Hogyan működik manapság a rootkit felismerése?

Valószínűleg ismeri a számítógépes vírusokat, reklámprogramokat, kémprogramokat és más rosszindulatú programokat, amelyek többnyire fenyegetésnek számítanak. Mindazonáltal a rosszindulatú programok más formája vagy osztálya (rootkitek) lehet a legveszélyesebb közülük. „Veszélyes” alatt azt értjük, hogy a rosszindulatú program milyen mértékű kárt okozhat, valamint hogy a felhasználók milyen nehézségekkel küzdenek annak megtalálásában és eltávolításában.





Mik azok a rootkitek?

A rootkitek egyfajta rosszindulatú programok, amelyeket arra terveztek, hogy illetéktelen felhasználók hozzáférést biztosítsanak a számítógépekhez (vagy a számítógépeken lévő bizonyos alkalmazásokhoz). A rootkitek úgy vannak programozva, hogy rejtve maradjanak (láthatatlanul), miközben kiváltságos hozzáférést biztosítanak. Miután a rootkit bejut a számítógépbe, könnyen elfedi a jelenlétét, és a felhasználók valószínűleg nem veszik észre.

Hogyan károsíthatja a rootkit a PC-t?

A kiberbűnözők alapvetően egy rootkit segítségével irányíthatják a számítógépet. Egy ilyen erős rosszindulatú programmal bármire kényszeríthetik a számítógépet. Ellophatják a jelszavakat és egyéb érzékeny információkat, nyomon követhetik a számítógépen végrehajtott összes tevékenységet vagy műveletet, és még a biztonsági programot is letilthatják.

Tekintettel a rootkitek lenyűgöző képességeire a biztonsági alkalmazások eltérítésére vagy letiltására, meglehetősen nehéz őket felismerni vagy szembeszállni, méghozzá az átlagos rosszindulatú programnál. A rootkitek hosszú ideig létezhetnek vagy működhetnek a számítógépeken, miközben elkerülik az észlelést és jelentős károkat okoznak.



Néha, amikor a fejlett rootkitek játszanak, a felhasználóknak nincs más választása, mint mindent törölni a számítógépükről, és kezdeni az újrakezdést - ha meg akarnak szabadulni a rosszindulatú programoktól.

Minden rosszindulatú program rootkit?

Nem. Ha valami, akkor a rosszindulatú programok csak kis része rootkit. Más rosszindulatú programokkal összehasonlítva a rootkitek jelentősen fejlettebbek a tervezés és a programozás terén. A rootkitek sokkal többet képesek megtenni, mint az átlagos rosszindulatú programok.

Ha szigorú technikai definíciókat akarunk követni, akkor a rootkit nem éppen a rosszindulatú programok egyik formája vagy típusa. A rootkitek egyszerűen megfelelnek annak a folyamatnak, amelyet rosszindulatú programok telepítéséhez használnak egy célpontra (általában egy adott számítógépre, egyénre vagy szervezetre). Érthető módon, mivel a rootkitek meglehetősen gyakran jelennek meg a cyber támadásokról vagy a feltörésekről szóló hírekben, a kifejezés negatív jelentést hordozott magában.



Hogy igazságos legyek, a rootkitek hasonlóan futnak, mint a rosszindulatú programok. Szeretnek korlátozások nélkül működni az áldozatok számítógépein; nem akarják, hogy a védőeszközök felismerjék vagy megtalálják őket; általában megpróbálnak ellopni cuccot a célszámítógéptől. Végül a rootkitek fenyegetések. Ezért blokkolni kell őket (hogy eleve ne akadályozzák őket), vagy meg kell szólítani őket (ha már eljutottak).

Miért használják vagy választják a rootkiteket?

A támadók sokféle célra használnak rootkiteket, de legtöbbször megpróbálják felhasználni őket a rosszindulatú programok lopakodó képességeinek javítására vagy kiterjesztésére. Megnövelt lopakodás esetén a számítógépre telepített rosszindulatú terhelések hosszabb ideig észrevétlenek maradhatnak, míg a rossz programok az adatok kiszűrésére vagy a hálózatból való eltávolítására törekednek.

A rootkitek nagyon hasznosak, mivel kényelmes módot vagy platformot kínálnak, amelyen keresztül illetéktelen szereplők (hackerek vagy akár kormánytisztviselők) a hátsó ajtón keresztül hozzáférhetnek a rendszerekhez. A rootkitek általában az itt leírt célt úgy érik el, hogy felforgatják a bejelentkezési mechanizmusokat, hogy arra kényszerítsék a számítógépeket, hogy titkos bejelentkezési hozzáférést biztosítsanak számukra egy másik személy számára.



