Rootkits kan kallas den mest tekniskt sofistikerade formen av skadlig kod (skadlig kod) och en av de svåraste att upptäcka och eliminera. Av alla typer av skadlig kod får antagligen virus och maskar mest publicitet eftersom de i allmänhet är utbredda. Det är känt att många människor har drabbats av ett virus eller en mask, men det betyder definitivt inte att virus och maskar är den mest skadliga skadliga skadliga programvaran. Det finns farligare typer av skadlig programvara, eftersom de som regel arbetar i stealth-läge, är svåra att upptäcka och ta bort och kan gå obemärkt under mycket långa perioder, tyst få tillgång, stjäla data och ändra filerna på offrets maskin .
Ett exempel på en sådan stealthly fiende är rootkits - en samling verktyg som kan ersätta eller ändra körbara program, eller till och med själva operativsystemets kärna, för att få administratörsnivååtkomst till systemet, som kan användas för att installera spyware, keyloggers och andra skadliga verktyg. I grunden tillåter en rootkit en angripare att få fullständig åtkomst över offrets maskin (och eventuellt hela nätverket som maskinen tillhör). En av de kända användningarna av en rootkit som orsakade betydande förluster / skador var stöld av källkoden till Valves Half-Life 2: Source-spelmotor.
Rootkits är inte något nytt - de har funnits i åratal och är kända för att ha skapat olika operativsystem (Windows, UNIX, Linux, Solaris, etc.). Om det inte var för en eller två massa händelser av rootkit-incidenter (se avsnittet Berömda exempel), som väckte allmänhetens uppmärksamhet åt dem, kan de återigen ha undkommit medvetenhet, utom av en liten krets av säkerhetspersonal. Från idag har rootkits inte släppt ut sin fulla förstörande potential eftersom de inte är lika spridda som andra former av skadlig programvara. Detta kan emellertid vara av liten komfort.
Rootkit-mekanismer exponerade
I likhet med trojanska hästar, virus och maskar, installerar rootkits sig genom att utnyttja brister i nätverkssäkerheten och operativsystemet, ofta utan användarinteraktion. Även om det finns rootkits som kan komma som en e-postbilaga eller i ett bunt med ett legitimt program är de ofarliga tills användaren öppnar bilagan eller installerar programmet. Men till skillnad från mindre sofistikerade former av skadlig kod, infiltrerar rootkits mycket djupt i operativsystemet och gör speciella ansträngningar för att dölja deras närvaro - till exempel genom att modifiera systemfiler.
I grund och botten finns det två typer av rootkits: rootkits för kärnnivå och rootkits på applikationsnivå. Rootkits för kärnnivå lägger till kod till eller modifierar operativsystemets kärna. Detta uppnås genom att installera en enhetsdrivrutin eller en lastbar modul, som ändrar systemsamtal för att dölja en angripares närvaro. Således, om du tittar i dina loggfiler, ser du ingen misstänkt aktivitet på systemet. Rootkits för applikationsnivåer är mindre sofistikerade och är i allmänhet lättare att upptäcka eftersom de modifierar körbarheten för applikationer snarare än själva operativsystemet. Eftersom Windows 2000 rapporterar varje ändring av en körbar fil till användaren, gör det det svårare för angriparen att gå obemärkt.
Varför rootkits utgör en risk
Rootkits kan fungera som en bakdörr och är vanligtvis inte ensamma i sitt uppdrag - de åtföljs ofta av spionprogram, trojanhästar eller virus. Målen med en rootkit kan variera från enkel ondskefull glädje genom att tränga in i någon annans dator (och dölja spåren av utländsk närvaro), till att bygga ett helt system för olagligt att erhålla konfidentiella uppgifter (kreditkortsnummer eller källkod som för hälften -Life 2).
Generellt sett är rootkits på applikationsnivå mindre farliga och lättare att upptäcka. Men om programmet du använder för att hålla reda på din ekonomi, blir "patched" av en rootkit, kan den monetära förlusten vara betydande - dvs. en angripare kan använda dina kreditkortsdata för att köpa ett par artiklar och om du inte gör det t märker misstänkt aktivitet på ditt kreditkortsaldo i rätt tid, det är troligt att du aldrig kommer att se pengarna igen.
Jämfört med rootkits på kärnnivåer ser rootkits på applikationsnivå söta och ofarliga. Varför? Eftersom i teorin, en kärnnivå rootkit öppnar alla dörrar till ett system. När dörrarna är öppna kan andra former av skadlig programvara sedan glida in i systemet. Att ha en kärnnivå rootkit-infektion och inte kunna upptäcka och ta bort den lätt (eller alls, som vi kommer att se nästa) innebär att någon annan kan ha full kontroll över din dator och kan använda den på något sätt han eller hon vill - till exempel att initiera en attack på andra maskiner, göra intrycket att attacken härstammar från din dator och inte någon annanstans.
Upptäckt och borttagning av rootkits
Inte för att andra typer av skadlig programvara är lätta att upptäcka och ta bort, men rootkits för kärnnivåer är en speciell katastrof. På ett sätt är det en Catch 22 - om du har en rootkit, kommer de systemfiler som krävs av anti-rootkit-programvaran troligen att ändras och därför kan resultaten av kontrollen inte lita på. Vad mer är, om ett rootkit körs, kan det framgångsrikt ändra listan med filer eller listan med körprocesser som antivirusprogram litar på och därmed ge falska data. Dessutom kan ett körande rootkit helt enkelt lossa antivirusprogramprocesser från minnet, vilket gör att applikationen stängs av eller avslutas oväntat. Men genom att göra detta visar det indirekt sin närvaro, så man kan bli misstänksam när något går fel, särskilt med programvara som upprätthåller systemsäkerhet.
