Руткиты можно назвать наиболее технически сложной формой вредоносного кода (вредоносного ПО) и одной из самых сложных для обнаружения и устранения. Из всех типов вредоносных программ, вероятно, вирусы и черви получают наибольшую известность, потому что они обычно широко распространены. Известно, что многие люди пострадали от вируса или червя, но это определенно не означает, что вирусы и черви являются наиболее разрушительным вредоносным ПО. Существуют более опасные типы вредоносных программ, потому что, как правило, они работают в скрытом режиме, их трудно обнаружить и удалить, и они могут оставаться незамеченными в течение очень длительного периода времени, молча получая доступ, крадя данные и изменяя файлы на компьютере жертвы.,
Примером такого скрытого врага являются руткиты - набор инструментов, которые могут заменять или изменять исполняемые программы или даже ядро самой операционной системы, чтобы получить доступ к системе на уровне администратора, который может использоваться для установки шпионское ПО, клавиатурные шпионы и другие вредоносные инструменты. По сути, руткит позволяет злоумышленнику получить полный доступ к машине жертвы (и, возможно, ко всей сети, к которой принадлежит машина). Одним из известных применений руткита, который вызвал значительные потери / повреждения, была кража исходного кода игрового движка Half-Life 2: Source от Valve.
Руткиты не являются чем-то новым - они существуют уже много лет и, как известно, влияют на различные операционные системы (Windows, UNIX, Linux, Solaris и т. Д.). Если бы не один или два массовых инцидента с руткитами (см. Раздел «Известные примеры»), которые привлекли к ним внимание общественности, они могли бы снова избежать осведомленности, за исключением небольшого круга специалистов по безопасности. На сегодняшний день руткиты не раскрыли весь свой разрушительный потенциал, поскольку они не так широко распространены, как другие формы вредоносного ПО. Однако это может быть мало утешительно.
Механизмы руткитов
Подобно троянским коням, вирусам и червям, руткиты устанавливаются самостоятельно, используя уязвимости в сетевой безопасности и операционной системе, часто без вмешательства пользователя. Хотя существуют руткиты, которые могут поставляться в виде вложений электронной почты или в комплекте с легальными программами, они безвредны, пока пользователь не откроет вложение или не установит программу. Но в отличие от менее сложных форм вредоносного ПО, руткиты очень глубоко проникают в операционную систему и прилагают особые усилия, чтобы скрыть свое присутствие, например, путем изменения системных файлов.
По сути, существует два типа руткитов: руткиты уровня ядра и руткиты уровня приложения. Руткиты уровня ядра добавляют код или изменяют ядро операционной системы. Это достигается путем установки драйвера устройства или загружаемого модуля, который изменяет системные вызовы, чтобы скрыть присутствие злоумышленника. Таким образом, если вы заглянете в свои файлы журнала, вы не увидите подозрительных действий в системе. Руткиты уровня приложений менее сложны и, как правило, их легче обнаружить, поскольку они изменяют исполняемые файлы приложений, а не саму операционную систему. Поскольку Windows 2000 сообщает о каждом изменении исполняемого файла пользователю, злоумышленнику становится труднее оставаться незамеченным.
Почему руткиты представляют риск
Руткиты могут выступать в роли бэкдора и обычно не одиноки в своей миссии - их часто сопровождают шпионские программы, троянские кони или вирусы. Цели руткита могут варьироваться от простой злонамеренной радости проникновения на чужой компьютер (и скрытия следов иностранного присутствия) до создания целой системы для незаконного получения конфиденциальных данных (номеров кредитных карт или исходного кода, как в случае с Half -Жизни 2).
Как правило, руткиты уровня приложения менее опасны и их легче обнаружить. Но если программа, которую вы используете для отслеживания своих финансов, получает «исправление» с помощью руткита, то денежные потери могут быть значительными - т. Е. Злоумышленник может использовать данные вашей кредитной карты для покупки пары предметов, и если вы не Если вы своевременно не заметили подозрительную активность на балансе своей кредитной карты, скорее всего, вы больше никогда не увидите деньги.
По сравнению с руткитами уровня ядра руткиты уровня приложений выглядят приятными и безвредными. Почему? Потому что в теории руткит уровня ядра открывает все двери в систему. Когда двери открыты, в систему могут проникнуть другие виды вредоносных программ. Наличие заражения руткитом на уровне ядра и неспособность обнаружить и удалить его (или вообще, как мы увидим далее) означает, что кто-то другой может иметь полный контроль над вашим компьютером и может использовать его любым удобным для него способом - например, чтобы инициировать атаку на другие машины, создавая впечатление, что атака исходит от вашего компьютера, а не откуда-то еще.
Обнаружение и удаление руткитов
Не то, чтобы другие типы вредоносных программ было легко обнаружить и удалить, но руткиты на уровне ядра являются особым бедствием. В некотором смысле это Catch 22 - если у вас есть руткит, то системные файлы, необходимые для антируткитного программного обеспечения, вероятно, будут изменены, и поэтому результатам проверки нельзя доверять. Более того, если запущен руткит, он может успешно изменять список файлов или список запущенных процессов, на которые опираются антивирусные программы, предоставляя таким образом поддельные данные. Кроме того, работающий руткит может просто выгружать процессы антивирусной программы из памяти, вызывая неожиданное завершение работы или завершение работы приложения. Однако, делая это, он косвенно показывает свое присутствие, поэтому можно заподозрить, когда что-то пойдет не так, особенно с программным обеспечением, обеспечивающим безопасность системы.
