Руткит — Учебник

Вернуться к руководству

Руткит — это скрытый тип программного обеспечения, обычно вредоносное, предназначенное для сокрытия существования определенных процессов или программ от обычных методов обнаружения и обеспечения постоянного привилегированного доступа к компьютеру. Термин «руткит» представляет собой сочетание «root» (традиционное имя привилегированной учетной записи в операционных системах Unix) и слова «kit» (которое относится к программным компонентам, реализующим инструмент). Термин «руткит» имеет отрицательную коннотацию из-за его связи с вредоносным ПО.

Установка руткита может быть автоматизирована, или злоумышленник может установить его после получения доступа root или администратора. Получение такого доступа является результатом прямой атаки на систему (т. Е.) С использованием известной уязвимости (например, повышения привилегий) или пароля (полученного путем взлома или социальной инженерии). После установки становится возможным скрыть вторжение, а также сохранить привилегированный доступ. Ключ — это root или доступ администратора. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.

Обнаружение руткитов затруднено, поскольку руткит может нарушить работу программного обеспечения, которое предназначен для его поиска. Методы обнаружения включают использование альтернативной и надежной операционной системы, методы на основе поведения, сканирование сигнатур, сканирование различий и анализ дампа памяти. Удаление может быть сложным или практически невозможным, особенно в тех случаях, когда руткит находится в ядре; переустановка операционной системы может быть единственным доступным решением проблемы. При работе с встроенными руткитами удаление может потребовать замены оборудования или специального оборудования.

Использование

Современные руткиты не расширяют доступ , а скорее используются для того, чтобы сделать другую полезную нагрузку программного обеспечения необнаружимой за счет добавления скрытых возможностей. Большинство руткитов классифицируются как вредоносные программы, потому что полезные данные, с которыми они связаны, являются вредоносными. Например, полезная нагрузка может тайно украсть пароли пользователей, информацию о кредитных картах, вычислительные ресурсы или провести другие несанкционированные действия. Небольшое количество руткитов могут рассматриваться их пользователями как служебные приложения: например, руткит может скрывать драйвер эмуляции компакт-диска, позволяя пользователям видеоигр отменить меры по борьбе с пиратством, которые требуют вставки исходного установочного носителя в физический носитель. оптический привод, чтобы убедиться, что программное обеспечение было приобретено законно, что может быть очень неудобно даже для тех, кто действительно приобрел его.

Руткиты и их полезные данные имеют множество применений:

  • Предоставьте злоумышленнику полный доступ через бэкдор, разрешив несанкционированный доступ, например, для кражи или подделки документов. Один из способов сделать это — подорвать механизм входа в систему, например программу/bin/login в Unix-подобных системах или GINA в Windows.. Замена, похоже, работает нормально, но также допускает секретную комбинацию входа в систему, которая позволяет злоумышленнику прямой доступ к системе с административными привилегиями, минуя стандартные механизмы аутентификации и авторизации.
  • Скрывает другие вредоносные программы, в частности, пароли- кража клавиатурных шпионов и компьютерных вирусов.
  • Использовать скомпрометированный компьютер в качестве компьютера-зомби для атак на другие компьютеры. (Атака исходит из скомпрометированной системы или сети, а не из системы злоумышленника.) Компьютеры-зомби, как правило, являются членами крупных ботнетов, которые могут запускать атаки типа «отказ в обслуживании», распространять спам в электронной почте, проводить мошенничество с кликами и т. Д.
  • Обеспечение управления цифровыми правами (DRM).

В некоторых случаях руткиты обеспечивают желаемую функциональность и могут быть установлены намеренно от имени компьютера. пользователь:

  • Скрывайте читерство в онлайн-играх от таких программ, как Warden.
  • Обнаруживайте атаки, например, в приманке.
  • Улучшение программного обеспечения эмуляции и программного обеспечения безопасности. Alcohol 120% и Daemon Tools являются коммерческими примерами не враждебных руткитов, используемых для преодоления таких механизмов защиты от копирования, как SafeDisc и SecuROM. Антивирус Касперского также использует приемы, напоминающие руткиты, для защиты от вредоносных действий. Он загружает собственные драйверы, чтобы перехватить активность системы, а затем не дает другим процессам причинить себе вред. Его процессы не скрыты, но не могут быть остановлены стандартными методами (его можно остановить с помощью Process Hacker).
  • Защита от кражи: на ноутбуках может быть установлено программное обеспечение руткитов на основе BIOS, которое будет периодически сообщать центральный орган, позволяющий контролировать портативный компьютер, отключать его или стирать информацию в случае его кражи.
  • Обход активации продукта Microsoft

