Rootkit

Определение

Rootkit (руткит, от Шаблон:Lang-en, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Источник: нет.

Толкование

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Классификация руткитов

• По уровню привилегий
  • Уровня пользователя (user-mode)
  • Уровня ядра (kernel-mode)
• По принципу действия
  • изменяющие алгоритмы выполнения системных функций (Modify execution path)
  • изменяющие системные структуры данных (Direct kernel object manupulation)

Основные методы реализации

В Microsoft Windows

В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему — модификация памяти.

• перехват системных функций Windows API (API hooking) на уровне пользователя;
• то же на уровне ядра (перехват Native API);
• изменение системных структур данных;
• модификация MBR и загрузка до ядра операционной системы — буткиты (известный представитель BackDoor.MaosBoot).

Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных».

В UNIX

• реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
• реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
• основанные на модификации физической памяти ядра.

Дополнительные возможности

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски (см. Защита от несанкционированного копирования#Защита аудио компакт-дисков). Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Примеры

Бесплатные

• Avast! Antivirus — не специализированное средство, но антируткит — один из компонентов.
• Hypersight Rootkit Detector — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.
• Dr.Web CureIt! — Антируткит и не только.
• GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
• Grisoft AVG Antirootkit — один из самых лучших анти-руткитов. Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0
• RootKit Unhooker — один из самых лучших анти-руткитов. Но с частыми зависаниями.
• AVZ — не специализированное средство, но антируткит — один из компонентов.
• Catchme
• DarkSpy Anti-Rootkit
• Helios
• IceSword
• OSAM — не специализированное средство, но антируткит — один из компонентов.
• RKDetector
• RootKit Hook Analyzer
• Rootkit Revealer
• Chkrootkit
• The Rootkit Hunter

Коммерческие

• Avira Antivir Rootkit
• BitDefender Antirootkit
• Dr.Web — сканер Dr.Web для Windows содержит антируткит модуль
• F-Secure BackLite
• McAfee Rootkit Detective
• Panda AntiRootkit
• Sophos Anti-Rootkit
• Trend Micro RootkitBuster
• Kaspersky: AntiVirus и Internet Security — комплексные защиты, включающие в себя антируткиты

Ссылки

• Windows под прицелом — SecurityLab — обзорная статья о руткитах
• Сайт Hell Knights Crew, исследователей, занимающихся в том числе VX/RAT и руткит технологиями
• http://rootkit.com Англоязычный сайт о руткит-технологиях и драйверах режима ядра.