Что такое руткиты и чем они опасны
Что такое руткиты и чем они опасны?
Возможно, вы не раз столкнулись с некоторыми формами вредоносных программ во время серфинга в интернете. Существует один тип такой программы, самый неприятный по сравнению с другими — руткит. Его очень трудно удалить и обнаружить. Что такое руткиты и чем они опасны мы расскажем в данной статье.
Что делают руткиты?
Руткит — это набор вредоносных программ, скрытых в вашем компьютере и предназначенных для проникновения в места, обычно недоступных неавторизованному пользователю, и получения контроля над системой. Хакеры могут использовать уязвимости в программном обеспечении для удаленного управления им.
Руткиты очень трудно обнаружить, так как они используют сложные схемы маскировки, чтобы скрыть свое местонахождение. Он может прятаться на уровне ядра, которое управляет всей системой, или маскироваться под другое ПО и даже приложения. Руткиты также могут загружаться с ОС и перехватывать ее связь.
Помимо ноутбука или настольного компьютера, руткит также может быть нацелен на устройства IOT. Он имеет высокий уровень опасности и трудно удаляется.
На видео: Что такое руткит и как его удалить?
Использование руткитов
Что хакеры могут сделать с руткитами:
Но руткиты также могут быть использованы и для хороших целей, таких как обнаружение хакерских атак, защиты программного обеспечения безопасности или защиты ноутбуков от кражи, позволяя осуществлять их мониторинг в случае кражи.
Виды руткитов
Как заражаются устройства?
Руткит может инфицировать систему следующими способами:
Как удалить руткиты?
К счастью, руткитные атаки сегодня не очень распространены, так как различные системы защиты ядра стали более продвинутыми. Но если устройство уже заражено, то процесс удаления может быть довольно сложным. Его можно удалить:
Как предотвратить появление руткитов?
Лучшее лекарство от всех типов вредоносных программ — это профилактика. Вы должны делать следующее, чтобы свести к минимуму возможность заражения руткитами:
Что такое руткит и как удалить его с компьютера
Руткиты — наиболее сложная в обнаружении и удалении разновидность компьютерной заразы. Предупрежден — значит вооружен!
Руткиты существуют уже около 20 лет, помогая атакующим действовать на компьютерах своих жертв, подолгу оставаясь незамеченными. Термин нередко применяется к тем вредоносным программам, которые специально созданы так, чтобы действовать на зараженном компьютере скрытно и при этом позволять удаленно контролировать ПК. Поскольку руткиты относятся к наиболее неприятным разновидностям вредоносных приложений, мы решили кратко объяснить, каков принцип действия руткита и как поступать, если вы подозреваете, что компьютер заражен подобной гадостью.
Подробней о терминах
Первоначально термин rootkit означал набор вредоносных приложений, скрывающих свое присутствие на компьютере и позволяющих хакеру делать свои дела незаметно. Слово root в названии явно указывает, что слово зародилось в мире Unix-компьютеров, но сегодня когда мы говорим о руткитах, как правило речь ведется о Windows-компьютерах, и в понятие «руткит» включаются не только средства обеспечения скрытности, но и весь набор функций вредоносного приложения. Оно обычно прячется глубоко в недрах операционной системы и специально написано таким образом, чтобы избегать обнаружения антивирусами и другими средствами безопасности. Руткит может содержать различные вредоносные инструменты, такие как клавиатурный шпион, вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусов. Руткит обычно имеет также функции бэкдора, то есть он позволяет атакующему дистанционно подключаться к зараженному компьютеру, устанавливать или удалять дополнительные модули и таким образом делать с машиной все, что подскажет фантазия. Некоторые примеры актуальных сегодня руткитов для Windows это TDSS, ZeroAccess, Alureon and Necurs.
Руткиты делятся на две категории: уровня пользователя и уровня ядра. Первые получают те же права, что обычное приложение, запущенное на компьютере. Они внедряются в другие запущенные процессы и используют их память. Это более распространенный вариант. Что касается руткитов уровня ядра, то они работают на самом глубинном уровне ОС, получая максимальный уровень доступа на компьютере. После инсталляции такого руткита, возможности атакующего практически безграничны. Руткиты уровня ядра обычно более сложны в создании, поэтому встречаются реже. Также их гораздо сложней обнаружить и удалить.
Есть и еще более экзотические вариации, такие как буткиты (bootkit), которые модифицируют загрузчик компьютера и получают управление еще даже до запуска операционной системы. В последние годы появились также мобильные руткиты, атакующие смартфоны под управлением Android.
Первично руткиты попадают на компьютер так же, как другие вредоносные приложения. Обычно используется уязвимость в браузере или плагине, также популярный способ заражения – через USB-флешки. Атакующие иногда даже оставляют зараженные флешки в общественных местах, где их может подобрать подходящая жертва. Затем руткит использует уязвимости ОС чтобы получить привилегированное положение в системе и устанавливает дополнительные компоненты, обеспечивающие удаленный доступ к компьютеру и другую вредоносную функциональность.