Существует как минимум пять типов руткитов, начиная с самого низкого уровня прошивки (с наивысшими привилегиями) и заканчивая пользователем с минимальными привилегиями. варианты на основе, которые работают в кольце 3. Их гибридные комбинации могут возникать, например, в пользовательском режиме и режиме ядра.

Пользовательский режим — руткиты пользовательского режима запускаются в кольце 3 вместе с другими приложениями как пользовательские, а не низкоуровневые системные процессы. . У них есть несколько возможных векторов установки для перехвата и изменения стандартного поведения интерфейсов прикладного программирования (API). Некоторые внедряют динамически подключаемую библиотеку (например, файл .DLL в Windows или файл .dylib в Mac OS X) в другие процессы и, таким образом, могут выполняться внутри любого целевого процесса для его подделки; другие с достаточными привилегиями просто перезаписывают память целевого приложения. Механизмы внедрения включают:

  • Использование расширений приложений, предоставляемых поставщиком. Например, проводник Windows имеет общедоступные интерфейсы, которые позволяют третьим лицам расширять его функциональные возможности.
  • Перехват сообщений.
  • Использование уязвимостей безопасности.
  • Перехват функций или исправление часто используемых API, например, чтобы скрыть запущенный процесс или файл, который находится в файловой системе.

Поскольку все приложения пользовательского режима работают сами по себе пространство памяти, руткит должен выполнить это исправление в пространстве памяти каждого запущенного приложения. Кроме того, руткит должен отслеживать в системе любые новые приложения, которые запускаются, и исправлять пространство памяти этих программ до их полного выполнения.

Режим ядра — ядро -mode руткиты запускаются с наивысшими привилегиями операционной системы (кольцо 0) путем добавления кода или замены частей основной операционной системы, включая как ядро, так и соответствующие драйверы устройств. Большинство операционных систем поддерживают драйверы устройств режима ядра, которые выполняются с теми же привилегиями, что и сама операционная система. Таким образом, многие руткиты режима ядра разрабатываются как драйверы устройств или загружаемые модули, такие как загружаемые модули ядра в Linux или драйверы устройств в Microsoft Windows. Этот класс руткитов имеет неограниченный безопасный доступ, но его сложнее написать. Сложность делает ошибки обычными, и любые ошибки в коде, работающем на уровне ядра, могут серьезно повлиять на стабильность системы, что приведет к обнаружению руткита. Один из первых широко известных руткитов ядра был разработан для Windows NT 4.0 и выпущен в журнале Phrack в 1999 году Грегом Хоглундом.

Руткиты ядра могут быть особенно трудными для обнаружения и удаления, потому что они работают одновременно уровень безопасности, как и сама операционная система, и, таким образом, способны перехватить или подорвать наиболее надежные операции операционной системы. Любое программное обеспечение, например антивирус, работающее в скомпрометированной системе, одинаково уязвимо. В этой ситуации нельзя доверять ни одной части системы.

Руткит может изменять структуры данных в ядре Windows, используя метод, известный как прямое манипулирование объектами ядра (DKOM). Этот метод можно использовать, чтобы скрыть процессы. Руткит режима ядра также может перехватить таблицу дескрипторов системных служб (SSDT) ​​или изменить шлюз между пользовательским режимом и режимом ядра, чтобы скрыть себя. Аналогичным образом в операционной системе Linux руткит может изменять таблицу системных вызовов, чтобы подорвать функциональность ядра. Часто руткит создает скрытую зашифрованную файловую систему, в которой он может скрывать другие вредоносные программы или оригинальные копии зараженных файлов.

Операционные системы развиваются, чтобы противостоять угрозе руткитов режима ядра. Например, в 64-разрядных выпусках Microsoft Windows теперь реализована обязательная подпись всех драйверов уровня ядра, чтобы затруднить выполнение ненадежного кода с наивысшими привилегиями в системе..

