Как работи откриването на руткит в днешно време?

Вероятно сте запознати с компютърни вируси, рекламен софтуер, шпионски софтуер и други злонамерени програми, които в по-голямата си част се считат за заплахи. Въпреки това, различна форма или клас зловреден софтуер (руткитове) може да бъде най-опасният от тях. Под „опасен“ имаме предвид нивото на вреда, която вредоносната програма може да причини, и трудностите, които потребителите имат при намирането и премахването й.





Какво представляват руткитите?

Руткитите са вид зловреден софтуер, предназначен да предостави на неоторизирани потребители достъп до компютри (или определени приложения на компютри). Руткитите са програмирани да останат скрити (извън полезрението), докато поддържат привилегирован достъп. След като руткитът попадне в компютъра, той лесно прикрива присъствието си и потребителите едва ли ще го забележат.

Как руткитът вреди на компютър?

По същество, чрез руткит, киберпрестъпниците могат да контролират вашия компютър. С такава мощна злонамерена програма те могат да принудят вашия компютър да прави каквото и да било. Те могат да откраднат вашите пароли и друга чувствителна информация, да проследят всички дейности или операции, които се изпълняват на вашия компютър, и дори да деактивират вашата програма за сигурност.

Като се имат предвид впечатляващите възможности на руткитите да отвличат или отказват приложения за сигурност, те са доста трудни за откриване или сблъскване, дори повече от средната злонамерена програма. Руткитите могат да съществуват или да работят на компютри за дълъг период от време, като същевременно избягват откриването и причиняват значителни щети.



Понякога, когато играят разширени руткитове, потребителите нямат друг избор, освен да изтрият всичко на компютъра си и да започнат всичко отначало - ако искат да се отърват от зловредните програми.

Всеки зловреден софтуер руткит ли е?

Не. Ако нещо друго, само малка част от зловредния софтуер са руткитове. В сравнение с други злонамерени програми, руткитите са значително напреднали по отношение на дизайн и програмиране. Руткитите могат да направят много повече от средния зловреден софтуер.

Ако трябва да следваме строги технически дефиниции, тогава руткитът не е точно форма или тип злонамерена програма. Руткитите просто съответстват на процеса, използван за разполагане на зловреден софтуер на цел (обикновено на конкретен компютър или отделен човек или организация). Разбираемо е, че тъй като руткитите се появяват доста често в новините за кибератаки или хакове, терминът носи негативна конотация.



За да бъдем честни, руткитите работят доста подобно на зловредния софтуер. Те обичат да работят без ограничения върху компютрите на жертвите; те не искат защитни комунални услуги да ги разпознаят или намерят; те обикновено се опитват да откраднат неща от целевия компютър. В крайна сметка руткитите са заплахи. Следователно те трябва да бъдат блокирани (за да им попречат да влязат на първо място) или адресирани (ако вече са намерили път).

Защо се използват или избират руткитове?

Атакуващите използват руткитове за много цели, но в повечето случаи се опитват да ги използват, за да подобрят или разширят възможностите за стелт в зловредния софтуер. С повишен стелт, злонамерените полезни товари, разположени на компютър, могат да останат неоткрити за по-дълго, докато лошите програми работят за ексфилтрация или премахване на данни от мрежата.

Руткитите са доста полезни, тъй като осигуряват удобен начин или платформа, чрез която неоторизирани участници (хакери или дори държавни служители) получават достъп до задната врата до системите. Руткитите обикновено постигат целта, описана тук, като подменят механизмите за вход, за да принудят компютрите да им предоставят таен достъп за друго лице.



Руткитите също могат да бъдат внедрени, за да компрометират или претоварят компютъра, за да позволят на нападателя да получи контрол и да използва устройството като инструмент за изпълнение на определени задачи. Например хакерите се насочват към устройства с руткитове и ги използват като ботове за DDoS (Distributed Denial of Service) атаки. При такъв сценарий, ако източникът на DDoS някога бъде открит и проследен, това ще доведе до компрометирания компютър (жертвата), вместо до истинския отговорен компютър (нападателя).

Компрометираните компютри, които участват в подобни атаки, са известни като зомби компютри. DDoS атаките едва ли са единствените лоши неща, които атакуващите правят с компрометирани компютри. Понякога хакерите използват компютрите на жертвите си, за да извършват измами с кликване или да разпространяват спам.

Интересното е, че има сценарии, при които руткитите се разполагат от администратори или обикновени лица за добри цели, но примери за такива все още са доста редки. Виждали сме доклади за някои ИТ екипи, които изпълняват руткитове в меден съд за откриване или разпознаване на атаки. Е, по този начин, ако успеят със задачите, те ще подобрят своите техники за емулация и приложения за сигурност. Те могат също така да получат известни знания, които след това биха могли да приложат за подобряване на устройствата за защита срещу кражба.



Въпреки това, ако някога се наложи да се справите с руткит, шансовете са, че руткитът се използва срещу вас (или вашите интереси). Следователно е важно да научите как да откривате злонамерени програми от този клас и как да се защитите (или вашия компютър) срещу тях.

