Руткиты вовсе не новое явление, поскольку их появление связывают еще с UNIX-платформами. Однако, за последние годы этот вид вредоносного ПО стал всё чаще использоваться для маскировки вредоносных кодов в зараженных компьютерах.
[Вверх]
Что такое руткит?
Первоначально в контексте систем вида UNIX руткитом называлась группа утилит, принадлежащих самой операционной системе, таких как netstat , passwd и ps, которые изменялись хакером для того, чтобы получить неограниченный доступ к компьютеру, не пордвергаясь риску быть обнаруженным системным администратором.
В рамках системной терминологии UNIX, системный администратор назывался "рут", в соответствии с родовым именем для утилит, которые оставались в системе в скрытом виде сразу после получения рут-прав.
Сегодня наиболее распространены операционные системы Windows, но понятие остается прежним
Руткит Windows – это программа, крывающая некоторые элементы (файлы, процессы, записи в реестре Windows, адреса ячеек памяти, сетевые подключения и др.) от других программ или операционной системы.
Как мы видим, данное определение само по себе не представляет для системы никакого вреда – это технология, которая может быть использована как в конструктивных, так и в деструктивных целях.
[Вверх]
Какую опасность представляют руткиты?
В таком смысле, что противоречит общественному мнению, руткиты – это вовсе не утилиты, которые могут быть использованы для нанесения вреда компьютеру.
В системах UNIX руткиты используются как гарантия непрерывного доступа к удаленному компьютеру, которые предварительно был заражен с целью, например:
- Установки backdoor-кода, через который можно получать доступ к компьютеру.
- Сокрытия изменений, примененных к конфигурации.
- Сокрытия логов, оставшихся после вторжения в систему.
Для систем Windows цель остается аналогичной: сокрытие существования внутри компьютера других элементов, для того, чтобы их присутствие и выполнение не могли быть обнаружены пользователем и даже антивирусным ПО. Если такие элементы представлены вирусами, тогда владелец компьютера столкнется с серьезной проблемой.
В 2005 году были обнаружены первые варианты вредоносного ПО, использующие руткиты (внешние утилиты, а также технологии, включенный в их код) для сокрытия своей деятельности. Боты, рекламное ПО и шпионское ПО включили такие характеристики в собственные свойства, что дало начало тенденции, со временем только укрепляющей свои позиции.
Этот факт идеально соответствует актуальной динамике вредоносного ПО. Поскольку цель вредоносного ПО – совершение информационных преступлений с конечным получением экономической прибыли, особенно важно, чтобы оно не обращало на себя внимания, а в лучшем случае и вовсе оставалось незамеченным. В таком случае вредоносное ПО будет активно работать внутри компьтера максимально долгое время, не будучи обнаруженным.
С другой стороны, есть и потенциальные преимущества использования руткитов, которые могут вполне легитимно применяться в следующих областях:
- Мониторинг сотрудников.
- Защита интеллектуальных данных.
- Защита программ от действия вредоносных кодов или ошибок пользователей (случайное удаление, например).
В свете такого предположительно положительного использования произошел случай, получивший широкую огласку в СМИ в конце 2005 года. Эксперт Марк Руссинович обнаружил, что система защиты от копирования, включаемая компанией Sony в некоторые продукты, содержала руткит под названием XCP, который блокировал возможность отключения упомянутой выше защиты.
После того, как был опубликован детальный анализ этой ситуации, вскоре начали появляться образцы вредоносного ПО (например, backdoor-код Ryknos.A backdoor), в которых данный руткит использовался для сокрытия вредоносного кода в системах с установленной системой защиты от копирования.
В итоге Sony пришлось разработать утилиту для удаления руткита и деинсталляции системы защиты от копирования.
Как мы видим, даже если руткит используется в легитимных целях, всегда есть особенности, которые требуют тщательного анализа.
[Вверх]
Какие виды руткитов существуют?
Руткиты можно классифицировать в соответствии со следующими характеристиками:
- Постоянство существования:
- Постоянный руткит активируется при каждом запуске системы. Для этого ему необходимо хранить свой код внутри компьютера, а также нужен способ для автоматического самозапуска.
- С другой стороны, непостоянный руткит не способен автоматически перезапускаться после перезагрузки системы.
- Способ выполнения руткита:
- Режим пользователя: данный вид руткита перехватывает системные запросы и фильтрует информацию, возвращаемую API (Application Programming Interface). Наиболее известный руткит, принадлежащий к данном увиду, это Hacker Defender.
- Режим ядра (ядро операционной системы): такие руткиты модицируют структуру данных ядра, а также перехватывают собственный API ядра. Это наиболее надежный и действенный способ перехвата системы.
В плане других методов и технологий, используемых для производства руткитов, необходимо обратить внимание на случай в Университете Мичигана и Microsoft. В марте 2006 года был разработан руткит, основанный на виртуальной технологии. Его основная функция заключалась в модификации пусковой последовательности компьютера, за счет чего руткит загружался вместо операционной системы. Далее руткит сам загружал операционную систему, как будто это была виртуальная машина, за счет чего перехватывалась вся информация, которой обменивались ОС и аппаратное обеспечение. После установки этот руткит обнаружить практически невозможно.
[Вверх]
Как мне защитить себя от руткитов?
Война против руткитов – это настоящая вооруженная борьба, в рамках которой создатели руткитов разрабатывают новые способы для того, чтобы оставаться незамеченными, а антивирусные компании предпринимают ответные меры для того, чтобы защитить своих клиентов.
Для обнаружения руткитов в системе можно использовать следующие технологии:
- Сигнатурное обнаружение: действенная технология, которая успешно применяестя антивирусными компаниями уже на протяжении многих лет. Данная технология основана на сканировании файлов и их сравнении с коллекцией сигнатур известного вредоносного ПО
- Эвристическое или поведенческое обнаружение: идентифицирует руткиты путем распознавания любых отклонений в нормальной деятельности компьютера.
- Обнаружение по сравнению: Результаты, возвращенные операционной системой, сравниваются с результатами, полученными посредством низкоуровневых запросов – наличие каких-либо различий свидетельствует о присутствии в системе руткита.
- Обнаружение на основе целостности: отпределяет наличие руткита путем сравнения файлов и памяти с надежным тестовым статусом.
Каждая из перечисленных технологий имеет свои ограничения, поэтому рекомендуется сочетать различные технологии. Также необходимо учесть, что некоторые их этих руткитов специально разработаны для того, чтобы не быть обнаруженными лидирующими на рынке антивирусными компаниями.
Первая линия защиты от руткитов состоит в том, чтобы не дать им проникнуть в Ваш компьютер. Для этого, пожалуйста, всегда держите в уме следующие советы для защиты от вредоносного ПО:
- Установите на компьютере хорошее антивредоносное решение и следите, чтобы оно всегда было обновлено и активно.
- Установите файервол, который будет защищать Ваш компьютер от несанкционированного доступа.
- Всегда следите за тем, чтобы установленные на Вашем компьютере приложения были обновлены, а также применяйте все доступные патчи, выпускаемые производителями.
Однако, защита компьютера от руткитов – это непростая задача, и здесь нельзя ограничиваться рядом мер для общей защиты ПК.
Для того, чтобы помочь пользователям обнаружить существование руткитов в компьютерах и удалить их, Panda Security выпустила утилиту Panda Anti-Rootkit. Используйте эту бесплатную утилиту для обнаружения и удаления всех возможных руткитов в Вашем компьютере.
