Rootkit boleh dinamakan bentuk kod jahat (malware) yang paling teknis dan salah satu yang paling sukar ditemui dan dihapuskan. Daripada semua jenis malware, mungkin virus dan cacing mendapat publisiti yang paling banyak kerana mereka umumnya meluas. Ramai orang diketahui telah terjejas oleh virus atau cacing, tetapi ini tidak bermakna virus dan cacing adalah malware yang paling merosakkan. Terdapat lebih banyak jenis malware yang berbahaya, kerana sebagai peraturan yang mereka beroperasi dalam mod stealth, sukar untuk mengesan dan mengalih keluar dan boleh tidak disedari untuk tempoh masa yang sangat lama, dengan senyap mendapat akses, mencuri data, dan memodifikasi fail pada mesin mangsa .
Satu contoh musuh sedemikian adalah rootkit - koleksi alat yang boleh menggantikan atau menukar program yang boleh dilaksanakan, atau bahkan kernel sistem operasi itu sendiri, untuk mendapatkan akses peringkat pentadbir ke sistem, yang boleh digunakan untuk memasang spyware, keyloggers dan alat berniat jahat yang lain. Pada asasnya, rootkit membolehkan penyerang mendapatkan akses lengkap ke atas mesin mangsa (dan mungkin ke seluruh rangkaian mesin milik). Salah satu kegunaan rootkit yang diketahui yang menyebabkan kerugian / kerosakan yang signifikan ialah kecurian kod sumber Valve's Half-Life 2: Enjin permainan sumber.
Rootkit bukan sesuatu yang baru - mereka telah wujud selama bertahun-tahun, dan diketahui telah melaksanakan pelbagai sistem operasi (Windows, UNIX, Linux, Solaris, dan lain-lain). Sekiranya bukan untuk satu atau dua kejadian besar-besaran kejadian rootkit (lihat bahagian Contoh Terkenal), yang menarik perhatian orang ramai, mereka mungkin sekali lagi terlepas kesedaran, kecuali oleh sekumpulan profesional keselamatan. Sehingga hari ini, rootkit tidak melepaskan potensi merosakkan penuh semenjak mereka tidak tersebar luas seperti bentuk malware lain. Walau bagaimanapun, ini boleh menjadi sedikit keselesaan.
Mekanisme Rootkit terkeluar
Sama seperti kuda Trojan, virus dan cacing, rootkit memasang diri mereka dengan memanfaatkan kelemahan dalam keselamatan rangkaian dan sistem operasi, sering tanpa interaksi pengguna. Walaupun terdapat rootkit yang boleh datang sebagai lampiran e-mel atau dalam satu bundle dengan program perisian yang sah, mereka tidak berbahaya sehingga pengguna membuka lampiran atau memasang program tersebut. Tetapi tidak seperti bentuk malware yang kurang canggih, rootkit menyusup dengan sangat mendalam ke dalam sistem operasi dan membuat usaha khas untuk menyembunyikan kehadiran mereka - contohnya, dengan mengubah fail sistem.
Pada asasnya, terdapat dua jenis rootkit: rootkit tahap kernel dan rootkit tahap aplikasi. Rootkernel tahap kernel menambah kod kepada atau mengubah suai kernel sistem pengendalian. Ini dicapai dengan memasang pemacu peranti atau modul yang boleh dimuatkan, yang mengubah panggilan sistem untuk menyembunyikan kehadiran penyerang. Oleh itu, jika anda melihat fail log anda, anda tidak akan melihat aktiviti yang mencurigakan pada sistem. Rootkit tahap aplikasi kurang canggih dan biasanya lebih mudah untuk diuji kerana mereka mengubah suai aplikasi yang boleh laku, dan bukannya sistem operasi itu sendiri. Memandangkan Windows 2000 melaporkan setiap perubahan fail boleh laku kepada pengguna, ia menjadikannya lebih sukar untuk penyerang pergi tanpa disedari.
Mengapa Rootkit Menimbulkan Risiko
Rootkit boleh bertindak sebagai pintu belakang dan biasanya tidak bersendirian dalam misi mereka - mereka sering diiringi oleh spyware, kuda trojan atau virus. Matlamat rootkit boleh berbeza dari keghairahan jahat yang mudah menembus komputer orang lain (dan menyembunyikan jejak kehadiran asing), untuk membina sistem keseluruhan untuk mendapatkan data sulit (nombor kad kredit, atau kod sumber seperti dalam hal Half -Life 2).
