Rootkits kan kalles den mest teknisk sofistikerte formen for ondsinnet kode (malware) og en av de vanskeligste å oppdage og eliminere. Av alle typer skadelig programvare får antageligvis virus og ormer mest omtale fordi de generelt er utbredt. Mange mennesker er kjent for å ha blitt rammet av et virus eller en orm, men dette betyr definitivt ikke at virus og ormer er den mest ødeleggende malware av. Det er farligere typer skadelig programvare, fordi de som regel opererer i stealth-modus, er vanskelige å oppdage og fjerne og kan gå upåaktet hen i veldig lange perioder, stille å få tilgang, stjele data og endre filene på offerets maskin .
Et eksempel på en slik stealthly fiende er rootkits - en samling verktøy som kan erstatte eller endre kjørbare programmer, eller til og med kjernen i selve operativsystemet, for å få administratornivå tilgang til systemet, som kan brukes til å installere spyware, keyloggers og andre ondsinnede verktøy. I hovedsak tillater et rotkit en angriper å få full tilgang over offerets maskin (og muligens for hele nettverket maskinen tilhører). En av de kjente bruksområdene til et rotkit som forårsaket betydelig tap / skade, var tyveri av kildekoden til Valves Half-Life 2: Source-spillmotor.
Rootkits er ikke noe nytt - de har eksistert i mange år, og er kjent for å ha utført forskjellige operativsystemer (Windows, UNIX, Linux, Solaris, etc.). Hvis det ikke var for en eller to masseforekomster av rootkit-hendelser (se avsnittet Berømte eksempler), som vakte oppmerksomheten mot dem, kan de igjen ha sluppet unna bevissthet, bortsett fra en liten krets av sikkerhetsfolk. Per i dag har ikke rootkits sluppet løs sitt fulle ødeleggende potensial, siden de ikke er like vidt spredt som andre former for skadelig programvare. Imidlertid kan dette være lite trøst.
Rootkit-mekanismer utsatt
I likhet med trojanske hester, virus og ormer, installerer rootkits seg ved å utnytte feil i nettverkssikkerheten og operativsystemet, ofte uten brukerinteraksjon. Selv om det er rootkits som kan komme som et e-postvedlegg eller i en bunt med et legitimt program, er de ufarlige til brukeren åpner vedlegget eller installerer programmet. Men i motsetning til mindre sofistikerte former for skadelig programvare, infiltrerer rootkits veldig dypt inn i operativsystemet og gjør spesielle anstrengelser for å skjule deres tilstedeværelse - for eksempel ved å endre systemfiler.
I utgangspunktet er det to typer rootkits: rootkits av kernenivå og rootkits for applikasjonsnivå. Rootkits av kjernenivå legger til kode til eller modifiserer kjernen i operativsystemet. Dette oppnås ved å installere en enhetsdriver eller en lastbar modul, som endrer systemanrop for å skjule tilstedeværelsen av en angriper. Så hvis du ser i loggfilene dine, vil du ikke se noen mistenkelig aktivitet på systemet. Rootkits for applikasjonsnivå er mindre sofistikerte og er generelt lettere å oppdage fordi de endrer kjørbare programmer, i stedet for selve operativsystemet. Siden Windows 2000 rapporterer alle endringer av en kjørbar fil til brukeren, gjør det det vanskeligere for angriperen å gå upåaktet hen.
Hvorfor rotkits utgjør en risiko
Rootkits kan fungere som en bakdør og er vanligvis ikke alene om sitt oppdrag - de er ofte ledsaget av spionprogrammer, trojanske hester eller virus. Målene med et rootkit kan variere fra enkel ondsinnet glede ved å trenge gjennom andres datamaskin (og skjule sporene etter utenlandsk tilstedeværelse), til å bygge et helt system for ulovlig innhenting av konfidensielle data (kredittkortnummer eller kildekode som for halvparten -Life 2).
Generelt er rootkits på applikasjonsnivå mindre farlige og enklere å oppdage. Men hvis programmet du bruker for å holde oversikt over økonomien din, blir "oppdatert" av en rootkit, kan det økonomiske tapet være betydelig - dvs. en angriper kan bruke kredittkortsdataene dine til å kjøpe et par varer, og hvis du ikke Hvis du ikke legger merke til mistenkelig aktivitet på kredittkortbalansen din i rett tid, er det mest sannsynlig at du aldri vil se pengene igjen.
Sammenlignet med rootkits på kjernenivå, ser rootkits på applikasjonsnivå søte og ufarlige. Hvorfor? Fordi i teorien åpner et kjernenivå rootkit alle dører til et system. Når dørene er åpne, kan andre former for malware skli inn i systemet. Å ha en rootkit-infeksjon på et kjernenivå og ikke kunne oppdage og fjerne den lett (eller i det hele tatt, som vi vil se neste), betyr at noen andre kan ha full kontroll over datamaskinen din og kan bruke den på noen måte han eller hun vil - for eksempel å sette i gang et angrep på andre maskiner, gjøre inntrykk av at angrepet stammer fra datamaskinen din, og ikke fra et annet sted.
Påvisning og fjerning av røttesett
Ikke at andre typer malware er enkle å oppdage og fjerne, men rootkits på kjernenivå er en spesiell katastrofe. På en måte er det en Catch 22 - hvis du har et rootkit, er det sannsynlig at systemfilene som trengs av anti-rootkit-programvaren, vil bli endret, og resultatene av sjekken kan ikke klareres. Hva mer, hvis et rootkit kjører, kan det lykkes med å endre listen over filer eller listen over kjørende prosesser som antivirusprogrammer er avhengige av, og dermed gi falske data. Et rootkit som kjører kan bare laste ned antivirusprogramprosesser fra minnet, noe som får applikasjonen til å avslutte eller avslutte uventet. Ved å gjøre dette viser den imidlertid indirekte sin tilstedeværelse, slik at man kan bli mistenksom når noe går galt, spesielt med programvare som opprettholder systemsikkerhet.
