Rootkity lze označit za technicky nejnáročnější formu škodlivého kódu (malware) a za jednu z nejobtížnějších odhalitelných a odstranitelných. Ze všech typů malwaru jsou pravděpodobně nejvíce propagovány viry a červy, protože jsou obecně rozšířené. Je známo, že mnoho lidí bylo napadeno virem nebo červem, ale to rozhodně neznamená, že viry a červy jsou nejničivějším malwarem různých odrůd. Existují nebezpečnější typy malwaru, protože zpravidla fungují v tajném režimu, je obtížné je detekovat a odstranit a mohou zůstat bez povšimnutí po velmi dlouhou dobu, tiše získávat přístup, krást data a upravovat soubory na počítači oběti. .
Příkladem takového tajně nepřítele jsou rootkity - soubor nástrojů, které mohou nahradit nebo změnit spustitelné programy, nebo dokonce jádro samotného operačního systému, za účelem získání přístupu k systému na úrovni správce, který lze použít k instalaci spyware, keyloggery a další škodlivé nástroje. V podstatě rootkit umožňuje útočníkovi získat úplný přístup přes počítač oběti (a případně do celé sítě, do které počítač patří). Jedním ze známých způsobů použití rootkitu, který způsobil značné ztráty / poškození, bylo krádež zdrojového kódu hry Valve's Half-Life 2: Source game engine.
Rootkity nejsou něčím novým - existují už roky a je známo, že provedly různé operační systémy (Windows, UNIX, Linux, Solaris atd.). Pokud by nešlo o jeden nebo dva hromadné výskyty incidentů rootkitů (viz část Slavné příklady), které na ně upoutaly pozornost veřejnosti, mohly by se znovu vyvarovat povědomí, s výjimkou malého okruhu bezpečnostních profesionálů. K dnešnímu dni rootkity neuvedly svůj plný destruktivní potenciál, protože nejsou tak rozšířené jako jiné formy malwaru. To však může mít jen malé pohodlí.
Rootkit Mechanismy Exposed
Podobně jako trojské koně, viry a červi, rootkity se instalují využíváním nedostatků v zabezpečení sítě a operačním systému, často bez zásahu uživatele. Ačkoli existují rootkity, které mohou přicházet jako příloha e-mailu nebo ve svazku s legitimními softwarovými programy, jsou neškodné, dokud uživatel neotevře přílohu nebo nenainstaluje program. Na rozdíl od méně sofistikovaných forem malwaru rootkity pronikají velmi hluboko do operačního systému a vyvíjejí zvláštní úsilí, aby zakryly svou přítomnost - například úpravou systémových souborů.
V zásadě existují dva typy rootkitů: rootkity na úrovni jádra a rootkity na úrovni aplikací. Kořeny rootkitů na úrovni jádra přidávají kód nebo upravují jádro operačního systému. Toho je dosaženo instalací ovladače zařízení nebo zaváděcího modulu, který mění systémová volání tak, aby skryla přítomnost útočníka. Pokud se tedy podíváte do souborů žurnálu, neuvidíte v systému žádné podezřelé aktivity. Kořenové sady na úrovni aplikace jsou méně sofistikované a zpravidla se snáze detekují, protože spíše upravují spustitelné soubory aplikací než samotný operační systém. Protože systém Windows 2000 hlásí uživateli každou změnu spustitelného souboru, ztěžuje útočníkovi nepovšimnutí.
Proč Rootkits představují riziko
Rootkity mohou fungovat jako backdoor a obvykle nejsou ve své misi osamoceny - často jsou doprovázeny spywarem, trojskými koňmi nebo viry. Cíle rootkitu se mohou lišit od jednoduché zákeřné radosti z pronikání do počítače někoho jiného (a skrývání stop cizí přítomnosti), až po vybudování celého systému pro nezákonné získávání důvěrných dat (čísla kreditních karet nebo zdrojový kód jako v případě Half -Life 2).
Obecně jsou rootkity na úrovni aplikace méně nebezpečné a snáze detekovatelné. Ale pokud program, který používáte pro sledování vašich financí, dostane „oprava“ rootkitem, pak by mohla být peněžní ztráta významná - tj. Útočník může použít údaje o vaší kreditní kartě k nákupu několika položek a pokud nemáte • Všimněte si podezřelé aktivity na zůstatku na vaší kreditní kartě v pravý čas, je pravděpodobné, že už peníze nikdy neuvidíte.
Ve srovnání s rootkity na úrovni jádra vypadají rootkity na úrovni aplikací sladké a neškodné. Proč? Protože teoreticky rootkit na úrovni jádra otevírá všechny dveře systému. Jakmile jsou dveře otevřené, mohou do systému vklouznout další formy malwaru. Mít infekce rootkitů na úrovni jádra a není schopen je snadno detekovat a odstranit (nebo vůbec, jak uvidíme dále), znamená, že někdo jiný může mít nad vaším počítačem úplnou kontrolu a může jej použít jakýmkoli způsobem, který si přeje - například k inicializaci útoku na jiné stroje, což vyvolává dojem, že útok pochází z vašeho počítače, nikoliv z jiného místa.
Detekce a odstranění rootkitů
Ne, že jiné typy malwaru lze snadno detekovat a odstranit, ale rootkity na úrovni jádra jsou zvláštní katastrofou. V jistém smyslu se jedná o Catch 22 - pokud máte rootkit, pak se pravděpodobně změní systémové soubory potřebné pro anti-rootkit software, a proto výsledky kontroly nemohou být důvěryhodné. A co víc, pokud je spuštěn rootkit, může úspěšně upravit seznam souborů nebo seznam spuštěných procesů, na které se antivirové programy spoléhají, čímž poskytuje falešná data. Spuštěný rootkit také může jednoduše uvolnit antivirové programové procesy z paměti, což způsobí, že se aplikace neočekávaně vypne nebo ukončí. Tím však nepřímo ukazuje svou přítomnost, takže se může stát podezřelým, když se něco pokazí, zejména se softwarem, který udržuje zabezpečení systému.
