Что такое руткиты? Описание методов работы руткитов и борьбы с ними

Чем руткит отличается от вируса БЕЗОПАСНОСТЬ
Каждый из нас хоть раз слышал о руткитах, это программы, способные остаться абсолютно незамеченными. Они сделают так, что ты даже не узнаешь об их присутствии, скрывая все свои процессы, файлы, соединения. Немногие пользователи знают, как руткит остается невидимым. Поэтому эта статья предназначена не для системных программистов, а для обычных юзеров, которые хотят узнать больше о своей операционной системе и понять что такое руткиты и как они работают.

Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит (rootkit) – это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.

Руткит (rootkit) – это вредоносное программное обеспечение, которое скрытно выполняется в компьютере и предоставляет доступ злоумышленникам к различным возможностям. В дополнении к механизму собственного скрытия, чаще всего такие вирусы содержат в себе различного рода набор дополнительных инструментов – содержит в себе абсолютно весь набор функций вредоносного ПО.

Это могут быть:

  • загрузка файлов из интернета,
  • запуск каких-либо программ,
  • скрытие действий от антивирусов и прочих средств безопасности,
  • блокирование доступа к чему-либо,
  • заметание следов, логирование ввода и так далее.

Чем руткит опаснее обычного вируса и отличается от него, так это тем, что руткит получает доступ к системе с правами администратора, а потому способен нанести гораздо больший ущерб.

Какие есть основные классификации руткитов

По уровню доступа (привилегий):

1. Уровень пользователя (user-mode) – данный вид руткита занимается тем, что внедряется в запущенные программы (процессы) и их память, тем самым получая доступ к системе с правами пользователя.

2. Уровень ядра (kernel-mode) – эти руткиты внедряются в саму операционную систему.

Не сложно догадаться, что kernel-mode руткиты представляют наибольшую угрозу, так как их возможности огромны.

По принципу действия:

1. Изменение алгоритмов ОС. В данном случае происходит изменение механизмов и файлов операционной системы. Это приводит к изменению размера файлов и, соответственно, к тому, что их легче обнаружить.

2. Изменение форматов данных ОС. Большая часть информации об управлении в операционной системе хранится и передается в виде специальных структур данных. Это означает, что если руткит (rootkit) может их корректировать, то ему совершенно не обязательно что-либо изменять в файлах ОС, достаточно лишь заменить функции вызова иными программами. Кроме того, такой подход позволяет прятать процессы в операционной системе. Вот, почему подобные руткиты сложнее всего обнаружить.

Классификация руткитов

Как руткиты попадают на компьютер

  1. Чаще всего это происходит с помощью фишинга или другого типа атак с применением социальной инженерии. Жертвы атак неосознанно загружают и устанавливают вредоносные программы, скрытые внутри других процессов, запущенных на их машинах, что дает злоумышленникам контроль почти над всей операционной системой.
  2. Другой способ – использование уязвимостей (слабых мест в программном обеспечении или операционной системе, если они не обновлялись) для принудительной установки руткита на компьютер.
  3. Вредоносные программы также могут быть связаны с другими файлами, такими как зараженные файлы PDF, пиратские носители или приложения из подозрительных сторонних магазинов.

Пять советов по борьбе с руткитами

1. Защитите свои компьютеры

Обезопаситься от всех угроз разом, конечно, не получится, но это не значит, что защитой можно пренебрегать. После установки Linux я всегда первым делом инсталлирую rkhunter. Эта утилита обеспечивает эффективное обнаружение руткитов. На других платформах следует пользоваться проверенными защитными средствами типа AVG Anti Rootkit или ComboFix.

2. Обращайте внимание на симптомы

Хотя симптомы заражения руткитом (rootkit) весьма смутны и неопределенны, обнаружить его все-таки можно. Так, если из разных источников поступают жалобы на то, что ваш компьютер массово рассылает спам, скорее всего, он попал в ботнет, деятельность которого маскируется руткитом. Если веб-сервер демонстрирует подозрительное поведение при перенаправлении, дело тоже может быть в рутките.

В системах типа UNIX следует обращать особое внимание на появление модифицированных версий исполняемых файлов и изменение структуры каталогов. Если при выполнении команды ls /usr/bin или ls /usr/sbin привычные приложения в списке оказываются названы неправильно, существует большая вероятность, что компьютер заражен. Разумеется, самый простой способ обнаружения руткитов — регулярно сканировать систему с помощью rkhunter или аналогичных инструментов.

3. Отключите зараженный компьютер

Обнаружив признаки заражения, сразу же отключите инфицированный компьютер. Затем извлеките из него жесткий диск, смонтируйте его в другой системе (желательно не Windows) и сохраните все важные данные на другой носитель. Велика вероятность того, что операционную систему придется переустанавливать, поэтому нужные файлы лучше переместить в безопасное место. Оставлять зараженный компьютер включенным значит вредить себе еще больше, особенно если он является распространителем спама.

4. Обязательно используйте Tripwire

Tripwire отслеживает изменения в файлах и каталогах системы. Одна из главных задач руткита — скрывать присутствие вредоносных программ. Зачастую это достигается путем переименования файлов и папок или создания файлов и каталогов с похожими именами. Tripwire помогает сразу же обнаружить такие изменения. Очень важно инсталлировать эту утилиту сразу же после установки операционной системы, потому что если компьютер уже заражен, от Tripwire будет мало толку.

5. Попробуйте снять дамп памяти

Это непростой способ, воспользоваться которым могут только специалисты, имеющие доступ к закрытым утилитам и коду. При подозрении на заражение можно снять дамп памяти ядра или всей системы, и если руткит на компьютере есть, его действия будут отражены в этом дампе.

Анализ дампа памяти может предоставить уникальные данные, такие как сетевые соединения, учетные данные, сообщения чата, запущенные процессы, внедренные фрагменты кода, историю интернета и другие ключевые детали, которые могут быть использованы для идентификации атаки руткитов.

Полученную информацию можно проанализировать с помощью специального отладочного инструмента. В процессе анализа руткит не может замаскировать следы своего присутствия и неминуемо будет обнаружен. Правда, если дошло до таких суровых мер, дело наверняка кончится переустановкой системы.

Как удалить руткит (rootkit) с компьютера

Основная сложность борьбы с руткитами в том, что они активно противодействуют своему обнаружению, пряча свои файлы и ключи реестра от сканирующих программ, а также применяя другие методики. Существуют утилиты, специально созданные для поиска известных и неизвестных руткитов разными узкоспециальными методами, а также с помощью сигнатурного и поведенческого анализа.

Удаление руткита – тоже сложный и многоэтапный процесс, который редко сводится к удалению пары файлов. Обычно приходится применять специальную программу, такую как TDSSkiller, созданную для борьбы с руткитом TDSS. В некоторых случаях жертве даже приходится переустанавливать операционную систему, если в результате заражения компьютерные файлы повреждены слишком глубоко. Для менее сложных и вредоносных руткитов удаление может быть осуществлено с помощью обычной функции лечения в Kaspersky Internet Security.

Главное — профилактика

Руткиты — самая опасная из компьютерных инфекций, поэтому лучше всего установить специальное программное обеспечение, чтобы защититься от их проникновения. Главная проблема заключается в том, что от руткитов трудно избавиться: как видите, чаще всего они вынуждают сохранять данные на другой диск и переустанавливать всю систему. Поэтому следует проявлять бдительность и обороняться от заражения всеми доступными средствами.

Оцените статью