- zagrożenie czy plotki? Mateusz Sell, Dariusz Świderski MKS Sp. z o.o.
Na początek kilka wykresików.
Ilość Rootkitów w latach 120 90 2003 2004 2005 0 60 30
Rootkity w drugiej połowie roku 2006 10000 7500 5000 lipiec 2006 2500 październik 2006 0
W maju 2007 pojawiło się ponad 25000 rootkitów. ( Tak przynajmniej twierdzi Kaspersky Lab )
Koniec wykresów. Teraz trochę historii.
Skąd wzięła się nazwa rootkit? Początkowo określenie rootkit, bądź root kit obejmowało programy uruchamiane na systemach UNIXowych i wykorzystywane by uzyskać dostęp do konta root infekowanego komputera.
A co z rootkitami? Mniej więcej w tym samym okresie pojawiła się też odmiana programów nazywanych stealth. Jako stealth określano programamy robiące mniej więcej to co robią aktualne rootkity - chowały się przed systemem operacyjnym i jego administratorem.
Ale czemu rootkit, a nie stealth? Rootkity dość często wykorzystywały technologię stealth by ukryć się przed administratorem systemu i samym systemem operacyjnym. Przeważnie polegało to na podmianie normalnych narzędzi administracyjnych na zmodyfikowane i dzięki temu schowanie się przed systemem.
Tak było kiedyś. A jak jest dzisiaj?
Czym dzisiaj są rootkity? Rootkitem jest oprogramowanie, które ukrywa pewne obiekty przed s t a n d a r d o w y m i n a r z ę d z i a m i a d m i n i s t r a c y j n y m i l u b zabezpieczającymi. Mark Russinovich Rootkit - narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. Wikipedia
What Sony BMG uses to **** people's computers up when they stick in one of the CDs manufactured by them. Urban Dictionary
Rootkit jest przedewszystkim zbiorem narzędzi pozwalających na ukrycie działania innego programu. - Robaki - Spyware - Adware - Keylogery!!!
Co ukrywają ROOTKITY Wpisy w rejestrze Pliki na dysku Procesy złośliwe LSP
Ogólna klasyfikacja rootkitów Hardware / Firmware Hypervisor ( wykorzystanie mechanizmów wirtualizacyjnych ) Kernel Library ( na poziomie systemowych bibliotek ) Aplikacje
Hardware / Firmware Są to rootkity wykorzystujące specyfikę infekowanego systemu. Mogą ukrywać się wykorzystując mechanizmy zawarte w BIOSie przykładem mogą być rootkity wykorzystujące luki w mechaniźmie ACPI.
Hypervisor To rootkity wykorzystujące błędy w sekwencji bootowania w taki sposób, by zostać uruchomione przed samym systemem operacyjnym. W skrajnych przypadkach są w stanie uruchomić cały system operacyjny wykorzystując mechanizmy wirtualizacyjne procesorów Intel bądź AMD.
Kernelowe Te rootkity dopisują bądź nadpisują fragmenty kodu znajdującego się w jądrze systemu. Dzięki temu są w stanie blokować każdy kod, jaki trafia do jądra systemu.
Bibliotekowe ( Library ) Ukryć się w systemie można także poprzez zastąpienie orginalnych bibliotek systemowych odpowiednio spreparowanymi plikami. Podpisywanie bibliotek w dużym stopniu pozwala walczyć z tym typem złośliwego oprogramowania.
Aplikacje Istnieje możliwość podmienienia plików aplikacji na odpowiednio spreparowane, bądź wykorzystania metod code injection, by zainfekować proces, który już znajduje się w systemie. Tak jak w przypadku bibliotek cyfrowe podpisywanie w znacznym stopniu utrudnia podmienienie pliku aplikacji na zainfekowany.
Rootkity są też wykorzystywane przez komercyjne oprogramowanie np.: Alcohol 120%, Daemon Tools, Rootkit Sony.
Jak walczyć z rootkitami?
Każdy rootkit musi się dostać do systemu. Przed uruchomieniem i schowaniem się jest on wykrywalny jak każdy inny wirus.
Monitor Antywirusowy Firewall Aktualizacja systemu
Skanowanie Skanowanie z poziomu Live CD Dedykowane programy
Pamiętacie ten slajd?
lipiec 2006 sierpień 2006 wrzesień 2006 październik 2006 listopad 2006 grudzień 2006 10000 7500 5000 2500 Rootkity w drugiej połowie roku 2006 0
Rootkity w drugiej połowie roku 2006 10000 7500 5000 lipiec 2006 2500 październik 2006 0
zagrożenie czy plotki?
Rootkity chowają się przed systemem, Rootkity przeważnie są zestawami programów, Rootkity są wrażliwe podczas infekcji.
Pytania?
Mateusz Sell msell@mks.com.pl