Τα rootkits μπορούν να ονομαστούν την πιο τεχνικά περίπλοκη μορφή κακόβουλου κώδικα (κακόβουλο λογισμικό) και ένα από τα πιο δύσκολα να ανακαλύψουν και να εξαλείψουν. Από όλους τους τύπους κακόβουλου λογισμικού, πιθανώς οι ιοί και τα σκουλήκια παίρνουν τη μεγαλύτερη δημοσιότητα επειδή είναι γενικά διαδεδομένα. Πολλοί άνθρωποι είναι γνωστό ότι έχουν πληγεί από ιό ή σκουλήκι, αλλά αυτό σίγουρα δεν σημαίνει ότι οι ιοί και τα σκουλήκια είναι η καταστροφική ποικιλία κακόβουλου λογισμικού. Υπάρχουν πιο επικίνδυνες μορφές κακόβουλου λογισμικού, επειδή κατά κανόνα λειτουργούν με απίστευτο τρόπο, είναι δύσκολο να εντοπιστούν και να απομακρυνθούν και να παραμείνουν απαρατήρητες για πολύ μεγάλες χρονικές περιόδους, αποκτώντας σιωπηρά πρόσβαση, κλέβοντας δεδομένα και τροποποιώντας τα αρχεία στο μηχάνημα του θύματος .
Ένα παράδειγμα τέτοιου εχθρού είναι τα rootkits - μια συλλογή εργαλείων που μπορούν να αντικαταστήσουν ή να αλλάξουν εκτελέσιμα προγράμματα ή ακόμα και τον πυρήνα του ίδιου του λειτουργικού συστήματος, προκειμένου να αποκτήσουν πρόσβαση στο σύστημα σε επίπεδο διαχειριστή, το οποίο μπορεί να χρησιμοποιηθεί για την εγκατάσταση spyware, keyloggers και άλλα κακόβουλα εργαλεία. Ουσιαστικά, ένα rootkit επιτρέπει σε έναν εισβολέα να αποκτήσει πλήρη πρόσβαση στη μηχανή του θύματος (και ενδεχομένως σε ολόκληρο το δίκτυο στο οποίο ανήκει το μηχάνημα). Μία από τις γνωστές χρήσεις ενός rootkit που προκάλεσε σημαντική απώλεια / ζημιά ήταν η κλοπή του πηγαίου κώδικα της μηχανής παιχνιδιών Half-Life 2: Source της Valve.
Τα Rootkits δεν είναι κάτι καινούργιο - είναι εδώ και χρόνια και είναι γνωστό ότι έχουν πραγματοποιήσει διάφορα λειτουργικά συστήματα (Windows, UNIX, Linux, Solaris κ.λπ.). Εάν δεν επρόκειτο για ένα ή δύο μαζικά περιστατικά από περιστατικά rootkit (βλ. Το περίφημο παράδειγμα), τα οποία έδιναν την προσοχή του κοινού σε αυτά, θα μπορούσαν να αποφύγουν πάλι τη συνειδητοποίηση, εκτός από έναν μικρό κύκλο επαγγελματιών ασφαλείας. Από σήμερα, τα rootkits δεν έχουν εξαπολύσει το πλήρες καταστροφικό δυναμικό τους, καθώς δεν είναι τόσο ευρέως διαδεδομένα όσο άλλες μορφές κακόβουλου λογισμικού. Ωστόσο, αυτό μπορεί να είναι λίγη άνεση.
Μηχανισμοί Rootkit που εκτίθενται
Παρόμοια με τα trojans, ιούς και σκουλήκια, τα rootkits εγκαθίστανται με την εκμετάλλευση ελαττωμάτων στο δίκτυο ασφαλείας και το λειτουργικό σύστημα, συχνά χωρίς αλληλεπίδραση χρηστών. Αν και υπάρχουν rootkits που μπορούν να έρθουν ως συνημμένα ηλεκτρονικού ταχυδρομείου ή σε δέσμη με νόμιμα προγράμματα λογισμικού, είναι αβλαβή μέχρι ο χρήστης να ανοίξει το συνημμένο ή να εγκαταστήσει το πρόγραμμα. Αλλά σε αντίθεση με τις λιγότερο εξελιγμένες μορφές κακόβουλου λογισμικού, τα rootkits διεισδύουν πολύ βαθιά στο λειτουργικό σύστημα και καταβάλλουν ιδιαίτερες προσπάθειες για να συγκαλύψουν την παρουσία τους - για παράδειγμα, τροποποιώντας αρχεία συστήματος.