Видове руткитове

Има различни форми или видове руткитове. Можем да ги класифицираме въз основа на начина им на заразяване и нивото, на което работят на компютри. Е, това са най-често срещаните типове руткит:

  1. Руткит в режим на ядро:

Руткитите в режим на ядро ​​са руткитове, предназначени да вмъкват зловреден софтуер в ядрото на операционните системи, за да променят функционалността или настройката на ОС. Под „ядро“ имаме предвид централната част на операционната система, която контролира или свързва операции между хардуера и приложенията.

Атакуващите се затрудняват да разгърнат руткитите в режим на ядро, тъй като такива руткити са склонни да причиняват срив на системите, ако използваният код се провали. Ако обаче успеят някога да успеят с внедряването, тогава руткитите ще могат да нанесат невероятни щети, тъй като ядрата обикновено притежават най-високите нива на привилегии в системата. С други думи, с успешни руткитове в режим на ядро, нападателите получават лесни разходки с компютрите на жертвите си.

  1. Потребителски режим руткит:

Руткитите в този клас са тези, които се изпълняват, като действат като обикновени или обикновени програми. Те са склонни да работят в същата среда, в която се изпълняват приложенията. Поради тази причина някои експерти по сигурността ги наричат ​​руткитове на приложения.

Руткитите в потребителски режим са относително по-лесни за разгръщане (отколкото руткитите в режим на ядро), но те са в състояние и на по-малко. Те нанасят по-малко щети от руткитите на ядрото. Теоретично приложенията за сигурност по-лесно се справят с руткитите в потребителски режим (в сравнение с други форми или класове руткити).

  1. Bootkit (boot rootkit):

Bootkits са руткити, които разширяват или подобряват способностите на обикновените руткити, като заразяват Master Boot Record. Малките програми, които се активират по време на стартиране на системата, представляват Master Boot Record (който понякога се съкращава като MBR). Буткитът е основно програма, която атакува системата и работи, за да замени нормалния буутлоудър с хакната версия. Такъв руткит се активира дори преди операционната система на компютъра да се стартира и установи.

Като се има предвид начинът на заразяване на bootkits, атакуващите могат да ги използват в по-постоянни форми на атаки, тъй като са конфигурирани да стартират, когато системата се включи (дори след нулиране на защитата). Освен това те са склонни да останат активни в системната памет, което е място, което рядко се сканира от приложения за сигурност или ИТ екипи за заплахи.

  1. Руткит на паметта:

Руткитът с памет е вид руткит, предназначен да се скрие в RAM паметта на компютъра (съкращение от памет с произволен достъп, което е същото като временната памет). След това тези руткитове (веднъж в паметта) работят за изпълнение на вредни операции във фонов режим (без потребителите да знаят за тях).

За щастие руткитите с памет обикновено имат кратък живот. Те могат да живеят в RAM на компютъра ви само за сесия. Ако рестартирате компютъра си, те ще изчезнат - поне на теория би трябвало. Въпреки това в някои сценарии процесът на рестартиране не е достатъчен; потребителите може да се наложи да свършат някаква работа, за да се отърват от руткитите на паметта.

  1. Руткит за хардуер или фърмуер:

Руткитите за хардуер или фърмуер получават името си от мястото, където са инсталирани на компютрите.

Известно е, че тези руткитове се възползват от софтуера, вграден във фърмуера на системите. Фърмуерът се отнася до специалния програмен клас, който осигурява контрол или инструкции на ниско ниво за конкретен хардуер (или устройство). Например, вашият лаптоп има фърмуер (обикновено BIOS), който е бил зареден в него от неговия производител. Вашият рутер също има фърмуер.

Тъй като руткитите на фърмуера могат да съществуват на устройства като рутери и устройства, те могат да останат скрити много дълго - тъй като тези хардуерни устройства рядко се проверяват или проверяват за целостта на кода (ако изобщо се проверяват). Ако хакерите заразят маршрутизатора или устройството ви с руткит, те ще могат да прихващат данните, преминаващи през устройството.

Как да се предпазим от руткитите (съвети за потребителите)

Дори най-добрите програми за защита все още се борят срещу руткитите, така че е по-добре да направите всичко необходимо, за да предотвратите въвеждането на руткитите на вашия компютър на първо място. Не е толкова трудно да останеш в безопасност.

Ако се придържате към най-добрите практики за защита, шансовете компютърът ви да се зарази от руткит значително намалява. Ето някои от тях:

  1. Изтеглете и инсталирайте всички актуализации:

Просто не можете да си позволите да игнорирате актуализации за каквото и да било. Да, разбираме, че актуализациите на приложенията могат да досаждат и актуализациите на вашата операционна система могат да обезпокоят, но не можете да се справите без тях. Поддържането на актуализираните програми и операционна система гарантира, че получавате корекции на дупки в сигурността или уязвимости, от които атакуващите се възползват, за да инжектират руткитове във вашия компютър. Ако дупките и уязвимостите се затворят, вашият компютър ще бъде по-добър за него.

