Rootkity można nazwać najbardziej zaawansowaną technicznie formą złośliwego kodu (złośliwego oprogramowania) i jedną z najtrudniejszych do wykrycia i wyeliminowania. Ze wszystkich rodzajów złośliwego oprogramowania, prawdopodobnie wirusy i robaki cieszą się największym zainteresowaniem, ponieważ są one powszechnie rozpowszechnione. Wiadomo, że wiele osób zostało dotkniętych wirusem lub robakiem, ale to zdecydowanie nie oznacza, że wirusy i robaki są najbardziej destrukcyjnym rodzajem złośliwego oprogramowania. Istnieją bardziej niebezpieczne rodzaje złośliwego oprogramowania, ponieważ z reguły działają w trybie ukrytym, są trudne do wykrycia i usunięcia i mogą pozostać niezauważone przez bardzo długi czas, dyskretnie uzyskując dostęp, kradnąc dane i modyfikując pliki na komputerze ofiary .
Przykładem takiego ukradkowego wroga są rootkity - zbiór narzędzi, które mogą zastąpić lub zmienić programy wykonywalne, a nawet jądro samego systemu operacyjnego, w celu uzyskania dostępu do systemu z poziomu administratora, którego można użyć do instalacji spyware, keyloggery i inne złośliwe narzędzia. Zasadniczo rootkit pozwala osobie atakującej uzyskać pełny dostęp do komputera ofiary (i ewentualnie do całej sieci, do której należy komputer). Jednym ze znanych zastosowań rootkita, który spowodował znaczną utratę / uszkodzenie, była kradzież kodu źródłowego silnika gry Half-Life 2: Source firmy Valve.
Rootkity nie są niczym nowym - istnieją od lat i wiadomo, że wpłynęły na różne systemy operacyjne (Windows, UNIX, Linux, Solaris itp.). Gdyby nie jedno lub dwa masowe przypadki incydentów z rootkitami (patrz sekcja Znane przykłady), które zwróciły na nich uwagę opinii publicznej, mogliby ponownie uniknąć świadomości, z wyjątkiem małego kręgu specjalistów od bezpieczeństwa. Na dzień dzisiejszy rootkity nie uwolniły swojego pełnego destrukcyjnego potencjału, ponieważ nie są tak rozpowszechnione, jak inne formy złośliwego oprogramowania. Może to jednak być mało komfortowe.
Odkryte mechanizmy rootkitów
Podobnie jak konie trojańskie, wirusy i robaki, rootkity instalują się, wykorzystując wady bezpieczeństwa sieci i systemu operacyjnego, często bez interakcji użytkownika. Chociaż istnieją rootkity, które mogą przychodzić jako załącznik do wiadomości e-mail lub w pakiecie z legalnym oprogramowaniem, są one nieszkodliwe, dopóki użytkownik nie otworzy załącznika lub nie zainstaluje programu. Jednak w przeciwieństwie do mniej wyrafinowanych form złośliwego oprogramowania, rootkity przenikają bardzo głęboko do systemu operacyjnego i dokładają szczególnych starań, aby ukryć swoją obecność - na przykład modyfikując pliki systemowe.
Zasadniczo istnieją dwa rodzaje rootkitów: rootkity na poziomie jądra i rootkity na poziomie aplikacji. Rootki na poziomie jądra dodają kod lub modyfikują jądro systemu operacyjnego. Osiąga się to poprzez zainstalowanie sterownika urządzenia lub modułu ładowalnego, który zmienia wywołania systemowe, aby ukryć obecność osoby atakującej. Tak więc, jeśli zajrzysz do plików dziennika, nie zobaczysz podejrzanych działań w systemie. Rootki na poziomie aplikacji są mniej skomplikowane i na ogół łatwiej je wykryć, ponieważ modyfikują pliki wykonywalne aplikacji, a nie sam system operacyjny. Ponieważ system Windows 2000 zgłasza użytkownikowi każdą zmianę pliku wykonywalnego, utrudnia to niezauważenie osobie atakującej.
Dlaczego rootkity stanowią ryzyko?
Rootkity mogą działać jako backdoor i zwykle nie są sami w swojej misji - często towarzyszy im oprogramowanie szpiegujące, konie trojańskie lub wirusy. Cele rootkita mogą być różne: od zwykłej złośliwej radości z przenikania do cudzego komputera (i ukrywania śladów obecności zagranicznej), po zbudowanie całego systemu do nielegalnego uzyskiwania poufnych danych (numery kart kredytowych lub kodu źródłowego, jak w przypadku Half -Życie 2).
