Τι είναι το Rootkit; Πώς λειτουργούν τα Rootkits; Τα Rootkit εξηγούνται.

Παρόλο που είναι δυνατό να αποκρύψετε κακόβουλο λογισμικό με τρόπο που θα ξεγελάσει ακόμη και τα παραδοσιακά προϊόντα προστασίας από ιούς/αντισπιλογισμικό, τα περισσότερα προγράμματα κακόβουλου λογισμικού χρησιμοποιούν ήδη rootkits για να κρύβονται βαθιά στον υπολογιστή σας με Windows … και γίνονται πιο επικίνδυνα! Το DL3 rootkit είναι ένα από τα πιο προηγμένα rootkit που έχουν δει ποτέ στη φύση. Το rootkit ήταν σταθερό και μπορούσε να μολύνει λειτουργικά συστήματα Windows 32 bit. (Windows)αν και απαιτούνταν δικαιώματα διαχειριστή για την εγκατάσταση της μόλυνσης στο σύστημα. Αλλά το TDL3(TDL3) έχει πλέον ενημερωθεί και είναι πλέον σε θέση να μολύνει ακόμη και εκδόσεις 64-bit των Windows(even 64-bit versions  Windows) !

Τι είναι το Rootkit

ιός

Ο ιός Rootkit είναι ένας μυστικός τύπος κακόβουλου λογισμικού  που έχει σχεδιαστεί για να κρύβει την ύπαρξη ορισμένων διεργασιών ή προγραμμάτων στον υπολογιστή σας από τις συνήθεις μεθόδους ανίχνευσης, ώστε να επιτρέπει σε αυτόν ή σε άλλη κακόβουλη διεργασία προνομιακή πρόσβαση στον υπολογιστή σας.

Τα Rootkits για Windows(Rootkits for Windows) χρησιμοποιούνται συνήθως για την απόκρυψη κακόβουλου λογισμικού από, για παράδειγμα, ένα πρόγραμμα προστασίας από ιούς. Χρησιμοποιείται για κακόβουλους σκοπούς από ιούς, worms, backdoors και spyware. Ένας ιός σε συνδυασμό με ένα rootkit παράγει αυτό που είναι γνωστό ως full stealth ιοί. Τα Rootkits είναι πιο κοινά στον τομέα του spyware και πλέον χρησιμοποιούνται επίσης πιο συχνά από τους δημιουργούς ιών.

Είναι πλέον ένας αναδυόμενος τύπος Super Spyware που κρύβεται αποτελεσματικά και επηρεάζει άμεσα τον πυρήνα του λειτουργικού συστήματος. Χρησιμοποιούνται για την απόκρυψη της παρουσίας κακόβουλου αντικειμένου όπως trojan ή keylogger στον υπολογιστή σας. Εάν μια απειλή χρησιμοποιεί τεχνολογία rootkit για απόκρυψη, είναι πολύ δύσκολο να βρείτε το κακόβουλο λογισμικό στον υπολογιστή σας.

Τα Rootkit από μόνα τους δεν είναι επικίνδυνα. Ο μόνος τους σκοπός είναι να κρύψουν το λογισμικό και τα ίχνη που έχουν μείνει πίσω στο λειτουργικό σύστημα. Είτε πρόκειται για κανονικό λογισμικό είτε για προγράμματα κακόβουλου λογισμικού.

Υπάρχουν βασικά τρεις διαφορετικοί τύποι Rootkit . Ο πρώτος τύπος, τα " Kernel Rootkits " συνήθως προσθέτουν τον δικό τους κώδικα σε μέρη του πυρήνα του λειτουργικού συστήματος, ενώ ο δεύτερος τύπος, τα " Rootkits λειτουργίας χρήστη(User-mode Rootkits) " στοχεύουν ειδικά στα Windows για κανονική εκκίνηση κατά την εκκίνηση του συστήματος. ή εγχύεται στο σύστημα από το λεγόμενο «Dropper». Ο τρίτος τύπος είναι MBR Rootkits ή Bootkits(MBR Rootkits or Bootkits) .

Όταν διαπιστώσετε ότι το Anti- Virus(AntiVirus) & AntiSpyware αποτυγχάνει, ίσως χρειαστεί να ζητήσετε τη βοήθεια ενός καλού βοηθητικού προγράμματος Anti-Rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . Το RootkitRevealer(RootkitRevealer) από το Microsoft Sysinternals(Microsoft Sysinternals) είναι ένα προηγμένο βοηθητικό πρόγραμμα εντοπισμού rootkit. Η έξοδος του παραθέτει ασυμφωνίες API μητρώου(Registry) και συστήματος αρχείων που μπορεί να υποδηλώνουν την παρουσία ενός rootkit λειτουργίας χρήστη ή πυρήνα.