A rootkiteket a számítógép kompromittálására vagy túlterhelésére is lehet telepíteni, hogy a támadó átvegye az irányítást, és az eszközt eszközként használhatja bizonyos feladatok elvégzéséhez. Például a hackerek rootkit-ekkel célozzák meg az eszközöket, és robotként használják őket a DDoS (Distributed Denial of Service) támadásokhoz. Ilyen esetekben, ha a DDoS forrását valaha is észlelik és felkutatják, az a felelős számítógéphez (az áldozathoz) vezet a valódi felelős számítógép (a támadó) helyett.

Az ilyen támadásokban részt vevő kompromittált számítógépeket általában zombi számítógépeknek nevezik. A támadók aligha a DDoS támadások teszik meg a sérült számítógépeket. Előfordul, hogy a hackerek áldozatuk számítógépét kattintási csalások végrehajtására vagy spam terjesztésére használják.

Érdekes módon vannak olyan forgatókönyvek, amikor a rootkiteket az adminisztrátorok vagy a szokásos személyek telepítik jó célokból, de ezekre még mindig példa. Láttunk néhány beszámolót arról, hogy egyes informatikai csapatok egy mézes edényben rootkiteket futtatnak a támadások észlelése vagy felismerése érdekében. Nos, így, ha sikerrel járnak a feladatok, tovább kell fejleszteniük emulációs technikáikat és biztonsági alkalmazásaikat. Találhatnak némi ismeretet is, amelyeket aztán felhasználhatnak a lopásgátló eszközök fejlesztésére.



Mindazonáltal, ha valaha is rootkit-kel kell megküzdenie, akkor nagy az esély arra, hogy a rootkit-t Ön (vagy az Ön érdekei) ellen használják. Ezért fontos, hogy megtanulja, hogyan lehet felismerni a rosszindulatú programokat az adott osztályban, és megvédeni magát (vagy számítógépét) ezektől.

A rootkitek típusai

A rootkiteknek különböző formái vagy típusai vannak. Osztályozhatjuk őket a fertőzés módja és a számítógépeken való működés szintje alapján. Nos, ezek a leggyakoribb rootkit típusok:

  1. Kernel módú rootkit:

A kernelmódú rootkitek olyan gyökérkészletek, amelyeket rosszindulatú programok beillesztésére terveztek az operációs rendszerek kerneljébe az operációs rendszer funkcionalitásának vagy beállításának megváltoztatása érdekében. „Kernel” alatt az operációs rendszer központi részét értjük, amely vezérli vagy összekapcsolja a hardver és az alkalmazások közötti műveleteket.

A támadók nehezen telepíthetik a rendszermag módú rootkiteket, mivel ezek a rootok általában a rendszer összeomlását okozzák, ha a használt kód meghibásodik. Ha azonban sikerül valaha is sikerrel járniuk a telepítéssel, akkor a rootkitek hihetetlen károkat okozhatnak, mivel a rendszermagok általában a legmagasabb szintű privilégiumszinttel rendelkeznek a rendszeren belül. Más szavakkal, a sikeres kernel módú rootkitek segítségével a támadók könnyedén eljuthatnak áldozataik számítógépeivel.

  1. Felhasználói módú rootkit:

Ebbe az osztályba tartozó rootkitek azok, amelyeket hétköznapi vagy rendszeres programként hajtanak végre. Általában ugyanabban a környezetben működnek, ahol az alkalmazások futnak. Ezért egyes biztonsági szakértők alkalmazás-rootkitként hivatkoznak rájuk.

A felhasználói módú rootkiteket viszonylag könnyebb telepíteni (mint a kernel módú rootkiteket), de kevesebbre képesek. Kevesebb kárt okoznak, mint a kernel rootkitjei. A biztonsági alkalmazások elméletileg szintén megkönnyítik a felhasználói módú rootkitek kezelését (összehasonlítva a rootkitek más formáival vagy osztályaival).

  1. Bootkit (boot rootkit):

A bootkitek olyan rootkitek, amelyek kiterjesztik vagy javítják a szokásos rootkit képességeit azáltal, hogy megfertőzik a Master Boot Record-ot. A rendszer indításakor aktiválódó kis programok alkotják a Master Boot Record-ot (amelyet néha MBR-ként rövidítenek). A bootkit alapvetően egy olyan program, amely megtámadja a rendszert és azon dolgozik, hogy a normál bootloadert lecserélje egy feltört verzióra. Egy ilyen rootkit még azelőtt aktiválódik, mielőtt a számítógép operációs rendszere elindul és rendeződik.

Tekintettel a bootkitek fertőzésének módjára, a támadók tartósabb támadási formákban alkalmazhatják őket, mert úgy vannak konfigurálva, hogy fussanak, amikor egy rendszer beindul (még egy védekező visszaállítás után is). Ezenkívül továbbra is aktívak maradnak a rendszermemóriában, amely a biztonsági alkalmazások vagy az informatikai csapatok által ritkán vizsgálták fenyegetések miatt.

