 septembrie 2008. Preluat 8 iunie 2016 .
  30. ^ O imagine de ansamblu a Unix RootKits , la http://www.megasecurity.org/papers/rootkits.pdf .
  31. ^ Rootkit-uri Windows din 2005, partea a doua | Symantec Connect , pe symantec.com . Consultat la 8 iunie 2016 .
  32. ^ Windows RootKits din 2005, partea unu | Symantec Connect , pe Symantec.com . Consultat la 8 iunie 2016 .
  33. ^ Detectarea rootkit-urilor și compromisurile la nivel de kernel în Linux | Symantec Connect , pe symantec.com . Consultat la 8 iunie 2016 .
  34. ^ ZeroAccess - un mod avansat de kernel rootkit , la http://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf .
  35. ^ Cerințe de semnare a driverului pentru Windows - Windows 10 Hardware Dev , la Microsoft.com . Consultat la 8 iunie 2016 .
  36. ^ Instrumente de securitate | Eeye Digital Security , pe Eeye.com , 17 august 2013. Preluat la 8 iunie 2016 (arhivat de la original pe 17 august 2013) .
  37. ^ Atacuri „Maid Maid” pe hard disk -uri criptate - Schneier on Security , pe Schneier.com . Consultat la 8 iunie 2016 .
  38. ^ VBOOTKIT: compromiterea Windows Vista Security ( PDF ), la Blackhat.com .
  39. ^ BOOT KIT: Sectorul de boot personalizat bazat pe Windows 2000 / XP / 2003 Subversion - NVlabs | Analizând securitatea , pe NVLABS.in , 10 iunie 2010. Preluat la 8 iunie 2016 (arhivat din original la 10 iunie 2010) .
  40. ^ Peter Kleissner, Peter Kleissner , pe stoned-lienna.com . Consultat la 8 iunie 2016 .
  41. ^ Cod de exploatare, cel mai avansat rootkit din lume pătrunde pe ferestre pe 64 de biți , la theregister.co.uk . Consultat la 8 iunie 2016 .
  42. ^ Windows Loader. Obțineți software-ul în siguranță și ușor. , pe Software Informer . Consultat la 8 iunie 2016 .
  43. ^ Android, Microsoft întărește strânsoarea licențelor OEM Windows 8 , la theregister.co.uk . Consultat la 8 iunie 2016 .
  44. ^ Joel Scambray, Hacking Exposed Windows: Microsoft Windows Security Secrets and Solutions, Third Edition: Microsoft Windows Security Secrets and Solutions, Third Edition , McGraw Hill Professional, 25 decembrie 2007, ISBN 978-0-07-159669-5 . Consultat la 8 iunie 2016 . 
  45. ^ 2006 IEEE Simpozion despre securitate și confidențialitate , pe computer.org (arhivat din original pe 11 septembrie 2014) .
  46. ^ Countering Kernel Rootkits with Lightweight Hook Protection , la http://research.microsoft.com/en-us/um/people/wdcui/papers/hooksafe-ccs09.pdf .
  47. ^ Prezentare generală Device Guard (Windows 10) , la msdn.microsoft.com . Consultat la 8 iunie 2016 .
  48. ^ Mai aproape de metal: inginerie inversă a firmware-ului Broadcom NetExtreme , la http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf .
  49. ^ Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems - TrendLabs Security Intelligence Blog , pe TrendLabs Security Intelligence Blog , 13 iulie 2015. Recuperat la 8 iunie 2016 .
  50. ^ Implementează și detectează un ACPI BIOS Rootkit ( PDF ), la blackhat.com .
  51. ^ Implementarea și detectarea unui Rootkit PCI , la http://www.ngsconsulting.com/research/papers/Implementing_And_Detecting_A_PCI_Rootkit.pdf .
  52. ^ Ibm, Crima organizată modifică dispozitivele europene de trecere a cardurilor , pe theregister.co.uk . Consultat la 8 iunie 2016 .
  53. ^ Infecție BIOS persistentă , la https://cansecwest.com/csw09/csw09-sacco-ortega.pdf .
  54. ^ Exploit Code, rootkit-urile Newfangled supraviețuiesc ștergerii hard diskului , la theregister.co.uk . Consultat la 8 iunie 2016 .
  55. ^ . :: Phrack Magazine ::. , pe phrack.org . Consultat la 8 iunie 2016 .
  56. ^ John Wiley & Sons, Professional Rootkits , 2007, p. 244, ISBN  978-0-470-14954-6 .
  57. ^ TDL3: The Rootkit of All Evil? , în https://www.eset.com/resources/white-papers/tdl3-analysis.pdf .
  58. ^ Resurse de securitate IT | Știri, lucrări albe și videoclipuri | ESET | ESET ( PDF ), pe eset.com . Preluat la 8 iunie 2016 (arhivat din original pe 29 iulie 2015) .
