Под руткит се разбира вид злонамерен софтуер (малуер), който е създаден да осигури нерегламентиран привилигерован достъп до засегнатата система. Понятието „rootkit“ произлиза от „root“ (термин от Unix-средите, който се използва за назоваване на потребител с пълни права, както е администратора в Windows) и „kit“ (комплект инструменти). Следователно руткитовете са съвкупност от софтуерни инструменти, които целят да предоставят пълни (администраторски) права на своите създатели върху целевата система. Това означава, че лицето, получило такива права може да има пълен контрол върху нея – да краде информация, да инсталира друг злонамерен софтуер, да използва системата за нерегламентирани дейности или просто да саботира работата ѝ.
Руткитовете се „вкореняват“ най-често в операционната система, прихващайки определени системни функции. Те успяват да маскират своето присъствие в системата, за да могат да функционират необезпокоявано. Така хакерите могат да имат отдалечен контрол върху вашия компютър, включително и да инсталират друг зловреден софтуер без ваше знание.
Какви видове руткитове са познати?
Руткитовете могат да функционират по доста различен начин и следователно да бъдат класифицирани на различни видове. Така например от Comodo категоризират руткитовете на седем вида:
- Kernel Rootkit – руткитове, опериращи така да се каже в „ядрото“ на операционната система, внедрявайки се в нея. Това от една страна ги прави трудни за откриване, а от друга тези злонамерени програми могат да получат пълен контрол върху системата. Много такива руткитове се възползват от факта, че операционната система позволява различни драйвери за устройства или други модули да се изпълняват на същото ниво и със същите права, както и ядрото на операционната система. Много руткитове могат да се „дегизират“ като драйвери и да се изпълняват без да бъдат засечени от антивирусната програма.
- Firmware Rootkit – тези руткитове инфектират фърмуера на заразените устройства, включитело и мрежовите такива. Те се активизират със зареждането на фърмуера при стартиране на самото устройство и са активни докато то работи. Поради спецификата си те са много трудни за откриване и още по-трудни за премахване. Типичен пример за такава злонамерена програма е вид UEFI руткит, за който сме писали малко по-надолу.
- Application Rootkit – това са руткитове, които засягат не самата операционна система, а инсталираните програми (приложения). Те обикновено заменят определени файлове на дадена програма и така променят нейното поведение. Освен това те могат да се изпълняват по същия начин както всяка една легитимна програма.
- Memory Rootkit – това са руткитове, които се „крият“ в оперативната памет (RAM). Обикновено те са налични там до момента, в който системната памет не бъде изтрита, примерно при рестарт или изключване на системата.
- Bootkit Rootkits – това са руткитове, които засягат файловете, отговорни за стартирането и зареждането на операционната система, в това число и сектора за начално зареждане (MBR). Те се зареждат заедно с операционната система и могат да имат контрол върху нея по време и след като тя зареди.
- Persistent Rootkits – подобно на горните, това са също руткитове, които се стартират и остават активни докато системата е включена. Тези руткитове са способни да рестартират системните процеси.
- Library Rootkits – от името им става ясно, че тези руткитове компроментират точно определени файлове, наречени „системни библиотеки“. При операционните системи Windows тези библиотеки са файловете с разширение .dll.
Как се разпространяват руткитовете?
Руткитовете не могат да се възпроизвеждат сами, ето защо търсят други начини за разпространение – например потребителят сам да ги инсталира. Руткитовете се разпространяват както и повечето зловредни програми – чрез компроментирани уебсайтове, фишинг, чрез съмнителен софтуер, от заразени носители на данни и др. В голям процент от случаите проникването на руткитове в системата може да стане, когато потребителят инсталира уж легитимен софтуер, който съдържа руткит. Така инсталирайки дадена програма засегнатия получава бонус – руткит. От своя страна той осигурява поле за инсталирането и на други видове малуер – кийлогери, бекдор програми, троянски коне и т.н.
По какво да разпознаем, че системата ни е заразена с руткит?
Идеята на тези злонамерени програми е да осигурят привилигерован достъп до целевата система, прикривайки всички следи за това. Ето защо индикациите, че системата е заразена обикновено не са много. Много често потребителите дори не разбират, че има нещо нередно или разбират твърде късно.
„Симптоми“ на заразяване с руткит могат да бъдат: спиране (блокиране) на антивирусната програма без потребителска намеса, изчезване на икони от таскбара, смяна или изчезване на десктоп тапета, промяна на някои настройки на операционната система и др.
И накрая, необичайно ниска производителност на системата и/или висока употреба на процесора също може да са индикация за наличието на руткит.
Някои интересни факти…
Една от най-популярните руткит инфекции е разпространявана чрез компакт дискове на Sony BMG
Един от най-масовите и най-популярни случаи на използване на руткит-подобна програма се свързва със скандала, който избухна през 2005 г. със Sony BMG. Оказа се, че звукозаписната компания е разпространявала чрез близо 22 млн. компакт диска вид малуер, който осигурявал своеобразна защита от копиране на авторското съдържание.
При поставяне на компакт диска в Windows-базиран компютър се инсталира скрит софтуер, който изпраща информация до компанията за това, кое CD се използва, както и IP адреса на компютъра. Освен това този софтуер модифицира Windows и възпрепятства потребителя да копира съдържанието от диска.
След разобличаването на скандала от Sony BMG пуснаха деинсталатор, който се оказа че отваря още дупки в сигурността на системата. В последствие компанията бе осъдена да изплати обещетение на всеки засегнат потребител.
ESET разкри първият UEFI руткит, използван в кибератака
Кодът, наречен LoJax, е използван за заразяване на UEFI на компютрите, с което те получават пълен контрол над засегнатите устройства. Според ESET това е първият случай, в който хакери извършват атаки със собствен UEFI руткит. Досега се предполагаше, че с такъв софтуер разполагат единствено някои държавни агенции за сигурност.
Зловредният код, който засяга UEFI, е изключително опасен. Той е нещо като ключ, осигуряващ достъп до целия компютър. Освен това е труден за засичане и може да прескочи редица превантивни мерки като преинсталиране на операционната система и смяна на твърдия диск, поясняват от ESET.
В заключение…
Руткитовете могат да бъдат много коварни по няколко причини. Първо, те се интегрират на по-ниски нива в системата – в самата операционна система, дори във фърмуера. Второ, те модифицират или дори заменят важни системни файлове, библиотеки и услуги. И трето, алгоритъмът им е така направен, че да могат добре да се прикриват. Не бива да пропускаме и най-важното – създадени са за да позволят пълноправен достъп до инфектираната система на трети лица.
Инфектирайки се с руткит не означава непременно, че някой ще достъпва до компютъра ви. При всички положения вие имате проблем със сигурността. Ето защо никога не оставяйте системата си без действащ антивирусен (анти-малуер) софтуер. Актуализирайте както операционната система, така и инсталираните програми, когато има нови актуализации. И не на последно място – бъдете разумни, когато използвате интернет!
© PCGuide.bg. Автор: Светослав Миронов.
Използвани помощни материали:
- Rootkit: What is Rootkit & it’s types? How to Detect it – Comodo Antivirus
- Как открихме първата атака с UEFI руткит – ESET
Казвам се Светослав Миронов и съм администратор на PCGuide.bg. Автор съм на материалите, публикувани тук. Интересите ми са преди всичко в областта на информационните технологии и по-конкретно операционни системи Microsoft Windows, софтуер и антивирусна защита.