Осень наступила неожиданно. Вновь насморк, кашель и прочая зараза. Укутанные в шарфы и одеяла, мы пьем горячий чай, глотаем лекарства, от безделья сидим в интернете и даже не подозреваем, что компьютеры почти люди – по крайней мере, инфекции хватают не меньше! А у некоторых она даже в скрытой форме! Или попросту «в форме» руткита.
В целом и общем
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Первоначально в контексте систем вида UNIX руткитом называлась группа утилит, принадлежащих самой операционной системе, таких как netstat , passwd и ps, которые изменялись хакером для того, чтобы получить неограниченный доступ к компьютеру, не подвергаясь риску быть обнаруженным системным администратором.
В терминологии UNIX, системный администратор назывался "рут", в соответствии с родовым именем для утилит, которые оставались в системе в скрытом виде сразу после получения рут-прав.
Сегодня наиболее распространены операционные системы Windows, но понятие остается прежним. Руткит Windows – это программа, скрывающая некоторые элементы (файлы, процессы, записи в реестре Windows, адреса ячеек памяти, сетевые подключения и др.) от других программ или операционной системы.
Как мы видим, данное определение само по себе не представляет для системы никакого вреда – это технология, которая может быть использована как в конструктивных, так и в деструктивных целях.
В системах UNIX руткиты используются как гарантия непрерывного доступа к удаленному компьютеру, которые предварительно был заражен с целью, например:
– Установки backdoor-кода, через который можно получать доступ к компьютеру.
– Сокрытия изменений, примененных к конфигурации.
– Сокрытия логов, оставшихся после вторжения в систему.
Для систем Windows цель остается аналогичной: сокрытие существования внутри компьютера других элементов, для того, чтобы их присутствие и выполнение не могли быть обнаружены пользователем и даже антивирусным ПО. Если такие элементы представлены вирусами, тогда владелец компьютера столкнется с серьезной проблемой.
Но есть и потенциальные преимущества использования руткитов, которые могут вполне законно применяться в следующих областях:
– Мониторинг сотрудников.
– Защита интеллектуальных данных.
– Защита программ от действия вредоносных кодов или ошибок пользователей (случайное удаление, например).
Классификация
Руткиты можно классифицировать в соответствии со следующими характеристиками:
Постоянство существования:
1. Постоянный руткит активируется при каждом запуске системы. Для этого ему необходимо хранить свой код внутри компьютера, а также нужен способ для автоматического самозапуска.
2. Непостоянный руткит не может автоматически перезапускаться после перезагрузки системы.
Способ выполнения руткита:
1. Режим пользователя: в это режиме руткит перехватывает все системные запросы и фильтрует их.
2. Режим ядра (ядро операционной системы): такие руткиты модицируют структуру данных ядра, а также перехватывают собственный API ядра. Это наиболее надежный и действенный способ перехвата системы.
В плане других методов и технологий, используемых для производства руткитов, необходимо обратить внимание на случай в Университете Мичигана и Microsoft. В марте 2006 года был разработан руткит, основанный на виртуальной технологии. Его основная функция заключалась в модификации пусковой последовательности компьютера, за счет чего руткит загружался вместо операционной системы. Далее руткит сам загружал операционную систему, как будто это была виртуальная машина, за счет чего перехватывалась вся информация, которой обменивались ОС и аппаратное обеспечение. После установки этот руткит обнаружить практически невозможно.
Защита
Для обнаружения руткитов в системе можно использовать следующие технологии:
– Сигнатурное обнаружение: действенная технология, которая успешно применяестя антивирусными компаниями уже на протяжении многих лет. Данная технология основана на сканировании файлов и их сравнении с коллекцией сигнатур известного вредоносного ПО:
– Эвристическое или поведенческое обнаружение: идентифицирует руткиты путем распознавания любых отклонений в нормальной деятельности компьютера.
– Обнаружение по сравнению: Результаты, возвращенные операционной системой, сравниваются с результатами, полученными посредством низкоуровневых запросов – наличие каких-либо различий свидетельствует о присутствии в системе руткита.
– Обнаружение на основе целостности: отпределяет наличие руткита путем сравнения файлов и памяти с надежным тестовым статусом.
Каждая из перечисленных технологий имеет свои ограничения, поэтому рекомендуется сочетать различные технологии. Также необходимо учесть, что некоторые их этих руткитов специально разработаны для того, чтобы не быть обнаруженными лидирующими на рынке антивирусными компаниями.
Первая линия защиты от руткитов состоит в том, чтобы не дать им проникнуть в Ваш компьютер. Для этого, пожалуйста, всегда держите в уме следующие советы для защиты от вредоносного ПО:
– Установите на компьютере хорошее антивредоносное решение и следите, чтобы оно всегда было обновлено и активно.
– Установите файрволл, который будет защищать Ваш компьютер от несанкционированного доступа.
– Всегда следите за тем, чтобы установленные на Вашем компьютере приложения были обновлены, а также применяйте все доступные патчи, выпускаемые производителями.
Однако, защита компьютера от руткитов – это непростая задача, и здесь нельзя ограничиваться рядом мер для общей защиты ПК. Необходима комплексная защита, включающая использование всего возможного ПО: начиная от антивирусов и файрволлов и заканчивая утилитами экспресс-проверки вашего компьютера. Например, Panda Security выпустила бесплатную утилиту Panda Anti-Rootkit (ее вы можете скачать как с официального сайта, так и на серверах распространяющих бесплатный софт), которую можно использовать для поиска и удаления различных руткитов. Но не спешите уничтожать все найденное с помощью нее. Например, находимые ею руткиты в файлах типа OP_CACHE.ATR являются файлами файрволла Outpost, а их удалять нежелательно.
Обсудить в ФОРУМЕ
Подпишитесь на рассылку анонсов статей.
Для этого укажите Ваш адрес электронной почты:
Читайте также
| Интернет. Работа. Аферисты.
Все мы студенты и не студенты ищем нетрудную работу или правильнее подработку. Свободный график, небольшая, но подходящая зарплата и не слишком отнимающая работенка – то, что нам нужно! А где мы ее ищем? Конечно, в интернете. Но помимо вирусов, руткитов, взломщиков и прочего, в интернете притаились и мошенники. Далее... | Hewlett-Packard – уфимскому офису 3 года
В Уфе прошла конференция «HP Ideas Day», на которой руководство HP подвело итоги трехлетней работы башкирского офиса компании и поделилось планами на будущее. Далее... |
| Интернет-маркетинг или поиск клиентов в интернете
С развитием интернета пользователи все больше времени проводят в сети. Почти все пользуются электронной почтой, узнают прогноз погоды. Многие ищут одноклассников, читают новости, общаются на профессиональных форумах и даже совершают покупки. Интернет становится перспективным направлением для развития бизнеса, средством коммуникации с целевой аудиторией и клиентами. С чего начать освоение просторов интернета? Далее... | Интервью с директором компании "Сотел" Константином Капорским: Мое время – здесь и сейчас
– Константин Владимирович, расскажите, как вы пришли в сотовую связь вообще и в компанию «Сотовая связь Башкортостана».
– В этой компании я работаю уже 14 лет, начинал с должности инженера. Полученная в УГАТУ специальность была связана с вычислительной техникой. Авиационных приборов в то время было уже меньше, а вычислительная техника как раз тогда начала развиваться очень активно. Когда я прочел объявление о приеме на работу в компанию, в которой характер работы был связан с вычислительной техникой, с электроникой, я не раздумывая написал резюме и пришел на собеседование. Через какое-то время меня пригласили на работу. Далее... |