Αναφορά απειλών του Κέντρου προστασίας από κακόβουλο λογισμικό της Microsoft(Microsoft Malware Protection Center Threat Report) σε  Rootkits

Το Κέντρο προστασίας από κακόβουλο λογισμικό της Microsoft(Microsoft Malware Protection Center) έχει διαθέσει για λήψη την Αναφορά απειλών(Threat Report) για τα Rootkits . Η έκθεση εξετάζει έναν από τους πιο ύπουλους τύπους κακόβουλου λογισμικού που απειλούν σήμερα οργανισμούς και άτομα - το rootkit. Η αναφορά εξετάζει τον τρόπο με τον οποίο οι εισβολείς χρησιμοποιούν τα rootkits και πώς λειτουργούν τα rootkits σε υπολογιστές που επηρεάζονται. Ακολουθεί μια ουσία της αναφοράς, ξεκινώντας από το τι είναι τα Rootkit(Rootkits) – για τον αρχάριο.

Το Rootkit(Rootkit) είναι ένα σύνολο εργαλείων που χρησιμοποιεί ένας εισβολέας ή ένας δημιουργός κακόβουλου λογισμικού για να αποκτήσει τον έλεγχο οποιουδήποτε εκτεθειμένου/μη ασφαλούς συστήματος το οποίο κατά τα άλλα προορίζεται κανονικά για έναν διαχειριστή συστήματος. Τα τελευταία χρόνια ο όρος «ROOTKIT» ή «ROOTKIT FUNCTIONALITY» έχει αντικατασταθεί από το MALWARE – ένα πρόγραμμα που έχει σχεδιαστεί για να έχει ανεπιθύμητα αποτελέσματα σε έναν υγιή υπολογιστή. Η κύρια λειτουργία του κακόβουλου λογισμικού είναι να αποσύρει πολύτιμα δεδομένα και άλλους πόρους από τον υπολογιστή ενός χρήστη κρυφά και να τα παρέχει στον εισβολέα, δίνοντάς του έτσι τον πλήρη έλεγχο του παραβιασμένου υπολογιστή. Επιπλέον, είναι δύσκολο να εντοπιστούν και να αφαιρεθούν και μπορούν να παραμείνουν κρυφά για παρατεταμένες περιόδους, ενδεχομένως και χρόνια, εάν περάσουν απαρατήρητα.

Επομένως, φυσικά, τα συμπτώματα ενός υπολογιστή που έχει υποστεί βλάβη πρέπει να καλυφθούν και να ληφθούν υπόψη πριν το αποτέλεσμα αποδειχθεί μοιραίο. Ειδικότερα, θα πρέπει να ληφθούν πιο αυστηρά μέτρα ασφαλείας για την αποκάλυψη της επίθεσης. Όμως, όπως αναφέρθηκε, μόλις εγκατασταθούν αυτά τα rootkits/κακόβουλο λογισμικό, οι κρυφές δυνατότητές του καθιστούν δύσκολη την αφαίρεση του και των στοιχείων του που μπορεί να κατεβάσει. Για αυτόν τον λόγο, η Microsoft έχει δημιουργήσει μια αναφορά για τα ROOTKITS .

Η αναφορά 16 σελίδων περιγράφει πώς ένας εισβολέας χρησιμοποιεί rootkits και πώς λειτουργούν αυτά τα rootkits σε υπολογιστές που επηρεάζονται.

Ο μοναδικός σκοπός της έκθεσης είναι να εντοπίσει και να εξετάσει προσεκτικά το ισχυρό κακόβουλο λογισμικό που απειλεί πολλούς οργανισμούς, ιδιαίτερα τους χρήστες υπολογιστών. Αναφέρει επίσης μερικές από τις διαδεδομένες οικογένειες κακόβουλου λογισμικού και φέρνει στο φως τη μέθοδο που χρησιμοποιούν οι εισβολείς για να εγκαταστήσουν αυτά τα rootkits για τους δικούς τους εγωιστικούς σκοπούς σε υγιή συστήματα. Στο υπόλοιπο της αναφοράς, θα βρείτε ειδικούς που κάνουν κάποιες συστάσεις για να βοηθήσουν τους χρήστες να μετριάσουν την απειλή από τα rootkits.

Τύποι Rootkit

Υπάρχουν πολλά μέρη όπου το κακόβουλο λογισμικό μπορεί να εγκατασταθεί σε ένα λειτουργικό σύστημα. Έτσι, κυρίως ο τύπος του rootkit καθορίζεται από τη θέση του όπου εκτελεί την ανατροπή της διαδρομής εκτέλεσης. Αυτό περιλαμβάνει:

  1. Rootkits λειτουργίας χρήστη
  2. Ριζικά κιτ λειτουργίας πυρήνα
  3. MBR Rootkits/bootkits

Το πιθανό αποτέλεσμα ενός συμβιβασμού του rootkit σε λειτουργία πυρήνα απεικονίζεται μέσω ενός στιγμιότυπου οθόνης παρακάτω.

Ο τρίτος τύπος, τροποποιήστε το Master Boot Record για να αποκτήσετε τον έλεγχο του συστήματος και να ξεκινήσετε τη διαδικασία φόρτωσης του πρώιμου δυνατού σημείου στην ακολουθία εκκίνησης3. Αποκρύπτει αρχεία, τροποποιήσεις μητρώου, στοιχεία συνδέσεων δικτύου καθώς και άλλους πιθανούς δείκτες που μπορούν να υποδείξουν την παρουσία του.