Основная сложность борьбы с руткитами в том, что они активно противодействуют своему обнаружению, пряча свои файлы и ключи реестра от сканирующих программ, а также применяя другие методики. Существуют утилиты, специально созданные для поиска известных и неизвестных руткитов разными узкоспециальными методами, а также с помощью сигнатурного и поведенческого анализа. Удаление руткита – тоже сложный и многоэтапный процесс, который редко сводится к удалению пары файлов. Обычно приходится применять специальную программу, такую как TDSSkiller, созданную для борьбы с руткитом TDSS. В некоторых случаях жертве даже приходится переустанавливать операционную систему, если в результате заражения компьютерные файлы повреждены слишком глубоко. Для менее сложных и вредоносных руткитов удаление может быть осуществлено с помощью обычной функции лечения в Kaspersky Internet Security.
Руткиты: проблемы безопасности и тенденции развития
В настоящее время очевидно смещение вектора компьютерных атак от массового заражения к целевым, точечным атакам. Как сказал Е. Касперский: «Девяностые были десятилетием киберхулиганов, двухтысячные были десятилетием киберпреступников, сейчас наступила эра кибервойн и кибертеррора». Иллюстрацией этому являются всем известные примеры: Stuxnet, Duqu, Flamer, Gauss, которые многие антивирусные компании причисляют к кибероружию.
Основные тенденции в компьютерной безопасности
Одним из ярких примеров использования кибероружия может служить шпионская сеть «Красный октябрь», которая пять лет активно добывала информацию из правительственных организаций, различных исследовательских институтов, крупных международных компаний. Серьезная защищенность этих объектов не остановила работу вредоносной системы. Она была раскрыта всего несколько месяцев назад, что свидетельствует о возрастающей угрозе вмешательства в работу любой компьютерной системы.
Для обеспечения устойчивого и неопределяемого присутствия в компьютерной системе вредоносное программное обеспечение (ВПО) использует специальные механизмы, называемые руткит-механизмами. В результате ВПО работает незаметно как для пользователя, так и для средств защиты.
Казалось бы, разработчики ОС должны всеми силами противостоять сокрытию нелигитимного ПО, однако появление новой версии Windows не изменило ситуацию в лучшую сторону. Восьмерка переняла от своих предшественников часть уже знакомых механизмов защиты (UAC, ASLR, DEP, PatchGuard, цифровые подписи для драйверов), для которых существует возможность обхода. И представила несколько новых — Secure Boot, SMEP и ELAM, которые, однако, не сильно повысили уровень защищенности. О чем свидетельствуют демообразец буткита Stoned Lite Питера Кляйсснера и UEFI bootkit Андреа Аллиеви. А о возможности обхода технологии SMEP на Windows 8 уже писал А. Шишкин из компании Positive Technologies.
Согласно недавнему отчету британской Национальной аудиторской службы (NAO), наблюдается рост числа киберпреступлений, которые одной Великобритании обходятся в 18–27 миллиардов фунтов стерлингов ежегодно (bit.ly/14O9xy5).
Исходя из сказанного, можно сделать вывод, что в последней версии Windows для борьбы с ВПО ничего революционно нового не было внедрено, и достойных механизмов, способных сильно осложнить жизнь разработчикам руткитов, на сегодняшний момент нет.
Механизмы сокрытия в системе
Для сокрытия ВПО могут применяться различные методы. Впервые классификация механизмов сокрытия была выполнена Йоанной Рутковской в работе Introducing Stealth Malware Taxonomy. Предложенная ей классификация может быть расширена следующим образом (см. рис. 1).
Стеганографические механизмы скрывают истинное предназначение внедренных объектов маскировкой их под легитимные, например схожестью их имен с именами системных файлов. В результате вредоносные файлы видны пользователю, но не вызывают у него подозрения. Пример стеганографического сокрытия — использование сертификатов доверенных компаний для подписи вредоносных драйверов. Благодаря действительным сертификатам компаний Realtek и JMicron червь Stuxnet долгое время оставался незамеченным, а компоненты червя Flame имели цифровую подпись самой компании Microsoft.
Для работы стеганографических механизмов не требуется повышенных привилегий, также они переносятся на различные версии ОС Windows. Однако из-за отсутствия технических механизмов сокрытия такое ВПО может быть легко обнаружено и удалено. Большую опасность представляют комбинации стеганографических с другими механизмами сокрытия.
Ко второй группе относятся технические механизмы сокрытия, в результате работы которых информация о скрываемом объекте становится недоступной средству обнаружения («не виден объект, значит, его и нет»). Эти механизмы можно разделить на руткит-механизмы, работающие «внутри» и «вне» ОС.
В случае руткит-механизма «внутри ОС» объектом может выступать процесс, драйвер, файл на диске, сетевой порт, ключ в реестре. Для своей работы руткит-механизмы могут изменять как пути выполнения, так и структуры памяти, как в пользовательском, так и в системном адресных пространствах.
Для изменения пути выполнения ВПО перехватывает функции штатного обработчика и передает управление вредоносному обработчику, который вносит целенаправленные изменения в возвращаемый результат. Способы обнаружения описанного механизма сокрытия уже освещались на страницах журнала.