Рекомендуемый способ обнаружения наличия руткита - загрузиться с альтернативного носителя, который, как известно, является чистым (например, резервный или аварийный компакт-диск) и проверить подозрительную систему. Преимущество этого метода заключается в том, что руткит не будет работать (поэтому он не сможет спрятаться) и системные файлы не будут активно подделаны.
Существуют способы обнаружения и (попытки) удаления руткитов. Одним из способов является очистка отпечатков MD5 исходных системных файлов для сравнения текущих отпечатков системных файлов. Этот метод не очень надежен, но лучше, чем ничего. Использование отладчика ядра более надежно, но требует глубоких знаний операционной системы. Даже большинство системных администраторов редко прибегают к этому, особенно когда есть бесплатные бесплатные программы для обнаружения руткитов, такие как RootkitRevealer Марка Руссиновича. Если вы зайдете на его сайт, вы найдете подробные инструкции по использованию программы.
Если вы обнаружите руткит на своем компьютере, следующий шаг - избавиться от него (легче сказать, чем сделать). С некоторыми руткитами удаление не вариант, если вы не хотите удалить также всю операционную систему! Наиболее очевидное решение - удалить зараженные файлы (при условии, что вы точно знаете, какие из них замаскированы) абсолютно неприменимо, когда речь идет о важных системных файлах. Если вы удалите эти файлы, скорее всего, вы больше никогда не сможете загрузить Windows. Вы можете попробовать несколько приложений для удаления руткитов, таких как UnHackMe или F-Secure BlackLight Beta, но не слишком рассчитывайте на них, чтобы иметь возможность безопасно удалить вредный организм.
Это может звучать как шоковая терапия, но единственным проверенным способом удаления руткита является форматирование жесткого диска и повторная переустановка операционной системы (конечно, с чистого установочного носителя!). Если у вас есть подсказка, откуда вы взяли руткит (был ли он в другой программе или кто-то отправил его вам по электронной почте?), Даже не думайте снова запускать или сообщать об источнике заражения!
Известные примеры руткитов
Руткиты использовались скрытно в течение многих лет, но только до прошлого года, когда они появились в заголовках новостей. Случай Sony-BMG с технологией управления цифровыми правами (DRM), которая защищала от несанкционированного копирования CD путем установки руткита на компьютер пользователя, вызвала резкую критику. Были судебные процессы и уголовное расследование. Sony-BMG была вынуждена забрать свои компакт-диски из магазинов и заменить приобретенные копии на чистые, в зависимости от обстоятельств дела. Sony-BMG была обвинена в тайном сокрытии системных файлов в попытке скрыть наличие программы защиты от копирования, которая также использовалась для отправки личных данных на сайт Sony. Если программа была удалена пользователем, дисковод CD стал неработоспособным. Фактически, эта программа защиты авторских прав нарушила все права на неприкосновенность частной жизни, использовала незаконные методы, типичные для такого рода вредоносных программ, и, прежде всего, сделала компьютер жертвы уязвимым для различных типов атак. Для большой корпорации, такой как Sony-BMG, было типично сначала пойти высокомерным путем, заявив, что, если большинство людей не знают, что такое руткит, и почему они заботятся о том, чтобы он был у них. Что ж, если бы не было таких парней, как Марк Руссинович, который первым позвонил по поводу руткита Sony, этот трюк мог бы сработать, и миллионы компьютеров были бы заражены - это серьезное глобальное нарушение в предполагаемой защите интеллектуала компании свойство!
Аналогично случаю с Sony, но когда не было необходимости подключаться к Интернету, это случай Norton SystemWorks. Это правда, что оба случая нельзя сравнивать с этической или технической точки зрения, потому что, хотя руткит Нортона (или технология, похожая на руткит) изменяет системные файлы Windows для размещения защищенной корзины Нортона, вряд ли Нортон можно обвинить в злонамеренных намерениях ограничить права пользователя или воспользоваться руткитом, как в случае с Sony. Целью маскировки было скрыть от всех (пользователей, администраторов и т. Д.) И всего (других программ, самой Windows) каталог резервных копий файлов, которые пользователи удалили, и которые впоследствии можно будет восстановить из этого каталога резервных копий. Функция защищенной корзины заключалась в том, чтобы добавить еще одну защитную сеть против быстрых пальцев, которые сначала удаляют, а затем думают, удалили ли они нужные файлы, предоставляя дополнительный способ восстановления файлов, которые были удалены из корзины ( или что дошли до корзины).
Эти два примера едва ли являются наиболее серьезными случаями руткит-активности, но их стоит упомянуть, поскольку привлекая внимание к этим конкретным случаям, общественный интерес был привлечен к руткитам в целом. Надеемся, что теперь все больше людей не только знают, что такое руткит, но и заботятся о том, есть ли он у него, и могут его обнаружить и удалить!
