Anonim

Rootkits kunnen de technisch meest geavanceerde vorm van kwaadaardige code (malware) worden genoemd en een van de moeilijkst te ontdekken en te elimineren. Van alle soorten malware krijgen waarschijnlijk virussen en wormen de meeste publiciteit omdat ze over het algemeen wijdverbreid zijn. Van veel mensen is bekend dat ze getroffen zijn door een virus of een worm, maar dit betekent absoluut niet dat virussen en wormen de meest destructieve malware zijn. Er zijn gevaarlijkere soorten malware, omdat ze in de regel in de stealth-modus werken, moeilijk te detecteren en te verwijderen zijn en lange tijd onopgemerkt kunnen blijven, stil toegang krijgen, gegevens stelen en de bestanden op de machine van het slachtoffer wijzigen .


Een voorbeeld van zo'n heimelijke vijand zijn rootkits - een verzameling tools die uitvoerbare programma's of zelfs de kernel van het besturingssysteem zelf kunnen vervangen of wijzigen om toegang op beheerdersniveau tot het systeem te krijgen, dat kan worden gebruikt voor installatie spyware, keyloggers en andere kwaadaardige tools. In wezen stelt een rootkit een aanvaller in staat volledige toegang te verkrijgen via de machine van het slachtoffer (en mogelijk tot het hele netwerk waartoe de machine behoort). Een van de bekende toepassingen van een rootkit die aanzienlijk verlies / schade veroorzaakte, was de diefstal van de broncode van Valve's Half-Life 2: Source game-engine.


Rootkits zijn niet iets nieuws - ze bestaan ​​al jaren en staan ​​bekend als verschillende besturingssystemen (Windows, UNIX, Linux, Solaris, enz.). Als er niet één of twee massale voorvallen van rootkit-incidenten waren geweest (zie de sectie Beroemde voorbeelden), die de aandacht van het publiek op hen vestigden, waren ze misschien weer aan het bewustzijn ontsnapt, behalve door een kleine kring van beveiligingsprofessionals. Vanaf vandaag hebben rootkits hun volledige vernietigende potentieel niet ontketend, omdat ze niet zo wijdverspreid zijn als andere vormen van malware. Dit kan echter van weinig comfort zijn.


Rootkit-mechanismen blootgesteld

Net als Trojaanse paarden, virussen en wormen, installeren rootkits zichzelf door misbruik te maken van fouten in de netwerkbeveiliging en het besturingssysteem, vaak zonder gebruikersinteractie. Hoewel er rootkits zijn die als e-mailbijlage of in een bundel met legitieme softwareprogramma's kunnen worden geleverd, zijn ze onschadelijk totdat de gebruiker de bijlage opent of het programma installeert. Maar in tegenstelling tot minder geavanceerde vormen van malware, dringen rootkits zeer diep in het besturingssysteem door en doen ze speciale inspanningen om hun aanwezigheid te verbergen - bijvoorbeeld door systeembestanden te wijzigen.

Kortom, er zijn twee soorten rootkits: rootkits op kernelniveau en rootkits op applicatieniveau. Rootkits op kernelniveau voegen code toe of wijzigen de kernel van het besturingssysteem. Dit wordt bereikt door een apparaatstuurprogramma of een laadbare module te installeren, die systeemaanroepen wijzigt om de aanwezigheid van een aanvaller te verbergen. Als u dus in uw logbestanden kijkt, ziet u geen verdachte activiteit op het systeem. Rootkits op applicatieniveau zijn minder geavanceerd en zijn over het algemeen gemakkelijker te detecteren omdat ze de uitvoerbare bestanden van applicaties wijzigen in plaats van het besturingssysteem zelf. Aangezien Windows 2000 elke wijziging van een uitvoerbaar bestand aan de gebruiker rapporteert, maakt het het voor de aanvaller moeilijker om onopgemerkt te blijven.


Waarom rootkits een risico vormen

Rootkits kunnen fungeren als een achterdeur en staan ​​meestal niet alleen in hun missie - ze worden vaak vergezeld door spyware, Trojaanse paarden of virussen. De doelen van een rootkit kunnen variëren van eenvoudig kwaadaardig plezier om de computer van iemand anders binnen te dringen (en de sporen van buitenlandse aanwezigheid te verbergen), tot het bouwen van een geheel systeem voor het illegaal verkrijgen van vertrouwelijke gegevens (creditcardnummers of broncode zoals in het geval van Half -Leven 2).