  1. Memória rootkit:

A memória rootkit egyfajta rootkit, amelyet a számítógép RAM-jába rejtenek (a Random Access Memory rövidítése, ami ugyanaz, mint az ideiglenes memória). Ezek a rootkitek (miután a memóriában vannak) a káros műveletek végrehajtására szolgálnak a háttérben (anélkül, hogy a felhasználók tudnának róluk).

Szerencsére a memória gyökérkészleteinek élettartama általában rövid. Csak egy munkamenet számára élhetnek a számítógép RAM-jában. Ha újraindítja a számítógépet, akkor azok eltűnnek - legalábbis elméletileg kellene. Ennek ellenére bizonyos esetekben az újraindítási folyamat nem elegendő; előfordulhat, hogy a felhasználóknak némi munkát kell elvégezniük a memória gyökérkészleteinek megszabadulása érdekében.

  1. Hardver vagy firmware rootkit:

A hardver vagy firmware rootkitek a számítógépükre telepített helyükről kapják a nevüket.

Ezekről a rootkitekről ismert, hogy kihasználják a rendszer firmware-be ágyazott szoftver előnyeit. A firmware arra a speciális programosztályra utal, amely alacsony szintű vezérlést vagy utasításokat biztosít az adott hardver (vagy eszköz) számára. Például a laptop firmware-jével (általában a BIOS-val) rendelkezik, amelyet a gyártója töltött be. Az útválasztón is van firmware.

Mivel a firmware rootkitek létezhetnek olyan eszközökön, mint az útválasztók és meghajtók, nagyon sokáig rejtve maradhatnak - mivel ezeket a hardvereszközöket ritkán ellenőrzik vagy ellenőrzik a kód integritása szempontjából (ha egyáltalán ellenőrizik is őket). Ha a hackerek rootkit-kel fertőzik az útválasztót vagy meghajtót, akkor képesek lesznek elfogni az eszközön keresztül áramló adatokat.

Hogyan lehet biztonságban maradni a rootkitektől (tippek a felhasználók számára)

Még a legjobb biztonsági programok is küzdenek a rootkitek ellen, így jobb, ha mindent megtesz annak érdekében, hogy megakadályozza a rootkitek elsődleges bejutását a számítógépébe. Nem olyan nehéz biztonságban maradni.

Ha betartja a legjobb biztonsági gyakorlatokat, akkor jelentősen csökken annak esélye, hogy számítógépét megfertőzi egy rootkit. Itt van néhány közülük:

  1. Töltse le és telepítse az összes frissítést:

Egyszerűen nem engedheti meg magának, hogy bármit is figyelmen kívül hagyjon a frissítésekkel. Igen, megértjük, hogy az alkalmazások frissítései idegesítőek lehetnek, az operációs rendszer felépítésének frissítései pedig zavaróak, de ezek nélkül nem lehet nélkülözni. A programok és az operációs rendszer frissítése biztosítja, hogy javításokat kapjon olyan biztonsági résekhez vagy sebezhető pontokhoz, amelyeket a támadók kihasználnak, hogy rootkiteket juttassanak a számítógépbe. Ha a lyukak és a sebezhetőségek megszűnnek, a számítógépe jobb lesz számára.

  1. Vigyázzon az adathalász e-mailekre:

Az adathalász e-maileket általában csalók küldik, akik arra akarnak csalni, hogy megadják nekik személyes adatait vagy bizalmas adatait (például bejelentkezési adatokat vagy jelszavakat). Ennek ellenére egyes adathalász e-mailek arra ösztönzik a felhasználókat, hogy töltsenek le és telepítsenek valamilyen szoftvert (ami általában rosszindulatú vagy káros).

Az ilyen e-mailek úgy tűnhetnek, mintha törvényes feladó vagy megbízott személy érkezett volna tőlük, ezért vigyáznia kell rájuk. Ne válaszoljon rájuk. Ne kattintson semmire (linkekre, mellékletekre stb.).

  1. Vigyázzon a meghajtó általi letöltésekre és a nem kívánt telepítésekre:

Itt azt akarjuk, hogy figyeljen a számítógépére letöltött dolgokra. Nem akar rosszindulatú fájlokat vagy rossz alkalmazásokat telepíteni, amelyek rosszindulatú programokat telepítenek. Figyelnie kell a telepített alkalmazásokra is, mert néhány törvényes alkalmazás más programokkal van együtt (amelyek rosszindulatúak lehetnek).

Ideális esetben csak a programok hivatalos verzióit kell beszereznie a hivatalos oldalakról vagy a letöltő központokból, a telepítés során megfelelő döntéseket kell hoznia, és figyelnie kell az összes alkalmazás telepítési folyamataira.