Bootkits — вариант руткита режима ядра, называемый буткитом, может заразить код запуска, такой как основная загрузочная запись (MBR), объемная загрузочная запись (VBR) или загрузочная сектор, и, таким образом, может быть использован для атаки систем полного шифрования диска. Примером может служить «Атака Злой Девы», в которой злоумышленник устанавливает буткит на необслуживаемый компьютер, заменяя законный загрузчик загрузчиком, находящимся под его контролем. Обычно загрузчик вредоносных программ сохраняется при переходе в защищенный режим после загрузки ядра и, таким образом, может разрушить ядро. Например, «Stoned Bootkit» разрушает систему, используя скомпрометированный загрузчик для перехвата ключей шифрования и паролей. Совсем недавно руткит Alureon успешно устранил требование подписи 64-разрядного драйвера режима ядра в Windows 7, изменив главную загрузочную запись. Хотя это и не является вредоносным ПО в смысле выполнения чего-то, чего пользователь не хочет, определенное программное обеспечение «Vista Loader» или «Windows Loader» работает аналогичным образом, внедряя таблицу ACPI SLIC (системный лицензированный внутренний код) в версию, кэшированную в RAM BIOS во время загрузки, чтобы прервать процесс активации Windows Vista и Windows 7. Этот вектор атаки оказался бесполезным в (не серверных) версиях Windows 8, в которых для каждой системы используется уникальный машинно-зависимый ключ, который может использоваться только этой машиной.

Единственными известными средствами защиты от атак буткитов являются предотвращение несанкционированного физического доступа к системе — проблема портативных компьютеров — или использование модуля Trusted Platform Module, настроенного для защиты пути загрузки.

Уровень гипервизора — руткиты были созданы в академических кругах как гипервизоры типа II в качестве доказательства концепции. Используя функции аппаратной виртуализации, такие как Intel VT или AMD-V, этот тип руткита работает в кольце -1 и размещает целевую операционную систему как виртуальную машину, тем самым позволяя руткиту перехватывать аппаратные вызовы, сделанные исходной операционной системой. В отличие от обычных гипервизоров, они не должны загружаться перед операционной системой, но могут загружаться в операционную систему перед ее продвижением в виртуальную машину. Руткит гипервизора не должен вносить никаких изменений в ядро ​​целевой машины, чтобы подорвать его; однако это не означает, что гостевая операционная система не может его обнаружить. Например, в инструкциях ЦП можно обнаружить разницу во времени. Лабораторный руткит «SubVirt», разработанный совместно исследователями Microsoft и Мичиганского университета, является академическим примером руткита на основе виртуальной машины (VMBR), а Blue Pill — другим.

В 2009 г. Исследователи из Microsoft и Университета штата Северная Каролина продемонстрировали антируткит уровня гипервизора под названием Hooksafe, который обеспечивает общую защиту от руткитов режима ядра..

Прошивка и оборудование — руткит микропрограммы использует микропрограмму устройства или платформы для создания постоянного образа вредоносной программы на оборудовании, таком как маршрутизатор, сетевая карта, жесткий диск, или системный BIOS. Руткит скрывается в прошивке, потому что прошивка обычно не проверяется на целостность кода. Джон Хисман продемонстрировал жизнеспособность руткитов встроенного ПО как в подпрограммах встроенного ПО ACPI, так и в ПЗУ карты расширения PCI.

В октябре 2008 г. преступники взломали европейские машины для чтения кредитных карт до их установки. Устройства перехватывали и передавали данные кредитной карты через сеть мобильной связи. В марте 2009 года исследователи Альфредо Ортега и Анибал Сакко опубликовали подробную информацию о рутките для Windows уровня BIOS, который смог пережить замену диска и переустановку операционной системы. Несколько месяцев спустя они узнали, что некоторые ноутбуки продаются с легальным руткитом, известным как Absolute CompuTrace или Absolute LoJack для ноутбуков, предустановленным во многих образах BIOS. Это технологическая система защиты от краж, которая, как показали исследователи, может использоваться для злонамеренных целей.

