Rootkity: jak z nimi walczyć
2005-09-05 00:11
Przeczytaj także: Groźny rootkit Win32/Rustock powraca
Istnieje kilka metod wprowadzenia rootkitów do jądra systemu:
1. wykorzystanie LKM: jądro Linuksa (podobnie jak w wielu innych systemach operacyjnych) umożliwia podładowanie modułów (lub sterowników urządzeń) w locie, co pozwala zdalnemu hakerowi na modyfikację odwołań systemu do jądra i prowadzi do zwrócenia nieprawidłowych informacji (np. zmodyfikowana lista plików). Atakom takim można zapobiec kompilując jądro monolityczne bez obsługi LKM. Jednak wadą tego rozwiązania jest to, że jądro musi posiadać wszystkie sterowniki.
2. zapisanie (rootkita) w /dev/kmem, co pozwala na uzyskanie dostępu do obszaru pamięci zajmowanej przez jądro. Powoduje to przepisanie jądra bez powiadamiania użytkownika. Jądro można zmodyfikować poprzez zlokalizowanie odpowiedniego obszaru pamięci. Można jednak dokonać modyfikacji, kóre uniemożliwią zapisanie bezpośrednio do /dev/kmem. Zapisanie do /dev/kmem możne również zostać wykonane przy użyciu odwołań mmap.
3. infekcja istniejących modułów; metoda ta różni się od pierwszego sposobu tym, że sam rootkit nie zawiera oddzielnego modułu i wprowadza się do istniejących modułów. Oznacza to, że rootkit "opiera się" ponownemu uruchomieniu systemu, ponieważ infekuje moduły, które są zawsze ładowane (np. sterowniki systemu plików).
Wykrywanie rootkitów
Niestety podanie uniwersalnych metod wykrywania rootkitów jest niemożliwe. Następujące czynności można jednak zastosować w przypadku większości rootkitów:
1. śledzenie nietypowych zachowań plików, zużycia zasobów sieciowych, uruchamiania zadań według terminarza oraz po ponownym uruchomieniu komputera, monitorowanie kont użytkownika.
2. zastosowanie następujących narzędzi, które mogą być pomocne w wykryciu obecności rootkita w systemie: Saint Jude, Chrootkit, RkScan, Carbonite, Kstat, Rootkithunter, Tripware, Samhain i inne.
Wnioski
Wszystkie metody wykrywania aktywnych rootkitów wykorzystują fakt, ze rootkity w ten czy inny sposób zakłócają funkcjonowanie systemu. Tę właściwość rootkitów wykorzystują produkty firmy Kaspersky Lab. Dzięki temu potrafią również wykrywać nieznane rootkity. Znacznie trudniej będzie napisać rootkity dla przyszłych wersji systemu Windows, które nie będą pozwalały na modyfikację kodu i architektury systemowej. Przedsięwzięcie to powinno zmniejszyć, przynajmniej na jakiś czas, liczbę nowych rootkitów dla nowych wersji systemów Windows.
Obecnie złośliwe programy dla systemu Windows są bardziej rozpowszechnione niż dla systemu UNIX, ponieważ Windows jest najpopularniejszym systemem operacyjnym. Sytuacja zmieni się jednak wraz ze wzrostem popularności Uniksa; tworzone będą nowe rootkity dla Uniksa oraz nowe metody ich zwalczania.
Należy pamiętać, że najlepszą ochroną przed rootkitami jest podjęcie działań zapobiegawczych poprzez zapewnienie systemom właściwej ochrony.
Przeczytaj także:
![Uwaga! Już co 3. bot jest złośliwy]( "Uwaga! Już co 3. bot jest złośliwy")
Uwaga! Już co 3. bot jest złośliwy
Uwaga! Już co 3. bot jest złośliwy
oprac. : eGospodarka.pl
Przeczytaj także
-
![Bezpieczeństwo danych - trendy 2023]( "Bezpieczeństwo danych - trendy 2023")
Bezpieczeństwo danych - trendy 2023
-
![Cyberzagrożenia mobilne: mniej ataków, więcej szkód?]( "Cyberzagrożenia mobilne: mniej ataków, więcej szkód?")
Cyberzagrożenia mobilne: mniej ataków, więcej szkód?
-
![Jak przestępcy wyłudzają pieniądze w sieci]( "Jak przestępcy wyłudzają pieniądze w sieci [© Andrea Danti - Fotolia.com]")
Jak przestępcy wyłudzają pieniądze w sieci
-
![Ransomware: 30 lat nieprzerwanych sukcesów]( "Ransomware: 30 lat nieprzerwanych sukcesów [© pixabay.com]")
Ransomware: 30 lat nieprzerwanych sukcesów
-
![Ransomware: spada liczba ataków, ale na optymizm jest za wcześnie]( "Ransomware: spada liczba ataków, ale na optymizm jest za wcześnie")
Ransomware: spada liczba ataków, ale na optymizm jest za wcześnie
-
![Cyberataki ransomware: okup nie gwarantuje odzyskania danych]( "Cyberataki ransomware: okup nie gwarantuje odzyskania danych")
Cyberataki ransomware: okup nie gwarantuje odzyskania danych
-
![Największe cyberzagrożenia, które stoją przed biznesami w tym roku]( "Największe cyberzagrożenia, które stoją przed biznesami w tym roku [© yuri arcurs - fotolia.com]")
Największe cyberzagrożenia, które stoją przed biznesami w tym roku
-
![Cyberprzestępcy nie przespali świąt. Zaatakowali m.in. linie lotnicze i kopalnie]( "Cyberprzestępcy nie przespali świąt. Zaatakowali m.in. linie lotnicze i kopalnie [© Andrea Danti - Fotolia.com]")
Cyberprzestępcy nie przespali świąt. Zaatakowali m.in. linie lotnicze i kopalnie
-
![Złośliwe oprogramowanie. Ransomware uderza w dyski NAS]( "Złośliwe oprogramowanie. Ransomware uderza w dyski NAS")
Złośliwe oprogramowanie. Ransomware uderza w dyski NAS
![Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]](https://s3.egospodarka.pl/grafika2/rynek-pracy/Chinskie-firmy-zatrudniaja-w-Polsce-Jacy-to-pracodawcy-259418-50x33crop.jpg "Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]")
Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy?