Umumnya, rootkit tahap aplikasi kurang berbahaya dan mudah untuk diesan. Tetapi jika program yang anda gunakan untuk menjejaki kewangan anda, mendapat "ditambal" oleh rootkit, maka kerugian kewangan mungkin signifikan - iaitu penyerang boleh menggunakan data kad kredit anda untuk membeli beberapa item dan jika anda tidak ' t perhatikan aktiviti yang mencurigakan pada baki kad kredit anda pada waktu yang sewajarnya, kemungkinan besar anda tidak akan dapat melihat kembali wang tersebut.
Berbanding dengan rootkit peringkat kernel, rootkit tahap aplikasi kelihatan manis dan tidak berbahaya. Mengapa? Kerana secara teori, akar kernel rootkit membuka semua pintu ke sistem. Sebaik sahaja pintu terbuka, bentuk malware lain kemudiannya akan tergelincir ke dalam sistem. Mempunyai jangkitan rootkit peringkat kernel dan tidak dapat mengesan dan mengeluarkannya dengan mudah (atau sama sekali, seperti yang akan kita lihat seterusnya) bermakna orang lain boleh mempunyai kawalan penuh ke atas komputer anda dan boleh menggunakannya dengan apa jua cara dia dikehendaki - Sebagai contoh, untuk memulakan serangan terhadap mesin lain, membuat kesan bahawa serangan itu berasal dari komputer anda, dan bukan dari tempat lain.
Pengesanan dan Pemecatan Rootkit
Bukan jenis malware lain mudah untuk mengesan dan mengalih keluar, tetapi rootkit tahap kernel adalah bencana tertentu. Dalam erti kata, ia adalah Catch 22 - jika anda mempunyai rootkit, maka fail sistem yang diperlukan oleh perisian anti-rootkit mungkin diubahsuai dan oleh itu keputusan cek tidak boleh dipercayai. Lebih-lebih lagi, jika rootkit sedang berjalan, ia dapat berjaya mengubah suai senarai fail atau senarai proses yang dijalankan yang program anti-virus bergantung, dengan itu memberikan data palsu. Selain itu, rootkit yang berjalan hanya dapat membongkar proses program anti-virus dari ingatan, menyebabkan permohonan ditutup atau ditamatkan tanpa diduga. Walau bagaimanapun, dengan melakukan ini secara tidak langsung menunjukkan kehadirannya, jadi seseorang boleh mencurigakan apabila ada masalah, terutama dengan perisian yang menjaga keselamatan sistem.
Cara yang disyorkan untuk mengesan kehadiran rootkit adalah untuk boot dari media alternatif, yang diketahui bersih (iaitu sandaran, atau CD-ROM penyelamatan) dan periksa sistem yang mencurigakan. Kelebihan kaedah ini adalah bahawa rootkit tidak akan berjalan (oleh itu ia tidak dapat menyembunyikan dirinya sendiri) dan fail sistem tidak akan diaktifkan secara aktif.
Ada cara untuk mengesan dan (cuba) mengeluarkan rootkit. Salah satu cara ialah mempunyai cap jari MD5 yang bersih dari fail sistem asal untuk membandingkan fail-fail sidik jari sistem semasa. Kaedah ini tidak boleh dipercayai, tetapi lebih baik daripada apa-apa. Menggunakan debugger kernel lebih dipercayai, tetapi ia memerlukan pengetahuan mendalam tentang sistem operasi. Malah majoriti pentadbir sistem jarang akan menggunakannya, terutamanya apabila terdapat program percuma yang baik untuk pengesanan rootkit, seperti Marc Russinovich's RootkitRevealer. Jika anda pergi ke laman webnya, anda akan mendapati arahan terperinci cara menggunakan program ini.
Jika anda mengesan rootkit pada komputer anda, langkah seterusnya adalah untuk menghapuskannya (lebih mudah dikatakan daripada dilakukan). Dengan beberapa rootkit, penyingkiran bukan satu pilihan, melainkan jika anda mahu mengeluarkan keseluruhan sistem operasi! Penyelesaian yang paling jelas - untuk menghapuskan fail yang dijangkiti (dengan syarat anda tahu yang mana yang sebenarnya dijadikan jubah) adalah benar-benar tidak boleh digunakan, apabila fail sistem penting berkenaan. Jika anda memadam fail-fail ini, kemungkinannya anda tidak akan dapat boot lagi Windows. Anda boleh mencuba beberapa aplikasi penyingkiran rootkit, seperti UnHackMe atau F-Secure BlackLight Beta, tetapi tidak bergantung kepada mereka terlalu banyak untuk dapat menghapuskan perosak dengan selamat.