Технология Intel Active Management, часть Intel vPro, реализует внеполосное управление, предоставляя администраторам удаленное администрирование, удаленное управление и удаленное управление ПК без участия центрального процессора или BIOS, даже когда система выключена. Удаленное администрирование включает в себя удаленное включение и выключение питания, удаленный сброс, перенаправленную загрузку, перенаправление консоли, доступ к настройкам BIOS перед загрузкой, программируемую фильтрацию входящего и исходящего сетевого трафика, проверку присутствия агента, внеполосное управление на основе политик оповещение, доступ к системной информации, такой как информация об аппаратных активах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (не на жестком диске), где она доступна, даже если ОС не работает или ПК выключен. Для некоторых из этих функций требуется руткит самого глубокого уровня — второй несъемный шпионский компьютер, построенный вокруг основного компьютера. Sandy Bridge и будущие чипсеты обладают «способностью удаленно уничтожать и восстанавливать потерянные или украденные ПК через 3G». Аппаратные руткиты, встроенные в набор микросхем, могут помочь восстановить украденные компьютеры, удалить данные или сделать их бесполезными, но они также представляют проблемы конфиденциальности и безопасности, связанные с необнаружимым шпионажем и перенаправлением со стороны руководства или хакеров, которые могут получить контроль.

Установка и маскировка

Руткиты используют различные методы для получения контроля над системой; тип руткита влияет на выбор вектора атаки. Наиболее распространенный метод использует уязвимости системы безопасности для тайного повышения привилегий. Другой подход заключается в использовании троянского коня, обманывая пользователя компьютера, заставляя его доверять программе установки руткита как безвредной — в этом случае социальная инженерия убеждает пользователя в полезности руткита.. Задача установки упрощается, если не применяется принцип наименьших привилегий, поскольку руткит не должен явно запрашивать повышенные (уровень администратора) привилегии. Другие классы руткитов могут быть установлены только лицом, имеющим физический доступ к целевой системе. Некоторые руткиты также могут быть намеренно установлены владельцем системы или кем-либо, уполномоченным владельцем, например в целях наблюдения за сотрудниками, что делает такие подрывные методы ненужными.

Установка вредоносных руткитов осуществляется на коммерческой основе с использованием метода компенсации с оплатой за установку (PPI), типичного для распространения.

После установки руткит принимает активные меры, чтобы скрыть свое присутствие в хост-системе посредством подрывной деятельности или обхода стандартных инструментов безопасности операционной системы и API-интерфейсов, используемых для диагностики, сканирования и мониторинга. Руткиты достигают этого, изменяя поведение основных частей операционной системы путем загрузки кода в другие процессы, установки или модификации драйверов или модулей ядра. Методы обфускации включают в себя сокрытие запущенных процессов от механизмов мониторинга системы и сокрытие системных файлов и других данных конфигурации. Нередко руткит отключает возможность ведения журнала событий операционной системы, пытаясь скрыть доказательства атаки. Теоретически руткиты могут нарушить работу любой операционной системы. «Идеальный руткит» можно рассматривать как «совершенное преступление»: преступление, о котором никто не подозревает.

Руткиты также принимают ряд мер для обеспечения их выживания от обнаружения и очистки антивирусным программным обеспечением в дополнение к обычной установке в кольцо 0 (режим ядра), где они имеют полный доступ к системе. К ним относятся полиморфизм, методы скрытности, регенерация и отключение антивирусного программного обеспечения.

Защита

Укрепление системы представляет собой одну из первые уровни защиты от руткита, чтобы предотвратить его установку. Применение исправлений безопасности, реализация принципа наименьших привилегий, уменьшение поверхности атаки и установка антивирусного программного обеспечения — вот некоторые стандартные передовые методы безопасности, которые эффективны против всех классов вредоносных программ.

Новые спецификации безопасной загрузки, такие как Unified Extensible Интерфейс микропрограмм в настоящее время разрабатывается для устранения угрозы буткитов.

Для серверных систем удаленная аттестация серверов с использованием таких технологий, как Intel Trusted Execution Technology (TXT), обеспечивает способ проверки того, что серверы остаются в рабочем состоянии. заведомо хорошее состояние. Например, Microsoft Bitlocker, шифрующий данные в состоянии покоя, проверяет, находятся ли серверы в известном «хорошем состоянии» при загрузке. PrivateCore vCage — это программное обеспечение, которое защищает используемые данные (память), чтобы избежать буткитов и руткитов, путем проверки того, что серверы находятся в заведомо «хорошем» состоянии при загрузке.. Реализация PrivateCore работает совместно с Intel TXT и блокирует интерфейсы серверной системы, чтобы избежать потенциальных буткитов и руткитов.