  1. Внимавайте за фишинг имейли:

Имейлите за фишинг обикновено се изпращат от измамници, които искат да ви подмамят да им предоставите вашата лична информация или чувствителни данни (например данни за вход или пароли). Въпреки това, някои фишинг имейли насърчават потребителите да изтеглят и инсталират някакъв софтуер (който обикновено е злонамерен или вреден).

Такива имейли може да изглеждат като получени от легитимен подател или доверено лице, така че трябва да внимавате за тях. Не отговаряйте на тях. Не кликвайте върху нищо в тях (връзки, прикачени файлове и т.н.).

  1. Внимавайте за изтегляне на драйвери и нежелани инсталации:

Тук искаме да обърнете внимание на нещата, които се изтеглят на вашия компютър. Не искате да получавате злонамерени файлове или лоши приложения, които инсталират злонамерени програми. Трябва също да имате предвид приложенията, които инсталирате, тъй като някои легитимни приложения са в комплект с други програми (които могат да бъдат злонамерени).

В идеалния случай трябва да получавате само официалните версии на програмите от официални страници или центрове за изтегляне, да правите правилния избор по време на инсталациите и да обръщате внимание на процесите на инсталиране за всички приложения.

  1. Инсталирайте защитна програма:

Ако rootkit трябва да влезе във вашия компютър, тогава влизането му вероятно ще бъде свързано с наличието или съществуването на друга злонамерена програма на вашия компютър. Шансовете са, че доброто антивирусно или антималуерно приложение ще открие първоначалната заплаха, преди да бъде въведен или активиран руткит.

Можете да получите Anti-Malware. Ще бъде добре да се доверите на препоръчаното приложение, тъй като добрите програми за сигурност все още представляват най-добрата ви защита срещу всички форми на заплахи.

Как да открием руткитове (и някои съвети за организации и ИТ администратори)

Малко са помощните програми, които могат да откриват и премахват руткитове. Дори компетентните приложения за сигурност (за които се знае, че се справят с такива злонамерени програми) понякога се борят или не успяват да свършат работата правилно. Неуспехите при премахване на руткит са по-чести, когато зловредният софтуер съществува и работи на ниво ядро ​​(руткити в режим на ядро).

Понякога преинсталирането на операционната система на машина е единственото нещо, което може да се направи, за да се отървете от руткит. Ако имате работа с руткитове на фърмуера, може да се наложи да замените някои хардуерни части в засегнатото устройство или да получите специализирано оборудване.

Един от най-добрите процеси за откриване на руткит изисква потребителите да изпълняват сканиране от първо ниво за руткитове. Под „сканиране от най-високо ниво“ имаме предвид сканиране, което се управлява от отделна чиста система, докато заразената машина се изключва. На теория такова сканиране трябва да направи достатъчно, за да провери за подписи, оставени от нападателите, и трябва да може да идентифицира или разпознае някаква лоша игра в мрежата.

Можете също така да използвате анализ на дъмп на паметта, за да откриете руткитове, особено ако подозирате, че е включен буткит - който се фиксира върху системната памет, за да работи. Ако в обикновена компютърна мрежа има руткит, той вероятно няма да бъде скрит, ако изпълнява команди, включващи използването на памет - и управляваният доставчик на услуги (MSP) ще може да преглежда инструкциите, които злонамерената програма изпраща .

Анализът на поведението е друга надеждна процедура или метод, който понякога се използва за откриване или проследяване на руткитове. Тук, вместо да проверявате директно за руткит, като проверявате системната памет или наблюдавате подписи за атаки, трябва да потърсите симптоми на руткит на компютъра. Неща като бавна оперативна скорост (значително по-ниска от нормалната), странен мрежов трафик (който не би трябвало да е там) и други често срещани девиантни модели на поведение трябва да отменят руткитите.

Доставчиците на мениджърски услуги всъщност могат да внедрят принципа на най-малките привилегии (PoLP) като специална стратегия в системите на своите клиенти за справяне или смекчаване на последиците от руткит инфекция. Когато се използва PoLP, системите са конфигурирани да ограничават всеки модул в мрежата, което означава, че отделните модули получават достъп само до информацията и ресурсите, необходими за тяхната работа (специфични цели).

Е, предложената настройка осигурява по-строга сигурност между рамената на мрежата. Той също така прави достатъчно, за да блокира инсталирането на злонамерен софтуер към мрежови ядра от неоторизирани потребители, което означава, че предотвратява проникването на руткитове и причиняване на проблеми.

За щастие средно руткитите намаляват (в сравнение с обема на други злонамерени програми, които се разпространяват през последните години), тъй като разработчиците непрекъснато подобряват сигурността в операционните системи. Защитата на крайните точки става все по-силна и по-голям брой процесори (или процесори) са проектирани да използват вградени режими за защита на ядрото. Въпреки това, понастоящем руткитите все още съществуват и те трябва да бъдат идентифицирани, прекратени и премахнати, където и да бъдат намерени.