  59. ^ USENIX | Asociația Advanced Computing Systems , la Usenix.org . Consultat la 8 iunie 2016 .
  60. ^ a b c d și Hacking Exposed Malware & Rootkits (Capitolul 10) , la http://www.mhprofessional.com/downloads/products/0071591184/0071591184_chap10.pdf .
  61. ^ Trlokom Rootkit Defense White Paper , la http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf .
  62. ^ Sala de lectură InfoSec a Institutului SANS. Kernel Rootkits , la https://web.archive.org/web/20120910164327/http://www.sans.org:80/reading_room/whitepapers/threats/kernel-rootkits_449 .
  63. ^ zeppoo , pe SourceForge . Consultat la 8 iunie 2016 .
  64. ^ RootkitRevealer , la technet.microsoft.com . Consultat la 8 iunie 2016 .
  65. ^ Scaner anti-rootkit | Instrument gratuit pentru detectarea și eliminarea rootkitului | Sophos Virus Protection , pe sophos.com . Consultat la 8 iunie 2016 .
  66. ^ F-Secure Marea Britanie și Irlanda | Porniți Freedom , la f-secure.com . Consultat la 8 iunie 2016 .
  67. ^ Radix , pe usec.at.
  68. ^ GMER - ROOTKIT DETECTOR ȘI REMOVER , ON GMER.NET . Consultat la 8 iunie 2016 .
  69. ^ testing_methodology_for_rootkit_removal, Metodologia de testare pentru eliminarea rootkitului , la https://www.symantec.com/avcenter/reference/testing_methodology_for_rootkit_removal.pdf .
  70. ^ Tidserv și MS10-015 , pe răspunsul la securitate Symantec . Consultat la 8 iunie 2016 .
  71. ^ Reporniți probleme după instalarea MS10-015 , pe MSRC . Consultat la 8 iunie 2016 .
  72. ^ Yi-min Wang, The Strider Ghostbuster Project , la Research.microsoft.com . Preluat la 8 iunie 2016 (arhivat din original pe 29 iulie 2012) .
  73. ^ Semnarea și verificarea codului cu Authenticode (Windows) , la msdn.microsoft.com . Consultat la 8 iunie 2016 .
  74. ^ Oprirea rootkit-urilor la marginea rețelei | Grupul de calcul de încredere ( PDF ), pe Grupul de calcul de încredere , 1 iunie 2009. Preluat 8 iunie 2016 .
  75. ^ Specificația de implementare specifică TCG PC, versiunea 1.1 , la https://www.trustedcomputinggroup.org/files/resource_files/87B92DAF-1D09-3519-AD80984BBE62D62D/TCG_PCSpecificSpecification_v1_1.pdf .
  76. ^ https://support.microsoft.com/en-us/kb/927069 , la suport.microsoft.com . Consultat la 8 iunie 2016 .
  77. ^ Seshadri, Arvind; et al, Pioneer: Verificarea integrității codului și aplicarea executării codului nemodificat pe sistemele moștenite , 2005.
  78. ^ Bătălia Rootkit : Rootkit Revealer vs. Hacker Defender , pe SearchEnterpriseDesktop . Consultat la 8 iunie 2016 .
  79. ^ https://support.microsoft.com/en-us/kb/890830 , la suport.microsoft.com . Consultat la 8 iunie 2016 .
  80. ^ Steve Hultquist, Rootkits: Următoarea mare amenințare a întreprinderii? , pe InfoWorld . Consultat la 8 iunie 2016 .
  81. ^ Security Watch: Rootkits for fun and profit - CNET Reviews , pe reviews.cnet.com , 8 octombrie 2012. Recuperat la 8 iunie 2016 (arhivat din original pe 8 octombrie 2012) .
  82. ^ Șase modalități de a lupta împotriva botnetilor , pe PCWorld . Consultat la 8 iunie 2016 .
  83. ^ Gestionarea amenințărilor severe de securitate de astăzi: Rootkit-uri , pe Symantec Security Response . Consultat la 8 iunie 2016 .
  84. ^ A B RootKits: The Obscuh Hacker Attack , la TechNet.microsoft.com . Consultat la 8 iunie 2016 .
  85. ^ Ellen Messmer, experți împărțiți peste detectarea și îndepărtarea rădăcină , pe lumea rețelei . Consultat la 8 iunie 2016 .
  86. ^ Larry Stevenson și Nancy Altholz , Rootkits for Dummies , John Wiley & Sons, 11 decembrie 2006, ISBN  978-0-470-10183-4 . Consultat la 8 iunie 2016 .
  87. ^ Ed Skoudis, Malware : Cod malvoitor de luptă , Prentice Hall Ptr, 1 ianuarie 2004, ISBN 978-0-13-101405-3 . Consultat la 8 iunie 2016 . 
  88. ^ Linux RootKits For Beginners - From Prevention to Removal , la https://web.archive.org/web/20101024164136/http://www.sans.org:80/reading_room/whitepapers/linux/linux-rootkits-beginners- prevenire-eliminare_901 .

Articole înrudite

Alte proiecte

Link- uri externe