Обнаружение

Основная проблема с обнаружением руткитов заключается в том, что, если операционная система была взломана, особенно с помощью руткита уровня ядра, нельзя доверять обнаружению несанкционированных модификаций самой себя или ее компонентов. Таким действиям, как запрос списка запущенных процессов или списка файлов в каталоге, нельзя доверять, чтобы они вели себя должным образом. Другими словами, детекторы руткитов, которые работают в зараженных системах, эффективны только против руткитов, которые имеют какой-либо дефект в их маскировке или которые работают с более низкими привилегиями пользовательского режима, чем программное обеспечение обнаружения в ядре. Как и в случае с компьютерными вирусами, обнаружение и устранение руткитов — это постоянная борьба между обеими сторонами этого конфликта.

Обнаружение может включать несколько различных подходов, включая сигнатуры (например, антивирусное программное обеспечение), проверку целостности (например, цифровые подписи), обнаружение различий (сравнение ожидаемых и фактических результатов) и обнаружение поведения (например, мониторинг использования ЦП или сетевого трафика). Для руткитов режима ядра обнаружение значительно сложнее, требуя тщательного изучения таблицы системных вызовов для поиска перехваченных функций, в которых вредоносная программа может подрывать поведение системы, а также криминалистического сканирования памяти на наличие шаблонов, указывающих на скрытые процессы.

Предложения по обнаружению руткитов Unix включают Zeppoo, chkrootkit, rkhunter и OSSEC. Для Windows средства обнаружения включают Microsoft Sysinternals RootkitRevealer, Avast! Антивирус, Sophos Anti-Rootkit, F-Secure, Radix, GMER и WindowsSCOPE. Любые обнаружители руткитов, которые доказали свою эффективность, в конечном итоге способствуют их собственной неэффективности, поскольку авторы вредоносных программ адаптируют и тестируют свой код, чтобы избежать обнаружения хорошо используемыми инструментами.

Обнаружение путем проверки хранилища, в то время как подозрительная операционная система не работает. в рабочем состоянии могут пропустить руткиты, не распознаваемые проверяющим ПО, поскольку руткит неактивен и подозрительное поведение подавляется; обычное антивирусное программное обеспечение, работающее с операционным руткитом, может выйти из строя, если руткит эффективно скрывается.

Альтернативный надежный носитель — лучший и самый надежный метод работы — Обнаружение руткитов на системном уровне заключается в выключении компьютера, подозреваемого в заражении, и последующей проверке его хранилища путем загрузки с альтернативного надежного носителя (например, аварийного компакт-диска или USB-накопителя). Этот метод эффективен, потому что руткит не может активно скрывать свое присутствие, если он не запущен.

Поведенческий — поведенческий подход к обнаружению руткитов пытается сделать вывод о наличии руткита, ища поведение, подобное руткиту. Например, при профилировании системы различия во времени и частоте вызовов API или в общей загрузке ЦП можно отнести к руткиту. Этот метод сложен и ему мешает высокая частота ложных срабатываний. Неисправные руткиты иногда могут вносить очень очевидные изменения в систему: руткит Alureon приводил к сбою систем Windows после того, как обновление безопасности выявило конструктивный недостаток в его коде.

Журналы анализатора пакетов, брандмауэра или системы предотвращения вторжений система может предоставить доказательства поведения руткитов в сетевой среде.

На основе сигнатур — антивирусные продукты редко обнаруживают все вирусы в общедоступных тестах (в зависимости от того, что используется и в какой степени), даже несмотря на то, что поставщики программного обеспечения безопасности включают обнаружение руткитов в свои продукты. Если руткит попытается скрыться во время антивирусной проверки, детектор невидимости может заметить; если руткит пытается временно выгрузить себя из системы, обнаружение сигнатуры (или «снятие отпечатков пальцев») все равно может его найти. Такой комбинированный подход вынуждает злоумышленников применять механизмы контратаки или «ретро» процедуры, которые пытаются завершить работу антивирусных программ. Методы обнаружения на основе сигнатур могут быть эффективны против хорошо опубликованных руткитов, но в меньшей степени против специально созданных руткитов с настраиваемым корневым доступом.