  1. Védőeszköz telepítése:

Ha a rootkit be akar kerülni a számítógépébe, akkor a bejegyzés valószínűleg kapcsolódik egy másik rosszindulatú program jelenlétéhez vagy létezéséhez a számítógépén. Valószínű, hogy egy jó víruskereső vagy antimalware alkalmazás észleli az eredeti fenyegetést, mielőtt a rootkit bevezetésre vagy aktiválásra kerülne.

Letöltheti a rosszindulatú programokat. Jól fog tenni, ha hinne az ajánlott alkalmazásban, mert a jó biztonsági programok továbbra is a legjobb védelmet nyújtják a fenyegetések minden formája ellen.

Hogyan lehet felismerni a rootkiteket (és néhány tipp a szervezeteknek és az IT-rendszergazdáknak)

Kevés olyan segédprogram létezik, amely képes a rootkitek felderítésére és eltávolítására. Még az illetékes biztonsági alkalmazások (amelyekről ismert, hogy ilyen rosszindulatú programokkal foglalkoznak) néha küzdenek, vagy nem tudják megfelelően elvégezni a munkát. A rootkit eltávolítási hibák gyakrabban fordulnak elő, ha a rosszindulatú program kernel szinten működik és működik (kernel módú rootkitek).

Néha az operációs rendszer újratelepítése a gépre az egyetlen, amit meg lehet tenni a rootkit megszabadulása érdekében. Ha firmware rootkitekkel foglalkozik, akkor előfordulhat, hogy ki kell cserélnie néhány hardver alkatrészt az érintett eszköz belsejében, vagy speciális felszerelést kell beszereznie.

Az egyik legjobb rootkit-észlelési folyamat megköveteli, hogy a felhasználók legfelső szintű vizsgálatokat végezzenek a rootkitek után. A „legfelső szintű vizsgálat” alatt olyan vizsgálatot értünk, amelyet külön tiszta rendszer működtet, miközben a fertőzött gép kikapcsol. Elméletileg egy ilyen átvizsgálásnak elegendőnek kell lennie a támadók által hagyott aláírások ellenőrzésére, és képesnek kell lennie a hálózatban tapasztalható szabálytalanságok azonosítására vagy felismerésére.

A rootkitek észleléséhez memóriakiürítés-elemzést is használhat, különösen akkor, ha gyanítja, hogy a rendszer memóriájába reteszelő bootkit érintett. Ha van egy rootkit egy rendes számítógép hálózatában, akkor valószínűleg nem lesz rejtve, ha memóriahasználattal járó parancsokat hajt végre - és a felügyelt szolgáltató (MSP) képes lesz megtekinteni a rosszindulatú program által küldött utasításokat .

A viselkedéselemzés egy másik megbízható eljárás vagy módszer, amelyet néha alkalmaznak a rootkitek felderítésére vagy nyomon követésére. Itt ahelyett, hogy közvetlenül a rendszermemória ellenőrzésével vagy a támadás aláírásaival ellenőrizné a rootkit keresését, meg kell keresnie a rootkit tüneteit a számítógépen. Az olyan dolgoknak, mint a lassú működési sebesség (lényegesen lassabb a normálnál), a páratlan hálózati forgalom (amelynek nem szabad ott lennie) és más általános deviáns viselkedési minták, el kell, hogy adják a rootkiteket.

A menedzserszolgáltatók a legkevesebb jogosultság elvét (PoLP) alkalmazhatják speciális stratégiaként ügyfeleik rendszereiben a rootkit fertőzés kezelésére vagy enyhítésére. A PoLP használatakor a rendszereket úgy konfigurálják, hogy korlátozzák a hálózat minden modulját, ami azt jelenti, hogy az egyes modulok csak azokhoz az információkhoz és erőforrásokhoz férnek hozzá, amelyekre a munkájukhoz szükségük van (speciális célokra).

Nos, a javasolt beállítás szigorúbb biztonságot nyújt a hálózat karjai között. Eleget tesz azért is, hogy megakadályozza a rosszindulatú szoftverek telepítését a hálózati kernekbe illetéktelen felhasználók számára, ami azt jelenti, hogy megakadályozza a rootkitek behatolását és problémáit.

Szerencsére a rootkitek átlagosan hanyatlóban vannak (összehasonlítva az elmúlt években szaporodó más rosszindulatú programok mennyiségével), mert a fejlesztők folyamatosan javítják az operációs rendszerek biztonságát. A végpontok védelme egyre erősödik, és nagyobb számú CPU-t (vagy processzort) terveznek beépített rendszermag-védelmi módok alkalmazására. Ennek ellenére jelenleg továbbra is léteznek rootkitek, amelyeket azonosítani, megszüntetni és eltávolítani kell, bárhol is találhatók.