Ia mungkin terdengar seperti terapi kejutan, tetapi satu-satunya cara terbukti untuk menghapuskan rootkit adalah dengan memformat cakera keras dan memasang semula sistem operasi sekali lagi (dari media pemasangan yang bersih, tentu saja!). Sekiranya anda mempunyai petunjuk di mana anda mendapat rootkit dari (adakah ia dibundel dalam program lain, atau adakah seseorang menghantarnya kepada anda melalui e-mel?), Jangan fikir akan berlari atau tidak memasukkan sumber jangkitan lagi!
Contoh Rootkit Terkenal
Rootkit telah digunakan secara senyap-senyap selama bertahun-tahun, tetapi hanya sehingga tahun lepas apabila mereka membuat penampilan mereka dalam tajuk berita. Kes Sony-BMG dengan teknologi Digital Pengurusan Hak (DRM) mereka yang melindungi penyalinan CD tanpa kebenaran dengan memasang rootkit pada mesin pengguna menimbulkan kritikan tajam. Terdapat undang-undang dan siasatan jenayah. Sony-BMG terpaksa mengeluarkan CD mereka dari kedai-kedai dan menggantikan salinan yang dibeli dengan yang bersih, mengikut penyelesaian kes. Sony-BMG dituduh menyembunyikan fail sistem rahsia dalam usaha menyembunyikan kehadiran program perlindungan salin yang juga digunakan untuk menghantar data peribadi ke laman Sony. Sekiranya program itu dipasang oleh pengguna, pemacu CD menjadi tidak boleh digunakan. Sebenarnya, program perlindungan hak cipta ini melanggar semua hak privasi, menggunakan teknik haram yang tipikal untuk jenis perisian hasad ini, dan di atas semua, meninggalkan komputer mangsa terdedah kepada pelbagai jenis serangan. Ia adalah tipikal untuk perbadanan besar, seperti Sony-BMG, untuk pergi dahulu dengan sombong dengan menyatakan bahawa jika kebanyakan orang tidak tahu apa yang rootkit, dan mengapa mereka peduli bahawa mereka mempunyai satu. Nah, jika tidak ada orang-orang seperti tanda Roussinovich, yang merupakan yang pertama menelefon loceng mengenai rootkit Sony, trik tersebut boleh bekerja dan berjuta-juta komputer akan dijangkiti - cukup pelanggaran global dalam pertahanan yang dikatakan intelektual syarikat harta!
Seperti halnya dengan Sony, tetapi ketika tidak perlu disambungkan ke Internet, adalah kasus Norton SystemWorks. Memang benar bahawa kedua-dua kes tidak dapat dibandingkan dengan sudut pandang etika atau teknikal kerana sementara rootkit Norton (atau teknologi seperti rootkit) mengubah fail sistem Windows untuk menampung Norton Protected Recycle Bin, Norton tidak dapat dituduh dengan niat jahat untuk menyekat hak pengguna atau untuk mendapat manfaat daripada rootkit, seperti halnya Sony. Tujuan cloaking adalah untuk menyembunyikan dari semua orang (pengguna, pentadbir, dan lain-lain) dan segala-galanya (program lain, Windows itu sendiri) direktori cadangan fail pengguna telah dihapuskan, dan yang kemudiannya dapat dipulihkan dari direktori sandaran ini. Fungsi Tong Kitar Semula Dilindungi adalah menambah satu lagi jejaring keselamatan terhadap jari-jari cepat yang mula-mula dihapus dan kemudian berfikir jika mereka telah memadam fail yang betul, menyediakan cara tambahan untuk memulihkan fail yang telah dipadamkan dari Recycle Bin ( atau yang telah memintas Recycle Bin).
Kedua-dua contoh ini adalah kes-kes yang paling teruk dalam aktiviti rootkit, tetapi mereka sepatutnya disebut kerana dengan menarik perhatian kepada kes-kes tertentu, kepentingan awam ditarik ke rootkit secara keseluruhan. Mudah-mudahan, sekarang lebih ramai orang tidak hanya tahu apa rootkit, tetapi peduli jika mereka mempunyai satu, dan dapat mengesan dan menghapusnya!