На основе различий — другой метод который может обнаруживать руткиты, сравнивает «доверенные» необработанные данные с «испорченным» контентом, возвращаемым API. Например, двоичные файлы, присутствующие на диске, можно сравнить с их копиями в оперативной памяти (в некоторых операционных системах образ в памяти должен быть идентичен образу на диске), или результаты, возвращенные из файловой системы или API реестра Windows, могут проверяться на соответствие необработанным структурам на базовых физических дисках — однако в первом случае некоторые допустимые различия могут быть внесены с помощью механизмов операционной системы, таких как перемещение памяти или шиммирование. Руткит может обнаруживать наличие такого сканера на основе различий или виртуальной машины (последняя обычно используется для выполнения криминалистического анализа) и корректировать его поведение так, чтобы не было возможности обнаружить различия. Инструмент Руссиновича RootkitRevealer использовал обнаружение на основе различий для поиска руткита Sony DRM.

Проверка целостности — утилита rkhunter использует хэши SHA-1 для проверки целостности системных файлов. Подпись кода использует инфраструктуру открытого ключа, чтобы проверить, был ли файл изменен с момента подписания цифровой подписью его издателем. В качестве альтернативы, владелец системы или администратор может использовать криптографическую хэш-функцию для вычисления «отпечатка пальца» во время установки, который может помочь обнаружить последующие несанкционированные изменения в библиотеках кода на диске. Однако простые схемы проверяют только то, был ли код изменен с момента установки; подрывная деятельность до этого времени не обнаруживается. Отпечаток пальца необходимо восстанавливать каждый раз при внесении изменений в систему: например, после установки обновлений безопасности или пакета обновления. Хеш-функция создает дайджест сообщения, относительно короткий код, вычисляемый из каждого бита в файле с использованием алгоритма, который создает большие изменения в дайджесте сообщения с еще меньшими изменениями в исходном файле. Регулярно пересчитывая и сравнивая дайджест сообщений установленных файлов с доверенным списком дайджестов сообщений, можно обнаруживать и отслеживать изменения в системе — при условии, что исходный базовый уровень был создан до добавления вредоносной программы. Более сложные руткиты могут помешать процессу проверки, представляя неизмененную копию файла для проверки или внося изменения в код только в памяти, а не на диске. Таким образом, этот метод может быть эффективным только против простых руткитов — например, тех, которые заменяют двоичные файлы Unix, такие как «ls», чтобы скрыть присутствие файла.

Точно так же обнаружение во встроенном ПО может быть достигнуто с помощью вычислений. криптографический хэш микропрограммного обеспечения и сравнение его с белым списком ожидаемых значений или путем расширения хеш-значения в регистры конфигурации доверенного платформенного модуля (TPM), которые позже сравниваются с белым списком ожидаемых значений. Код, который выполняет операции хеширования, сравнения или расширения, также должен быть защищен — в этом контексте понятие неизменяемого корня доверия гласит, что самому первому коду для измерения свойств безопасности системы следует доверять, чтобы гарантировать, что руткит или буткит не ставит под угрозу систему на самом фундаментальном уровне.

Дампы памяти — принудительный полный дамп виртуальной памяти захватит активный руткит (или дамп ядра в случае руткита режима ядра), позволяющий выполнять автономный криминалистический анализ с помощью отладчика полученного файла дампа, при этом руткит не может принимать какие-либо меры для маскировки. Этот метод является узкоспециализированным и может потребовать доступа к закрытому исходному коду или отладочным символам. Дамп памяти, инициируемый операционной системой, не всегда может быть использован для обнаружения руткита на основе гипервизора, который способен перехватывать и подавлять попытки чтения памяти самого низкого уровня — аппаратное устройство, такое как устройство, реализующее немаскируемое прерывание, в этом сценарии может потребоваться сброс памяти.

Вернуться к руководству



Что такое руткит?

Руткиты — это вредоносное ПО, которое дает хакерам полные права администратора вашего ПК. Это помогает хакерам изменять или изменять системные настройки или файлы так, как это может делать администратор. Он создает бэкдор для входа других пользователей и обеспечивает полный доступ к системе.

Что такое руткит?

Руткит является производным от два слова Root и Kit. Корень называется учетной записью пользователя с полным доступом в операционных системах на базе Unix.. А слово Kit представляет собой набор инструментов. Означает набор инструментов для доступа к учетной записи root.