Βασικά, υπάρχουν δύο τύποι rootkits: rootkits επιπέδου πυρήνα και rootkits επιπέδου εφαρμογής. Τα rootkits επιπέδου πυρήνα προσθέτουν κώδικα ή τροποποιούν τον πυρήνα του λειτουργικού συστήματος. Αυτό επιτυγχάνεται με την εγκατάσταση ενός προγράμματος οδήγησης συσκευής ή μιας φορτιζόμενης μονάδας, η οποία αλλάζει τις κλήσεις συστήματος για να αποκρύψει την παρουσία ενός εισβολέα. Έτσι, αν κοιτάξετε στα αρχεία καταγραφής, δεν θα δείτε καμία ύποπτη δραστηριότητα στο σύστημα. Τα rootkits επιπέδου εφαρμογής είναι λιγότερο εξελιγμένα και γενικά είναι ευκολότερα ανιχνεύσιμα επειδή τροποποιούν τα εκτελέσιμα αρχεία των εφαρμογών αντί του ίδιου του λειτουργικού συστήματος. Δεδομένου ότι τα Windows 2000 αναφέρουν κάθε αλλαγή ενός εκτελέσιμου αρχείου στο χρήστη, καθιστά πιο δύσκολο για τον εισβολέα να περάσει απαρατήρητο.
Γιατί οι Rootkits παρουσιάζουν κίνδυνο
Τα rootkits μπορούν να λειτουργήσουν ως backdoor και συνήθως δεν είναι μόνοι στην αποστολή τους - συχνά συνοδεύονται από spyware, trojan άλογα ή ιούς. Οι στόχοι ενός rootkit μπορούν να ποικίλουν από την απλή κακόβουλη χαρά της διείσδυσης στον υπολογιστή κάποιου άλλου (και να κρύβουν τα ίχνη της ξένης παρουσίας), στην κατασκευή ενός ολόκληρου συστήματος για παράνομη λήψη εμπιστευτικών δεδομένων (αριθμοί πιστωτικών καρτών ή πηγαίο κώδικα όπως στην περίπτωση του Half -Ζυλή 2).
Γενικά, τα rootkits επιπέδου εφαρμογής είναι λιγότερο επικίνδυνα και ευκολότερα ανιχνεύσιμα. Αλλά εάν το πρόγραμμα που χρησιμοποιείτε για να παρακολουθείτε τα οικονομικά σας, παίρνει "patched" από ένα rootkit, τότε η νομισματική απώλεια θα μπορούσε να είναι σημαντική - δηλαδή ένας εισβολέας μπορεί να χρησιμοποιήσει τα στοιχεία της πιστωτικής σας κάρτας για να αγοράσει μερικά στοιχεία και αν don ' t σημειώστε ύποπτη δραστηριότητα στο υπόλοιπο της πιστωτικής σας κάρτας σε εύθετο χρόνο, είναι πολύ πιθανό ότι ποτέ δεν θα δείτε τα χρήματα ξανά.
Σε σύγκριση με τα rootkits στο επίπεδο του πυρήνα, τα rootkits επιπέδου εφαρμογής φαίνονται γλυκά και αβλαβή. Γιατί; Επειδή θεωρητικά, ένα rootkit επιπέδου πυρήνα ανοίγει όλες τις πόρτες σε ένα σύστημα. Μόλις ανοίξουν οι πόρτες, άλλες μορφές κακόβουλου λογισμικού μπορούν στη συνέχεια να εισέλθουν στο σύστημα. Η κατοχή μιας λοίμωξης από rootkit στο επίπεδο του πυρήνα και η μη εύκολη ανίχνευσή της και απομάκρυνσή της (ή καθόλου, όπως θα δούμε στη συνέχεια) σημαίνει ότι κάποιος άλλος μπορεί να έχει τον πλήρη έλεγχο στον υπολογιστή σας και μπορεί να τον χρησιμοποιήσει με οποιονδήποτε τρόπο επιθυμεί - για παράδειγμα, να ξεκινήσει μια επίθεση σε άλλες μηχανές, δημιουργώντας την εντύπωση ότι η επίθεση προέρχεται από τον υπολογιστή σας και όχι από κάπου αλλού.