Zasadniczo rootkity na poziomie aplikacji są mniej niebezpieczne i łatwiejsze do wykrycia. Ale jeśli program, którego używasz do śledzenia swoich finansów, zostanie „załatany” przez rootkita, strata pieniężna może być znacząca - tzn. Osoba atakująca może użyć danych karty kredytowej do zakupu kilku przedmiotów, a jeśli tego nie zrobisz Jeśli w odpowiednim czasie zauważysz podejrzane działania na saldzie karty kredytowej, najprawdopodobniej nigdy więcej nie zobaczysz pieniędzy.
W porównaniu z rootkitami na poziomie jądra, rootkity na poziomie aplikacji wyglądają słodko i nieszkodliwie. Dlaczego? Ponieważ teoretycznie rootkit na poziomie jądra otwiera wszystkie drzwi do systemu. Gdy drzwi są otwarte, inne formy złośliwego oprogramowania mogą następnie dostać się do systemu. Posiadanie infekcji rootkitem na poziomie jądra oraz niemożność jej łatwego wykrycia i usunięcia (lub w ogóle, jak zobaczymy w dalszej części) oznacza, że ktoś inny może mieć całkowitą kontrolę nad twoim komputerem i może go używać w dowolny sposób - na przykład, aby zainicjować atak na inne maszyny, sprawiając wrażenie, że atak pochodzi z twojego komputera, a nie z innego miejsca.
Wykrywanie i usuwanie rootkitów
Nie że inne rodzaje złośliwego oprogramowania są łatwe do wykrycia i usunięcia, ale rootkity na poziomie jądra są szczególną katastrofą. W pewnym sensie jest to Catch 22 - jeśli masz rootkita, pliki systemowe wymagane przez oprogramowanie antywirusowe prawdopodobnie zostaną zmodyfikowane, a zatem wynikom testu nie można ufać. Co więcej, jeśli rootkit jest uruchomiony, może z powodzeniem modyfikować listę plików lub listę uruchomionych procesów, na których opierają się programy antywirusowe, zapewniając w ten sposób fałszywe dane. Ponadto działający rootkit może po prostu zwolnić procesy programu antywirusowego z pamięci, powodując nieoczekiwane zamknięcie aplikacji lub jej zakończenie. Jednak w ten sposób pośrednio pokazuje swoją obecność, dzięki czemu można podejrzewać, gdy coś pójdzie nie tak, zwłaszcza w przypadku oprogramowania, które utrzymuje bezpieczeństwo systemu.
Zalecanym sposobem wykrywania obecności rootkita jest uruchomienie z alternatywnego nośnika, o którym wiadomo, że jest czysty (tj. Z kopii zapasowej lub ratunkowej płyty CD-ROM) i sprawdzenie podejrzanego systemu. Zaletą tej metody jest to, że rootkit nie będzie działał (dlatego nie będzie mógł się ukryć), a pliki systemowe nie będą aktywnie modyfikowane.
Istnieją sposoby wykrywania i (próby) usuwania rootkitów. Jednym ze sposobów jest posiadanie czystych odcisków palców MD5 oryginalnych plików systemowych w celu porównania bieżących odcisków palców plików systemowych. Ta metoda nie jest bardzo niezawodna, ale jest lepsza niż nic. Korzystanie z debugera jądra jest bardziej niezawodne, ale wymaga dogłębnej znajomości systemu operacyjnego. Nawet większość administratorów systemu rzadko się do tego stosuje, szczególnie gdy istnieją darmowe dobre programy do wykrywania rootkitów, takie jak RootkitRevealer Marc'a Russinovicha. Jeśli wejdziesz na jego stronę, znajdziesz szczegółowe instrukcje dotyczące korzystania z programu.