Αξιοσημείωτες οικογένειες κακόβουλων προγραμμάτων(Malware) που χρησιμοποιούν τη λειτουργικότητα του Rootkit

  • Win32/Sinowal 13 – Μια οικογένεια κακόβουλου λογισμικού πολλαπλών συστατικών που προσπαθεί να κλέψει ευαίσθητα δεδομένα, όπως ονόματα χρηστών και κωδικούς πρόσβασης για διαφορετικά συστήματα. Αυτό περιλαμβάνει την απόπειρα κλοπής στοιχείων ελέγχου ταυτότητας για μια ποικιλία λογαριασμών FTP , HTTP και email, καθώς και διαπιστευτήρια που χρησιμοποιούνται για ηλεκτρονικές τραπεζικές συναλλαγές και άλλες οικονομικές συναλλαγές.
  • Win32/Cutwail 15 – Ένας Trojan που κατεβάζει και εκτελεί αυθαίρετα αρχεία. Τα ληφθέντα αρχεία μπορούν να εκτελεστούν από το δίσκο ή να εγχυθούν απευθείας σε άλλες διεργασίες. Ενώ η λειτουργικότητα των ληφθέντων αρχείων είναι μεταβλητή, το Cutwail συνήθως κατεβάζει άλλα στοιχεία που στέλνουν ανεπιθύμητα μηνύματα. Χρησιμοποιεί ένα rootkit λειτουργίας πυρήνα και εγκαθιστά πολλά προγράμματα οδήγησης συσκευών για να κρύψει τα στοιχεία του από τους επηρεαζόμενους χρήστες.
  • Win32/Rustock  – Μια οικογένεια πολλαπλών συστατικών backdoor Trojans με δυνατότητα rootkit που αρχικά αναπτύχθηκε για να βοηθήσει στη διανομή «spam» email μέσω ενός botnet . Ένα botnet είναι ένα μεγάλο δίκτυο υπολογιστών που ελέγχονται από εισβολείς.

Προστασία από rootkit

Η πρόληψη της εγκατάστασης rootkit είναι η πιο αποτελεσματική μέθοδος για την αποφυγή μόλυνσης από rootkits. Για αυτό, είναι απαραίτητο να επενδύσουμε σε τεχνολογίες προστασίας, όπως προϊόντα προστασίας από ιούς και τείχους προστασίας. Τέτοια προϊόντα θα πρέπει να ακολουθούν μια ολοκληρωμένη προσέγγιση για την προστασία χρησιμοποιώντας παραδοσιακή ανίχνευση βάσει υπογραφών, ευρετική ανίχνευση, ικανότητα δυναμικής και απόκρισης υπογραφής και παρακολούθηση συμπεριφοράς.

Όλα αυτά τα σύνολα υπογραφών θα πρέπει να διατηρούνται ενημερωμένα χρησιμοποιώντας έναν αυτοματοποιημένο μηχανισμό ενημέρωσης. Οι λύσεις προστασίας από ιούς της Microsoft(Microsoft) περιλαμβάνουν μια σειρά από τεχνολογίες που έχουν σχεδιαστεί ειδικά για τον μετριασμό των rootkits, συμπεριλαμβανομένης της παρακολούθησης συμπεριφοράς του πυρήνα ζωντανού που εντοπίζει και αναφέρει τις προσπάθειες τροποποίησης του πυρήνα ενός επηρεαζόμενου συστήματος και άμεση ανάλυση συστήματος αρχείων που διευκολύνει τον εντοπισμό και την αφαίρεση κρυφών προγραμμάτων οδήγησης.

Εάν ένα σύστημα βρεθεί σε κίνδυνο, τότε ένα πρόσθετο εργαλείο που σας επιτρέπει να εκκινήσετε σε ένα γνωστό καλό ή αξιόπιστο περιβάλλον μπορεί να αποδειχθεί χρήσιμο, καθώς μπορεί να προτείνει ορισμένα κατάλληλα μέτρα αποκατάστασης.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Κάτω από τέτοιες συνθήκες,

  1. Το εργαλείο αυτόνομου σάρωθρου συστήματος(Standalone System Sweeper) (μέρος του συνόλου εργαλείων διάγνωσης(Diagnostics) και αποκατάστασης της (Recovery Toolset)Microsoft ( DaRT )
  2. Το Windows Defender Offline μπορεί να είναι χρήσιμο.

Για περισσότερες πληροφορίες, μπορείτε να κάνετε λήψη της αναφοράς PDF από το Κέντρο λήψης της Microsoft.(Microsoft Download Center.)



About the author

Είμαι έμπειρος ειδικός στα windows 10 και 11/10, με εμπειρία τόσο σε προγράμματα περιήγησης όσο και σε εφαρμογές smartphone. Είμαι μηχανικός λογισμικού για περισσότερα από 15 χρόνια και έχω συνεργαστεί με μια σειρά από μεγάλες εταιρείες, όπως η Microsoft, η Google, η Apple, η Ubisoft και άλλες. Έχω διδάξει επίσης ανάπτυξη windows 10/11 σε επίπεδο κολεγίου.



Related posts