En anbefalt måte å oppdage tilstedeværelsen av et rootkit er å starte opp fra et alternativt medium, som er kjent for å være rent (dvs. en sikkerhetskopi eller redde CD-ROM) og sjekke det mistenkelige systemet. Fordelen med denne metoden er at rootkit ikke kjører (derfor vil det ikke være i stand til å skjule seg) og systemfilene vil ikke bli tuklet aktivt.
Det er måter å oppdage og (prøve å) fjerne rootkits på. En måte er å ha rene MD5-fingeravtrykk av de originale systemfilene for å sammenligne de gjeldende systemfilene fingeravtrykk. Denne metoden er ikke veldig pålitelig, men er bedre enn ingenting. Å bruke en kjernefeiling er mer pålitelig, men det krever inngående kunnskap om operativsystemet. Selv flertallet av systemadministratorer vil sjelden ty til det, spesielt når det er gratis gode programmer for å oppdage rootkit, som Marc Russinovichs RootkitRevealer. Hvis du går til nettstedet hans, vil du finne detaljerte instruksjoner om hvordan du bruker programmet.
Hvis du oppdager et rootkit på datamaskinen din, er neste trinn å bli kvitt den (lettere sagt enn gjort). Med noen rootkits er ikke fjerning et alternativ, med mindre du også vil fjerne hele operativsystemet! Den mest åpenbare løsningen - å slette infiserte filer (forutsatt at du vet hvilke som nøyaktig er tilslørt) er absolutt ikke anvendelig når viktige systemfiler er opptatt. Hvis du sletter disse filene, er sjansen stor for at du aldri vil kunne starte opp Windows igjen. Du kan prøve et par fjerningsprogrammer for rootkit, som UnHackMe eller F-Secure BlackLight Beta, men ikke stole på dem for mye for å kunne fjerne skadedyret på en sikker måte.
Det kan høres ut som sjokkterapi, men den eneste velprøvde måten å fjerne et rootkit er ved å formatere harddisken og installere operativsystemet på nytt (selvfølgelig fra et rent installasjonsmedium!). Hvis du har en anelse om hvor du har fått rootkit fra (ble det samlet i et annet program, eller har noen sendt det til deg via e-post?), Ikke engang tenke på å løpe eller ikke fortelle smittekilden igjen!
Kjente eksempler på røtter
Rootkits har vært i stealthy bruk i mange år, men bare fram til i fjor da de kom til syne i nyhetsoverskrifter. Saken om Sony-BMG med deres Digital Right Management (DRM) -teknologi som beskyttet uautorisert CD-kopiering ved å installere et rootkit på brukerens maskin fremprovoserte skarp kritikk. Det var søksmål og en straffesak. Sony-BMG måtte trekke CD-ene fra butikkene og erstatte de innkjøpte kopiene med rene, ifølge saksoppgjøret. Sony-BMG ble anklaget for å ha hemmeligholdt systemfiler i et forsøk på å skjule tilstedeværelsen av kopibeskyttelsesprogrammet som også brukes til å sende private data til Sonys side. Hvis programmet ble avinstallert av brukeren, ble CD-stasjonen ubrukelig. Faktisk krenket dette opphavsrettsbeskyttelsesprogrammet alle personvernrettigheter, benyttet seg av ulovlige teknikker som er typiske for denne typen skadelig programvare, og fremfor alt forlot offerets datamaskin sårbar for forskjellige angrepstenner. Det var typisk for et stort selskap, som Sony-BMG, å gå den arrogante veien først ved å si at hvis de fleste ikke visste hva en rotkit var, og hvorfor ville de bry seg om at de hadde en. Hvis det ikke hadde vært noen karer som mark Roussinovich, som var den første som ringte på klokka om Sonys rotkit, kunne trikset virket og millioner av datamaskiner ville blitt smittet - ganske et globalt lovbrudd i det angivelige forsvaret av et selskaps intellektuelle eiendom!
I likhet med saken med Sony, men når det ikke var nødvendig å være koblet til Internett, er tilfellet med Norton SystemWorks. Det er riktig at begge tilfeller ikke kan sammenlignes fra etisk eller teknisk synspunkt, fordi mens Nortons rootkit (eller rootkit-lignende teknologi) modifiserer Windows-systemfiler for å imøtekomme Norton Protected papirkurven, kan Norton knapt beskyldes for ondsinnede intensjoner om å begrense brukers rettigheter eller å dra nytte av rootkit, som tilfellet er med Sony. Hensikten med tildekking var å skjule for alle (brukere, administratorer osv.) Og alt (andre programmer, Windows selv) en sikkerhetskopikatalog over filer som brukere har slettet, og som senere kan gjenopprettes fra denne sikkerhetskopikatalogen. Funksjonen til den beskyttede papirkurven var å legge til enda et sikkerhetsnett mot raske fingre som først sletter og deretter tenker om de har slettet de riktige filene, noe som gir en ekstra måte å gjenopprette filer som er blitt slettet fra papirkurven ( eller som har omgått papirkurven).
Disse to eksemplene er neppe de alvorligste tilfellene med rootkit-aktivitet, men de er verdt å nevne fordi ved å tiltrekke oppmerksomhet til disse spesielle tilfellene, ble allmenn interesse interessert for rootkits som en helhet. Forhåpentligvis vet nå flere ikke bare hva en rotkit er, men bryr seg om de har en, og kan oppdage og fjerne dem!