Jeśli wykryjesz rootkita na swoim komputerze, następnym krokiem jest pozbycie się go (łatwiej powiedzieć niż zrobić). W przypadku niektórych rootkitów usunięcie nie jest możliwe, chyba że chcesz usunąć również cały system operacyjny! Najbardziej oczywiste rozwiązanie - usunięcie zainfekowanych plików (pod warunkiem, że wiesz, które dokładnie są maskowane) jest absolutnie niemożliwe, jeśli chodzi o ważne pliki systemowe. Jeśli usuniesz te pliki, istnieje szansa, że nigdy nie będziesz mógł ponownie uruchomić systemu Windows. Możesz wypróbować kilka aplikacji do usuwania rootkitów, takich jak UnHackMe lub F-Secure BlackLight Beta, ale nie licz na to, że nie będą w stanie bezpiecznie usunąć szkodnika.
Może to brzmieć jak terapia wstrząsowa, ale jedynym sprawdzonym sposobem na usunięcie rootkita jest sformatowanie dysku twardego i ponowna instalacja systemu operacyjnego (oczywiście z czystego nośnika instalacyjnego!). Jeśli masz pojęcie, skąd wziął się rootkit (czy był on zawarty w innym programie, czy też ktoś wysłał Ci go e-mailem?), Nawet nie myśl o uruchomieniu lub ponownym zainstalowaniu źródła infekcji!
Znane przykłady rootkitów
Rootkity są używane od lat, ale dopiero w ubiegłym roku, kiedy pojawiły się w nagłówkach wiadomości. Przypadek Sony-BMG z technologią Digital Right Management (DRM), która chroniła nieautoryzowane kopiowanie płyt CD poprzez zainstalowanie rootkita na komputerze użytkownika, wywołała ostrą krytykę. Były procesy i dochodzenie karne. Sony-BMG musiało wycofać swoje płyty CD ze sklepów i wymienić zakupione kopie na czyste, zgodnie z ugodą w sprawie. Sony-BMG został oskarżony o potajemne maskowanie plików systemowych w celu ukrycia obecności programu do ochrony przed kopiowaniem, który również wysyłał prywatne dane na stronę Sony. Jeśli program został odinstalowany przez użytkownika, napęd CD przestał działać. W rzeczywistości ten program ochrony praw autorskich naruszył wszelkie prawa do prywatności, zastosował nielegalne techniki typowe dla tego rodzaju złośliwego oprogramowania, a przede wszystkim naraził komputer ofiary na różne ataki. To było typowe dla dużej korporacji, takiej jak Sony-BMG, która po raz pierwszy poszła arogancko, stwierdzając, że jeśli większość ludzi nie wie, co to jest rootkit i dlaczego mieliby się przejmować jego posiadaniem. Cóż, gdyby nie było takich facetów jak Mark Roussinovich, który jako pierwszy zadzwonił na temat rootkita Sony, sztuczka mogłaby zadziałać, a miliony komputerów zostałyby zainfekowane - całkiem globalne przestępstwo w rzekomej obronie intelektualnej firmy własność!
Podobnie jak w przypadku Sony, ale gdy nie było konieczne połączenie z Internetem, ma to miejsce w przypadku Norton SystemWorks. Prawdą jest, że obu przypadków nie można porównywać z etycznego ani technicznego punktu widzenia, ponieważ podczas gdy rootkit Nortona (lub technologia podobna do rootkita) modyfikuje pliki systemowe Windows w celu dostosowania do kosza chronionego programu Norton, Norton nie może być oskarżony o złośliwe zamiary ograniczenia prawa użytkownika lub do korzystania z rootkita, jak ma to miejsce w przypadku Sony. Celem maskowania było ukrycie przed wszystkimi (użytkownikami, administratorami itp.) I wszystkim (innymi programami, samym systemem Windows) katalog kopii zapasowej plików usuniętych przez użytkowników, który można później przywrócić z tego katalogu kopii zapasowej. Funkcja chronionego kosza polegała na dodaniu jeszcze jednej siatki zabezpieczającej przed szybkimi palcami, które najpierw usuwają, a następnie zastanawiają się, czy usunęły właściwe pliki, zapewniając dodatkowy sposób przywracania plików usuniętych z kosza ( lub które ominęły Kosz).
Te dwa przykłady nie są najcięższymi przypadkami działania rootkitów, ale warto o nich wspomnieć, ponieważ zwracając uwagę na te konkretne przypadki, zainteresowanie publiczne przyciągnęło rootkity jako całość. Mamy nadzieję, że teraz więcej osób nie tylko wie, czym jest rootkit, ale zależy, czy go posiada, i będzie w stanie je wykryć i usunąć!