Ett rekommenderat sätt att upptäcka närvaron av ett rootkit är att starta från ett alternativt media, som är känt för att vara rent (dvs. en säkerhetskopia eller rädda CD-ROM) och kontrollera det misstänkta systemet. Fördelen med den här metoden är att rootkit inte körs (därför kommer det inte att kunna dölja sig) och systemfilerna kommer inte att manipuleras aktivt.
Det finns sätt att upptäcka och (försöka) ta bort rootkits. Ett sätt är att ha rena MD5-fingeravtryck av de ursprungliga systemfilerna för att jämföra de nuvarande systemfilernas fingeravtryck. Denna metod är inte särskilt tillförlitlig, men är bättre än ingenting. Att använda en kärnfelsökare är mer pålitlig, men det kräver djup kunskap om operativsystemet. Till och med majoriteten av systemadministratörer kommer sällan att ta tillvara det, särskilt när det finns gratis bra program för att upptäcka rootkit, som Marc Russinovichs RootkitRevealer. Om du går till hans webbplats hittar du detaljerade instruktioner om hur du använder programmet.
Om du upptäcker ett rootkit på din dator är nästa steg att bli av med den (lättare sagt än gjort). Med vissa rootkits är borttagning inte ett alternativ, såvida du inte vill ta bort hela operativsystemet också! Den mest uppenbara lösningen - att ta bort infekterade filer (förutsatt att du vet vilka exakt som är cloaked) är absolut inte tillämpligt när viktiga systemfiler är berörda. Om du tar bort dessa filer är chansen stor att du aldrig kommer att kunna starta Windows igen. Du kan prova ett par rootkit-borttagningsapplikationer, som UnHackMe eller F-Secure BlackLight Beta, men räkna inte med dem för mycket för att kunna ta bort skadedjuret på ett säkert sätt.
Det kanske låter som chockterapi, men det enda beprövade sättet att ta bort en rootkit är genom att formatera hårddisken och installera om operativsystemet igen (från ett rent installationsmedium, naturligtvis!). Om du har en aning om var du har fått rootkit från (var det med i ett annat program, eller har någon skickat den till dig via e-post?), Tänk inte ens på att köra eller inte säga infektionskällan igen!
Kända exempel på rootkits
Rootkits har varit i stealthy användning i flera år, men bara fram till förra året när de gjorde sitt uppträdande i nyhetsrubriker. Fallet med Sony-BMG med deras Digital Right Management (DRM) -teknologi som skyddade obehörig CD-kopiering genom att installera en rootkit på användarens maskin väckte skarp kritik. Det fanns stämningar och en brottsutredning. Sony-BMG var tvungen att dra tillbaka sina CD-skivor från butikerna och ersätta de inköpta kopiorna med rena, enligt ärendet. Sony-BMG anklagades för att i hemlighet ha lockat systemfiler i ett försök att dölja närvaron av kopieringsskyddsprogrammet som också användes för att skicka privata data till Sonys webbplats. Om programmet avinstallerades av användaren, blev CD-enheten inoperabel. I själva verket kränkte detta upphovsrättsskyddsprogram alla integritetsrättigheter, använde olagliga tekniker som är typiska för den här typen av skadlig programvara, och framför allt lämnade offrets dator sårbar för olika attackstammar. Det var typiskt för ett stort företag, till exempel Sony-BMG, att gå den arroganta vägen först genom att säga att om de flesta inte visste vad en rootkit var, och varför skulle de bry sig om att de hade en. Tja, om det inte hade funnits några killar som Mark Roussinovich, som var den första som ringde på klockan om Sonys rootkit, kunde tricket ha fungerat och miljoner datorer skulle ha smittats - ett helt globalt brott i det påstådda försvaret för ett företags intellektuella fast egendom!
Liknande fallet med Sony, men när det inte var nödvändigt att vara ansluten till Internet, är fallet med Norton SystemWorks. Det är sant att båda fallen inte kan jämföras ur en etisk eller teknisk synvinkel eftersom Nortons rootkit (eller rootkit-liknande teknik) ändrar Windows-systemfiler för att rymma Norton Protected Recycle Bin, men Norton kan knappast anklagas för skadliga avsikter att begränsa användarens rättigheter eller att dra nytta av rootkit, som är fallet med Sony. Syftet med cloaking var att dölja för alla (användare, administratörer, etc.) och allt (andra program, Windows själv) en säkerhetskatalog med filer som användare har tagit bort, och som senare kan återställas från den här säkerhetskatalogen. Funktionen för den skyddade papperskorgen var att lägga till ytterligare ett säkerhetsnät mot snabba fingrar som först raderar och sedan tänker om de har tagit bort de rätta filerna, vilket ger ett ytterligare sätt att återställa filer som har tagits bort från papperskorgen ( eller som har gått förbi papperskorgen).
Dessa två exempel är knappast de allvarligaste fallen av rootkit-aktivitet, men de är värda att nämna eftersom det genom att väcka uppmärksamhet på dessa specifika fall drogs allmänintresse till rootkits som en helhet. Förhoppningsvis vet fler nu inte bara vad en rootkit är, utan bryr sig om de har en och kan upptäcka och ta bort dem!