Изначально руткит разрабатывался как легитимное программное обеспечение. Разработчики операционной системы намеревались использовать ее в качестве бэкдор-доступа для исправления программных проблем на более позднем этапе. К сожалению, сейчас руткит в основном используется для незаконных действий, таких как взлом.

Злоумышленники могут внедрить руткит в поддельное программное обеспечение для входа в вашу систему или могут напрямую атаковать операционную систему и установить руткит после получения доступа к учетной записи администратора. Их основная цель — получить доступ к системе без блокировки и обнаружения. Руткит помогает им в этом.

Руткит дает полные права доступа, что означает, что они могут даже изменить программу, которая должна его улавливать, чтобы она могла скрыться на виду. Ваш антивирус сообщит вам, что все в порядке, а хакеры могут получить доступ к вашей системе.

Первые руткиты

Считается, что первый руткит был написан в 1990 году Лэйном Дэвисом и Райли Дэйк. Он был написан для операционной системы Sun, основанной на архитектуре Unix. Первым общедоступным руткитом для Windows был NTRootkit, который появился в 1999 году и был написан Грегом Хоглундом. Первый руткит для Mac OS появился в 2009 году.

С момента появления первого руткита было разработано несколько расширенных руткитов.

Почему он используется?

Руткит в основном используется для злонамеренных действий, таких как кража конфиденциальной информации, такой как пароль и данные кредитной карты. Он также используется для повышения безопасности компьютерной системы пользователями.

В отрицательном смысле —

  • Руткиты используются для получения полной доступ к системе кражи информации. Он обходит стандартный механизм аутентификации и обеспечивает хакеру доступ через черный ход.
  • Его можно использовать для планирования атаки на другую компьютерную систему и использования зараженной системы в качестве компьютера-зомби. Киберпреступник делает это, чтобы не быть пойманным после нападения. Зараженный компьютер может стать участником массивного ботнета, который может запустить несколько атак.
  • Руткиты также могут использоваться для сокрытия других вредоносных программ, таких как клавиатурные шпионы и шпионское ПО. Он может изменить ваш антивирус, чтобы он их не ловил. Он даже скрывает процесс и службы.
  • Его можно использовать, чтобы скрыть большое количество незаконных файлов на вашем компьютере без вашего ведома.
  • Руткиты могут использоваться для скрыть читерскую активность в онлайн-игре.
  • Он также используется для обхода активации продукта Microsoft.

Положительно —

  • Руткиты используются для принудительного управления цифровыми правами (DRM). Он предотвращает копирование, изменение и распространение цифрового контента, такого как программное обеспечение, игры, фильмы и музыку.
  • Его можно использовать для обнаружения атак или для заманивания киберпреступников.
  • Он используется для повышения безопасности программного обеспечения. Например, программное обеспечение безопасности может использовать руткиты для мониторинга активности системы.
  • Руткиты используются для защиты от кражи. Он предоставляет владельцу бэкдор для доступа, поиска и удаления информации в случае кражи устройства.

Типы руткитов

Есть несколько типы руткитов, которые имеют разное назначение.

Руткиты приложений

Такие руткиты работают на уровне приложений. Они предназначены для замены файлов приложения на их изменение. Он также может вводить код в приложения, чтобы изменить их поведение.

Руткиты ядра

Такие руткиты работают с наивысшими системными привилегиями. Они могли добавлять или заменять основные системные файлы. Такие руткиты трудно обнаружить, поскольку они могут изменить почти все, чтобы избежать обнаружения.

Bootkits

Он изменяет запуск операционной системы, изменяя MBR, VBR или загрузочный сектор. Bootkit используется для загрузки руткита перед запуском операционной системы. Он также работает на уровне ядра и может использоваться для доступа к устройствам полнодискового шифрования.

Руткиты памяти

Руткиты памяти работают из системной памяти. Такие руткиты выполняют загрузку из ОЗУ и прячутся там, чтобы избежать обнаружения.

Прошивки и аппаратные руткиты

Такие руткиты используют для атаки прошивку или оборудование. Это может быть в BIOS, сетевой карте или маршрутизаторе. Коды прошивки обычно не проверяются на заражение, и именно так они избегают обнаружения. Такие руткиты трудно удалить, поскольку они возвращаются даже после переустановки операционной системы. Только обнаружение оборудования и его замена — это решение.