Ανίχνευση και αφαίρεση των Rootkits
Όχι ότι οι άλλοι τύποι κακόβουλου λογισμικού είναι εύκολο να εντοπιστούν και να καταργηθούν, αλλά τα rootkits στο επίπεδο του πυρήνα είναι μια ιδιαίτερη καταστροφή. Κατά κάποιον τρόπο, είναι ένα Catch 22 - αν έχετε ένα rootkit, τότε τα αρχεία συστήματος που απαιτούνται από το λογισμικό anti-rootkit είναι πιθανό να τροποποιηθούν και συνεπώς τα αποτελέσματα του ελέγχου δεν είναι αξιόπιστα. Επιπλέον, εάν εκτελείται ένα rootkit, μπορεί να τροποποιήσει με επιτυχία τη λίστα των αρχείων ή τη λίστα των διαδικασιών που εκτελούν τα προγράμματα προστασίας από ιούς, παρέχοντας έτσι ψεύτικα δεδομένα. Επίσης, ένα τρέχον rootkit μπορεί απλά να ξεφορτώσει τις διαδικασίες του προγράμματος κατά των ιών από τη μνήμη, προκαλώντας την απενεργοποίηση της εφαρμογής ή τερματισμό απροσδόκητα. Ωστόσο, με αυτό τον τρόπο δείχνει έμμεσα την παρουσία του, οπότε κάποιος μπορεί να πάρει ύποπτο όταν κάτι πάει στραβά, ειδικά με το λογισμικό που διατηρεί την ασφάλεια του συστήματος.
Ένας συνιστώμενος τρόπος για την ανίχνευση της παρουσίας ενός rootkit είναι η εκκίνηση από ένα εναλλακτικό μέσο, το οποίο είναι γνωστό ότι είναι καθαρό (δηλ. Ένα αντίγραφο ασφαλείας ή CD-ROM διάσωσης) και ελέγχει το ύποπτο σύστημα. Το πλεονέκτημα αυτής της μεθόδου είναι ότι το rootkit δεν θα τρέξει (επομένως δεν θα μπορέσει να κρυφτεί) και τα αρχεία του συστήματος δεν θα επηρεαστούν ενεργά.
Υπάρχουν τρόποι για να εντοπίσετε και να επιχειρήσετε να καταργήσετε τα rootkits. Ένας τρόπος είναι να έχετε καθαρά αποτυπώματα MD5 των αρχικών αρχείων του συστήματος για να συγκρίνετε τα τρέχοντα αποτυπώματα αρχείων συστήματος. Αυτή η μέθοδος δεν είναι πολύ αξιόπιστη, αλλά είναι καλύτερη από τίποτα. Η χρήση ενός προγράμματος εντοπισμού σφαλμάτων πυρήνα είναι πιο αξιόπιστη, αλλά απαιτεί σε βάθος γνώση του λειτουργικού συστήματος. Ακόμα και η πλειοψηφία των διαχειριστών συστημάτων σπάνια θα καταφύγουν σε αυτήν, ειδικά όταν υπάρχουν δωρεάν προγράμματα για την ανίχνευση ριζών, όπως το RootkitRevealer του Marc Russinovich. Εάν μεταβείτε στον ιστότοπό του, θα βρείτε λεπτομερείς οδηγίες για τη χρήση του προγράμματος.
Εάν ανιχνεύσετε ένα rootkit στον υπολογιστή σας, το επόμενο βήμα είναι να το ξεφορτωθείτε (ευκολότερο να λέγεται παρά να γίνει). Με ορισμένα rootkits, η αφαίρεση δεν είναι επιλογή, εκτός αν θέλετε να αφαιρέσετε ολόκληρο το λειτουργικό σύστημα επίσης! Η πιο προφανής λύση - για να διαγράψετε τα μολυσμένα αρχεία (εφόσον γνωρίζετε ποιες ακριβώς καλύπτονται) είναι απολύτως ανεφάρμοστη, όταν πρόκειται για ζωτικά αρχεία συστήματος. Εάν διαγράψετε αυτά τα αρχεία, οι πιθανότητες είναι ότι δεν θα μπορέσετε ποτέ να εκκινήσετε ξανά τα Windows. Μπορείτε να δοκιμάσετε μερικές εφαρμογές κατάργησης του rootkit, όπως το UnHackMe ή το F-Secure BlackLight Beta, αλλά μην υπολογίζετε σε αυτά πάρα πολύ για να μπορείτε να αφαιρέσετε το παράσιτο με ασφάλεια.
Μπορεί να ακούγεται σαν θεραπεία σοκ, αλλά ο μόνος αποδεδειγμένος τρόπος για να αφαιρέσετε ένα rootkit είναι η μορφοποίηση του σκληρού δίσκου και η επανεγκατάσταση του λειτουργικού συστήματος ξανά (φυσικά!). Εάν έχετε μια ιδέα από την οποία πήρατε το rootkit (ήταν πακέτο σε άλλο πρόγραμμα ή κάποιος σας το έστειλε μέσω ηλεκτρονικού ταχυδρομείου;), μην σκεφτείτε ούτε καν να τρέξετε ή να πιάσετε ξανά την πηγή μόλυνσης!