Doporučeným způsobem detekce přítomnosti rootkitu je zavedení z alternativního média, o kterém je známo, že je čisté (tj. Ze zálohy nebo záchranného CD-ROM), a zkontrolujte podezřelý systém. Výhodou této metody je, že rootkit nebude spuštěn (proto se nebude moci skrýt) a systémové soubory nebudou aktivně narušovány.
Existují způsoby, jak zjistit a (pokusit se) odstranit rootkity. Jedním ze způsobů je mít čisté otisky prstů MD5 původních systémových souborů a porovnat otisky prstů aktuálních systémových souborů. Tato metoda není příliš spolehlivá, ale je lepší než nic. Použití debuggeru jádra je spolehlivější, ale vyžaduje důkladnou znalost operačního systému. Dokonce i většina správců systému se k tomu málokdy uchýlí, zejména pokud existují bezplatné dobré programy pro detekci rootkitů, jako je RockitRevealer Marca Russinoviče. Pokud jdete na jeho web, najdete podrobné pokyny, jak program používat.
Pokud v počítači zjistíte rootkit, dalším krokem je jeho odstranění (snadněji řečeno než hotovo). U některých rootkitů není odstranění možné, pokud nechcete odebrat také celý operační systém! Nejviditelnější řešení - odstranit infikované soubory (pokud víte, které přesně jsou maskovány) je absolutně nepoužitelné, pokud jde o důležité systémové soubory. Pokud tyto soubory odstraníte, je pravděpodobné, že již nikdy nebudete moci spustit systém Windows. Můžete vyzkoušet několik aplikací pro odstranění rootkitů, jako je UnHackMe nebo F-Secure BlackLight Beta, ale nespoléhejte na ně příliš mnoho, aby mohli škůdce bezpečně odstranit.
Může to znít jako šoková terapie, ale jediným osvědčeným způsobem, jak odstranit rootkit, je formátování pevného disku a opětovná instalace operačního systému (samozřejmě z čistého instalačního média!). Pokud máte ponětí, odkud jste rootkit získali (bylo to zabaleno v jiném programu, nebo vám ho někdo poslal e-mailem?), Nemyslete ani na spuštění, ani na opětovné odpojení zdroje infekce!
Slavné příklady rootkitů
Rootkity se tajně používají roky, ale až do loňského roku, kdy se objevily v titulcích zpráv. Případ Sony-BMG s technologií Digital Right Management (DRM), která chránila neoprávněné kopírování CD instalací rootkitu na stroj uživatele, vyvolala ostrou kritiku. Byly tam soudy a trestní vyšetřování. Společnost Sony-BMG musela stáhnout své CD z obchodů a nahradit zakoupené kopie čistými, podle řešení případu. Společnost Sony-BMG byla obviněna z tajného maskování systémových souborů ve snaze skrýt přítomnost programu na ochranu proti kopírování, který také používal k zasílání soukromých dat na stránky společnosti Sony. Pokud uživatel program odinstaloval, jednotka CD se stala nefunkční. Ve skutečnosti tento program na ochranu autorských práv porušil všechna práva na soukromí, použil nezákonné techniky, které jsou typické pro tento druh malwaru, a především nechal počítač oběti zranitelný vůči různým útokům. Pro velkou společnost, jako je Sony-BMG, bylo typické jít nejprve arogantním způsobem tak, že uvedlo, že kdyby většina lidí nevěděla, co je rootkit, a proč by jim záleželo na tom, aby ho měli. Kdyby tu nebyli žádní kluci, jako je značka Roussinovich, který jako první zvonil zvonkem o rootkitu Sony, trik by mohl fungovat a miliony počítačů by byly infikovány - docela globální přestupek v údajné obraně intelektuálu společnosti vlastnictví!
Podobně jako v případě společnosti Sony, ale když nebylo nutné se připojit k internetu, je to případ Norton SystemWorks. Je pravda, že oba případy nelze srovnávat z etického nebo technického hlediska, protože zatímco Nortonův rootkit (nebo technologie typu rootkit) modifikuje systémové soubory Windows tak, aby vyhovovaly chráněnému koši Norton, Norton může být stěží obviněn ze škodlivých záměrů omezit uživatelských práv nebo těžit z rootkitu, jako je tomu v případě Sony. Účelem maskování bylo skrýt před všemi (uživateli, správci atd.) A před všemi (jinými programy, samotným Windows) záložní adresář souborů, které uživatelé smazali a které lze později obnovit z tohoto záložního adresáře. Funkcí chráněného koše bylo přidat ještě jednu bezpečnostní síť proti rychlým prstům, které se nejprve vymažou, a pak přemýšlet, zda odstranily správné soubory, a poskytnout tak další způsob, jak obnovit soubory, které byly smazány z koše ( nebo které obešly Koš).
Tyto dva příklady jsou stěží nejzávažnějšími případy činnosti rootkitů, ale stojí za zmínku, protože upoutáním pozornosti na tyto konkrétní případy byl veřejný zájem přitažen rootkity jako celkem. Doufejme, že nyní více lidí ví nejen to, co je rootkit, ale záleží na tom, jestli jej má, a bude schopen je detekovat a odstranit!