Как руткиты входят в вашу систему?

Руткиты используют несколько стратегий для входа в вашу систему. Злоумышленник может использовать уязвимость системы, заманить вас поддельным ПО или установить руткиты физически.

Использование уязвимости системы

Хакеры используют уязвимость системы безопасности, чтобы заразить компьютер пользователя. Эта уязвимость может быть в операционной системе или приложениях. Чтобы защитить себя, всегда устанавливайте исправления безопасности и обновления для своей ОС и приложений.

Использование троянского коня

Злоумышленники могут использовать троянского коня для проникновения в вашу систему. Они могут обмануть руткит как законное программное обеспечение, имеющее уникальные преимущества. Хакеры используют методы социальной инженерии, чтобы заразить пользователей этим методом. Чтобы избежать заражения, мы не должны устанавливать программное обеспечение из ненадежных источников.

5 лучших средств удаления троянских программ

Физическое заражение

Злоумышленники могут заразить ваш компьютер руткитами, если у них будет физический доступ к вашему устройству. Такие методы используются для развертывания руткитов и буткитов ядра.

В некоторых случаях установка производится самим владельцем руткиты на своем устройстве для выполнения некоторых задач, таких как наблюдение за сотрудниками.

Методы обнаружения

Поскольку обнаружение руткитов непросто, можно использовать несколько методов одновременно чтобы поймать виновного.

Как работает антивирус?

Поведенческий анализ

В этом методе , поведение программ анализируется, и если они выполняют такие действия, как руткиты, они обнаруживаются. Действие отображает изменение системных файлов, различия во времени и частоте вызовов API или общую загрузку ЦП.

Анализ сигнатуры

Антивирус анализирует сигнатуру программ и обнаруживает руткиты, если его сигнатура совпадает с базой данных. собственные и хорошо опубликованные руткиты, но не будут работать, если руткит новый и изготовлен по индивидуальному заказу.

Анализ различий

В этом методе разница в данные, возвращаемые API, рассчитываются. Он проверяет разницу между надежными необработанными данными и испорченным контентом. Такой механизм использовался в программе Руссиновича RootkitRevealer. Он использовался для обнаружения руткита Sony DRM.

Проверка целостности

Этот метод проверяет системные файлы на наличие изменений с момента установки. Криптографическая хэш-функция может использоваться для создания отпечатка пальца во время установки, и это помогает узнать, когда происходит изменение системы. Отпечаток пальца необходимо воссоздать в случае обновления системы.

Загрузка на другом носителе

Этот метод обнаружения надежен в случае руткитов ядра, которые загружаются раньше операционная система загружается. Это делается путем загрузки с другого носителя и последующего анализа хранилища на наличие руткитов. Этот метод отлично работает, потому что руткиты не могут скрыться, если он не запущен.

Наборы для удаления руткитов

Наборы для удаления руткитов

Ниже приведены несколько простых в использовании инструментов для удаления руткитов.

1. Malwarebytes Anti-Rootkit Beta

Malwarebytes Anti-Rootkit beta — это специально разработанный инструмент для удаления руткитов. Он удаляет руткиты, а также устраняет повреждения. Он отлично работает и удаляет глубоко встроенные руткиты.

2. Kaspersky TDSSKiller

TDSSKiller — бесплатный инструмент, разработанный известной лабораторией Касперского. Этот инструмент только обнаруживает и удаляет руткиты. Он не поможет удалить другие вредоносные программы. TDSSKiller удаляет буткиты, вредоносное ПО Win32.TDSS и несколько других руткитов.

3. chkrootkit

chkrootkit — это средство защиты от руткитов для операционной системы Linux. В нем есть несколько инструментов, которые локально проверяют наличие руткита в системе.

4. MalwareFox

Антивредоносное ПО MalwareFox использует метод сигнатурного и поведенческого анализа для обнаружения вредоносных программ, включая руткиты. Это легкое и простое в использовании средство защиты от вредоносных программ.

Загрузите MalwareFox Anti-Malware Проверьте свое устройство на наличие руткитов прямо сейчас!
Оцените статью
logicle.ru
Добавить комментарий