Over het algemeen zijn rootkits op applicatieniveau minder gevaarlijk en gemakkelijker te detecteren. Maar als het programma dat u gebruikt om uw financiën bij te houden, wordt 'gepatcht' door een rootkit, dan kan het geldverlies aanzienlijk zijn - dat wil zeggen een aanvaller kan uw creditcardgegevens gebruiken om een ​​paar items te kopen en als u ' Als u te zijner tijd verdachte activiteiten op uw creditcardsaldo opmerkt, is het zeer waarschijnlijk dat u het geld nooit meer zult zien.


In vergelijking met rootkits op kernelniveau zien rootkits op applicatieniveau er zoet en onschadelijk uit. Waarom? Omdat in theorie een rootkit op kernelniveau alle deuren voor een systeem opent. Zodra de deuren open zijn, kunnen andere vormen van malware het systeem binnendringen. Een rootkit-infectie op kernelniveau hebben en deze niet gemakkelijk kunnen detecteren en verwijderen (of helemaal niet, zoals we hierna zullen zien) betekent dat iemand anders volledige controle over uw computer kan hebben en het op elke manier kan gebruiken die hij of zij wil - bijvoorbeeld om een ​​aanval op andere machines te initiëren, waardoor de indruk ontstaat dat de aanval afkomstig is van uw computer en niet van ergens anders.


Detectie en verwijdering van rootkits

Niet dat andere soorten malware eenvoudig te detecteren en te verwijderen zijn, maar rootkits op kernelniveau zijn een bepaalde ramp. In zekere zin is het een Catch 22 - als je een rootkit hebt, zullen de systeembestanden die nodig zijn voor de anti-rootkit-software waarschijnlijk worden gewijzigd en daarom kunnen de resultaten van de controle niet worden vertrouwd. Wat meer is, als een rootkit wordt uitgevoerd, kan deze de lijst met bestanden of de lijst met actieve processen waarop antivirusprogramma's vertrouwen, wijzigen, waardoor nepgegevens worden verstrekt. Een lopende rootkit kan ook eenvoudig antivirusprogrammaprocessen uit het geheugen verwijderen, waardoor de toepassing onverwacht wordt afgesloten of beëindigd. Door dit te doen, toont het echter indirect zijn aanwezigheid, zodat iemand achterdochtig kan worden als er iets misgaat, vooral met software die de systeembeveiliging onderhoudt.

Een aanbevolen manier voor het detecteren van de aanwezigheid van een rootkit is om op te starten vanaf een alternatief medium waarvan bekend is dat het schoon is (bijvoorbeeld een back-up of reddings-cd-rom) en het verdachte systeem te controleren. Het voordeel van deze methode is dat de rootkit niet wordt uitgevoerd (daarom kan hij zichzelf niet verbergen) en dat de systeembestanden niet actief worden geknoeid.


Er zijn manieren om rootkits te detecteren en (proberen) te verwijderen. Eén manier is om schone MD5-vingerafdrukken van de originele systeembestanden te hebben om de huidige systeembestanden vingerafdrukken te vergelijken. Deze methode is niet erg betrouwbaar, maar is beter dan niets. Het gebruik van een kernel-debugger is betrouwbaarder, maar het vereist diepgaande kennis van het besturingssysteem. Zelfs de meeste systeembeheerders zullen er zelden hun toevlucht toe nemen, vooral als er gratis goede programma's zijn voor rootkitdetectie, zoals de RootkitRevealer van Marc Russinovich. Als u naar zijn site gaat, vindt u gedetailleerde instructies voor het gebruik van het programma.


Als u een rootkit op uw computer detecteert, is de volgende stap om er vanaf te komen (eenvoudiger gezegd dan gedaan). Bij sommige rootkits is verwijdering geen optie, tenzij je ook het hele besturingssysteem wilt verwijderen! De meest voor de hand liggende oplossing - om geïnfecteerde bestanden te verwijderen (op voorwaarde dat u weet welke precies zijn gecamoufleerd) is absoluut niet van toepassing als het gaat om vitale systeembestanden. Als u deze bestanden verwijdert, is de kans groot dat u Windows nooit meer kunt opstarten. Je kunt een paar rootkit-verwijderingsprogramma's proberen, zoals UnHackMe of F-Secure BlackLight Beta, maar reken er niet te veel op om het ongedierte veilig te kunnen verwijderen.

