Руткит

от Уикипедия, свободната енциклопедия
(пренасочване от Rootkit)
Jump to navigation Jump to search

Rootkit или руткит (от англ. root kit, „набор от средства за получаване на пълни права на администратор - root права“) - (малуер) представлява зловреден код, който се разпространява като инфекция чрез мрежи за обмен на данни от типа равен-с-равен (peer-to-peer) или от повредени уеб-сайтове, които са инфектирани с такъв зловреден код.

Обикновено този тип малуер работи с някаква технология за покриване, което прави неговото детектиране и отстраняване значително усложнено. Руткитът е проектиран да скрива съществуването на определени процеси и програми от нормалните методи за детектиране на процеси в системата, като разрешава на Противника (хипотетичен мат. алгоритъм за тестване на информационни системи за кибер-сигурност) продължителен привилегирован достъп до дадена компютърна система или информационна среда.

Руткитът може да се разпространява също от тор сървъри, които са инфектирани резидентно в мрежата и активират малуера при констатиране на кибер-нередности като напр. нарушени авторски права, пиратствано съдържание и др. Някои от разновидностите на руткит работят със стелт технология, което прави тяхното детектиране и отстраняване изключително трудно.

Произход[редактиране | редактиране на кода]

Терминът произлиза от UNIX средите, където потребителят с най-големите права, аналогичен на „Администратор“ в Windows, се нарича „root“. Там са били разработени първите набори такива програми, които хакерът е инсталирал след първоначалното проникване в системата. Освен да дават достъп на хакера като root (супер потребител), тези набори се грижат за укриване на собственото си съществуване и действия. Освен като отделни програми, руткитът може да е във вид на злонамерено променени програмни файлове на системата, с които са подменени оригиналните ѝ. Към руткита влизат и останалите хакерски програми, работещи на превзетият компютър — снифъри, скенери, троянски коне. Обикновено изпълнението на такива програми на чуждия компютър е целта на превземането.

Действие[редактиране | редактиране на кода]

В операционната система Windows под Rootkit се разбира внедрена в системата програма, която прихваща системните функции. Така достатъчно качествено маскира присъствието им в системата. Работещият руткит прави невидими някои процеси и услуги, както и файлове, и цели директории по диска. Някои Rootkit качват в системата свои драйвери и услуги (services), като естествено и това е невидимо.

В UNIX/Linux rootkit-ът обикновено е комплект от системни програми модифицирани така, че да скриват присъствието на натрапника и модул/модули за ядрото на операционната система целящи същото.

Добре работещият руткит може да бъде неоткриваем. Той не оставя следи по логовете. Показва фалшифицирани конфигурационни файлове и/или ключове в регистратурата, от които не личи неговото стартиране. Показва фалшиви данни за работещите процеси и натоварването на процесора. Не дава да се видят, променят или трият неговите файлове. Накратко: работещият на този компютър вижда не истинското положение, а това, което му показва руткитът. За работещ руткит може да възникне съмнение само по усет - „тази система не е натоварена, а работи бавно“ или по логове на мрежовата активност на засегнатия компютър, но направени от друг компютър, за да се избегне вероятността руткитът да фалшифицира и тях.

От Rootkit се възползват не само хакери. Например Sony BMG използваше такъв за защита на музикални дискове с авторски права. Руткита се качва без знанието (да не говорим за съгласието!) на потребителя, ако той ползва функцията AUTORUN на Windows.

Откриване и премахване[редактиране | редактиране на кода]

Съществуват инструменти както за UNIX и UNIX-подобните операционни системи, така и за версиите на Microsoft Windows, предназначени за откриване и премахване на руткит-ове. Два от най-популярните такива инструменти са chkrootkit за UNIX, RootkitRevealer и Gmer за Windows.