Διάσημα παραδείγματα Rootkits
Τα Rootkits χρησιμοποιούνταν κρυφά για χρόνια, αλλά μόνο μέχρι το περασμένο έτος, όταν έκαναν την εμφάνισή τους σε τίτλους ειδήσεων. Η περίπτωση της Sony-BMG με την τεχνολογία Digital Rights Management (DRM) που προστατεύει την μη εξουσιοδοτημένη αντιγραφή CD εγκαθιστώντας ένα rootkit στο μηχάνημα του χρήστη προκάλεσε απότομη κριτική. Υπήρξαν αγωγές και ποινική έρευνα. Η Sony-BMG έπρεπε να αποσύρει τα CD από τα καταστήματα και να αντικαταστήσει τα αγορασθέντα αντίγραφα με καθαρά αντίγραφα, ανάλογα με την περίπτωση. Η Sony-BMG κατηγορήθηκε ότι κρυφά περιέλαβε τα αρχεία συστήματος σε μια προσπάθεια να αποκρύψει την παρουσία του προγράμματος προστασίας αντιγράφων που χρησιμοποιείται επίσης για την αποστολή ιδιωτικών δεδομένων στον ιστότοπο της Sony. Εάν το πρόγραμμα απεγκαταστήθηκε από το χρήστη, η μονάδα CD δεν έγινε δυνατή. Στην πραγματικότητα, αυτό το πρόγραμμα προστασίας πνευματικών δικαιωμάτων παραβίασε όλα τα δικαιώματα απορρήτου, χρησιμοποίησε παράνομες τεχνικές που είναι χαρακτηριστικές για αυτό το είδος κακόβουλου λογισμικού και, πάνω απ 'όλα, άφησε τον υπολογιστή του θύματος ευάλωτο σε διάφορα στελέχη επίθεσης. Ήταν χαρακτηριστικό για μια μεγάλη εταιρία, όπως η Sony-BMG, να πάει πρώτα ο αλαζονικός τρόπος λέγοντας ότι αν οι περισσότεροι άνθρωποι δεν ήξεραν τι είναι ένα rootkit και γιατί θα νοιαζόταν ότι είχαν ένα. Λοιπόν, αν δεν υπήρχαν παιδιά όπως ο Mark Roussinovich, ο οποίος ήταν ο πρώτος που χτύπησε το κουδούνι για το rootkit της Sony, το τέχνασμα θα μπορούσε να είχε λειτουργήσει και εκατομμύρια υπολογιστές θα είχαν μολυνθεί - ένα γενικό αδίκημα στην υποτιθέμενη υπεράσπιση της πνευματικής ιδιοκτησία!
Παρόμοια με την περίπτωση της Sony, αλλά όταν δεν ήταν απαραίτητο να συνδεθεί με το Internet, είναι η περίπτωση του Norton SystemWorks. Είναι αλήθεια ότι και οι δύο περιπτώσεις δεν μπορούν να συγκριθούν από ηθική ή τεχνική άποψη, επειδή ενώ το rootkit του Norton (ή τεχνολογία τύπου rootkit) τροποποιεί τα αρχεία συστήματος των Windows για να φιλοξενήσει το Norton Protected Recycle Bin, η Norton δύσκολα μπορεί να κατηγορηθεί για κακόβουλες προθέσεις δικαιώματα χρήστη ή να επωφεληθείτε από το rootkit, όπως συμβαίνει με τη Sony. Ο σκοπός του cloaking ήταν να κρυφτεί από όλους (χρήστες, διαχειριστές κ.λπ.) και όλα (άλλα προγράμματα, τα ίδια τα Windows) ένας κατάλογος backup των χρηστών αρχείων έχουν διαγραφεί και αυτό μπορεί αργότερα να αποκατασταθεί από αυτόν τον κατάλογο backup. Η λειτουργία του Protected Recycle Bin ήταν να προσθέσετε ένα ακόμα δίχτυ ασφαλείας με τα γρήγορα δάχτυλα που πρώτα διαγράψατε και στη συνέχεια να σκεφτείτε αν έχουν διαγράψει τα σωστά αρχεία, παρέχοντας ένα πρόσθετο τρόπο για την αποκατάσταση αρχείων που έχουν διαγραφεί από τον Κάδο Ανακύκλωσης ( ή που έχουν παρακάμψει τον Κάδο Ανακύκλωσης).
Αυτά τα δύο παραδείγματα είναι σχεδόν οι πιο σοβαρές περιπτώσεις δραστηριοτήτων ριζοσπαστών, αλλά αξίζουν να αναφερθούν γιατί, προσελκύοντας την προσοχή στις συγκεκριμένες περιπτώσεις, επισημάνθηκε το κοινό ενδιαφέρον για τα rootkits ως σύνολο. Ας ελπίσουμε ότι τώρα περισσότεροι άνθρωποι δεν ξέρουν μόνο τι είναι ένα rootkit, αλλά ενδιαφέρονται αν έχουν ένα και μπορούν να εντοπίσουν και να τα αφαιρέσουν!