Het klinkt misschien als shocktherapie, maar de enige bewezen manier om een ​​rootkit te verwijderen, is door de harde schijf te formatteren en het besturingssysteem opnieuw te installeren (uiteraard via schone installatiemedia!). Als je een idee hebt waar je de rootkit vandaan hebt (was het gebundeld in een ander programma of heeft iemand het je via e-mail gestuurd?), Denk er dan niet eens aan om te rennen of de bron van infectie opnieuw aan te wijzen!


Beroemde voorbeelden van rootkits

Rootkits worden al jaren heimelijk gebruikt, maar alleen tot vorig jaar toen ze in nieuwskoppen verschenen. Het geval van Sony-BMG met hun Digital Right Management (DRM) -technologie die het onbevoegd kopiëren van CD's beschermde door een rootkit op de machine van de gebruiker te installeren, veroorzaakte scherpe kritiek. Er waren rechtszaken en een strafrechtelijk onderzoek. Sony-BMG moest hun CD's uit winkels halen en de gekochte exemplaren vervangen door schone exemplaren, volgens de schikking van de zaak. Sony-BMG werd beschuldigd van stiekem cloaking van systeembestanden in een poging de aanwezigheid van het kopieerbeveiligingsprogramma te verbergen dat ook werd gebruikt om privégegevens naar de site van Sony te verzenden. Als het programma door de gebruiker werd verwijderd, kon het CD-station niet meer worden gebruikt. In feite heeft dit auteursrechtbeschermingsprogramma alle privacyrechten geschonden, illegale technieken toegepast die typerend zijn voor dit soort malware, en vooral de computer van het slachtoffer kwetsbaar gemaakt voor verschillende soorten aanvallen. Het was typerend voor een groot bedrijf, zoals Sony-BMG, om eerst de arrogante kant op te gaan door te stellen dat als de meeste mensen niet wisten wat een rootkit was, en waarom het ze iets kon schelen dat ze er een hadden. Nou, als er geen jongens zoals Mark Roussinovich waren geweest, die de eerste was om te bellen over de rootkit van Sony, had de truc kunnen werken en zouden miljoenen computers zijn geïnfecteerd - een behoorlijk wereldwijd misdrijf in de vermeende verdediging van de intellectuele eigendom!

Vergelijkbaar met het geval met Sony, maar toen het niet nodig was om verbinding te maken met internet, is het geval met Norton SystemWorks. Het is waar dat beide gevallen niet kunnen worden vergeleken vanuit ethisch of technisch oogpunt, want terwijl Nortons rootkit (of rootkit-achtige technologie) Windows-systeembestanden aanpast aan de Norton Protected Recycle Bin, kan Norton nauwelijks worden beschuldigd van kwaadaardige bedoelingen om te beperken gebruikersrechten of om te profiteren van de rootkit, zoals het geval is bij Sony. Het doel van het cloaking was om voor iedereen (gebruikers, beheerders, enz.) En alles (andere programma's, Windows zelf) een back-upmap met bestanden te verbergen die gebruikers hebben verwijderd, en die later kan worden hersteld vanuit deze back-upmap. De functie van de beveiligde Prullenbak was om nog een vangnet toe te voegen tegen snelle vingers die eerst worden verwijderd en vervolgens na te denken of ze de juiste bestanden hebben verwijderd, waardoor een extra manier wordt geboden om bestanden te herstellen die zijn verwijderd uit de Prullenbak ( of die de Prullenbak hebben omzeild).

Deze twee voorbeelden zijn nauwelijks de meest ernstige gevallen van rootkit-activiteit, maar ze zijn het vermelden waard omdat door aandacht te trekken voor deze specifieke gevallen, de publieke belangstelling voor rootkits als geheel werd getrokken. Hopelijk weten nu meer mensen niet alleen wat een rootkit is, maar zorgen ze ook dat ze er een hebben en kunnen ze detecteren en verwijderen!

Wat is een rootkit?