Вторая подгруппа руткит-механизмов, работающих «внутри» ОС, не добавляет новых обработчиков в систему, а особым образом изменяет структуры памяти, хранящие информацию о скрываемом объекте. Примеры таких структур, расположенных в системном адресном пространстве и представляющих интерес для руткитов: KRPCB, ETHREAD, EPROCESS, MODULE_ENTRY, _DRIVER_OBJECT, плюс БД зарегистрированных драйверов и служб, расположенная в пользовательском пространстве процесса SERVIСES.EXE.
Руткит-механизмы «вне ОС» основаны на установке собственного или модификации существующего обработчика событий в том или ином режиме работы процессора либо дополнительного аппаратного обеспечения. Для работы этих механизмов зачастую необходимо наличие набора микросхем с поддержкой требуемой технологии. Можно выделить руткит-механизмы, построенные на основе режима аппаратной виртуализации, режима системного управления и кода, использующего технологии Active Management Technology и V-PRO. Широко известный в узких кругах автор R_T_T в своих работах «Кремневый беспредел» описывает возможности и угрозы информационной безопасности не только от указанных технологий, но и от механизма обновления микрокода процессора (bit.ly/VRQD6O и bit.ly/104EsRB).
Интересная техника сокрытия руткитов
На конференции ZeroNight в 2012 году была представлена работа Д. Олексюка (aka Cr4sh) в которой описывался интересный способ размещения руткита не в файлах, а в реестре с помощью Differentiated System Description Table (DSDT). Преимущество данного способа в том, что ни одно средство для обнаружения руткитов не учитывает такую возможность.
Антируткиты
Большинство вредоносных средств, о которых шла речь ранее, использовали для своей работы драйверы. В связи с этим давай рассмотрим наиболее распространенные антируткит-средства, способные обнаруживать наличие скрытых драйверов.
Из популярных внештатных средств, поддерживающих работу с Windows 8, можно выделить следующие: Gmer, XueTr, PowerTool, TDSSKiller (Kaspersky Labs).
С позиции обнаружения скрытых драйверов средства Gmer, XueTr и PowerTool имеют схожие алгоритмы работы, использующие для обнаружения побайтовый поиск в памяти фрагментов структур драйверов. Средство TDSSKiller для обнаружения драйверов использует несколько иной список, информация в который заносится при загрузке драйверов через штатные средства Windows.
Изменение полей в необходимых структурах и удаление из соответствующих списков обеспечит сокрытие драйвера от этих средств, без нарушения работы системы и самого ВПО. Это позволяет констатировать отсутствие в открытом доступе антируткитных средств, стойких к противодействию.
Программно-аппаратные руткиты
Программно-аппаратные руткиты функционируют «вне ОС». Наиболее интересны экземпляры, построенные на основе технологии аппаратной виртуализации. Почему? Во-первых, их можно установить с помощью драйверов — штатного механизма различных ОС. Во-вторых, такие руткиты могут перехватывать события более высокого уровня, чем другие. В-третьих, они лучше документированы. Поэтому с ними мы познакомимся поближе.
С 2006 года компании Intel и AMD начали выпускать процессоры с поддержкой технологии аппаратной виртуализации. ПО, использующее технологию аппаратной виртуализации (или просто гипервизор), работает в новом режиме, более привилегированном, чем ОС. Технология аппаратной виртуализации позволяет запускать во вложенном виде несколько различных гипервизоров.
Исходные коды гипервизоров — драйверов для ОС Windows x86
С одной стороны, гипервизор, выполняющий функции монитора виртуальных машин, повышает сервисные возможности компьютера и снижает его эксплуатационные расходы. Благодаря ему на одном компьютере может быть одновременно запущено несколько ОС в разных виртуальных машинах (рис. 2).
Но, с другой стороны, можно негласно внедрить гипервизор — программную закладку, которая обладает бесконтрольными возможностями и несет угрозу информационной безопасности.
В открытом доступе имеются два программных средства — BluePill и Vitriol, реализованные в виде драйверов, которые устанавливают гипервизор прозрачно для пользователя.
Обнаружением гипервизоров занимались как целые компании (Komoku, North Security Labs и другие), так и отдельные специалисты. Даже сама компания Microsoft опубликовала интерфейс для обнаружения гипервизоров, согласно которому необходимо выполнить инструкцию CPUID, предварительно записав в регистр EAX единицу. Далее необходимо проверить значение 31 бита регистра ECX; если он выставлен, то в системе присутствует гипервизор, а информация о его возможностях передается в структуре HV_CPUID_RESULT. Однако такой способ не защищен от компрометации.
Несмотря на широкую распространенность гипервизоров, штатные средства для их обнаружения отсутствуют, а опубликованные имеют существенные недостатки: невозможность выявить гипервизор в случае его противодействия обнаружению, а также неудобство использования и тиражирования ряда средств. Под удобством тиражирования понимается отсутствие в средстве обнаружения внешнего аппаратного компонента, необходимого на протяжении всего времени работы.
Средства отладки гипервизоров
Специфика работы гипервизора не всегда позволяет использовать популярные средства отладки, такие как vBox (VMware) вместе с WinDbg, вместо этого можно использовать эмуляторы Bochs или AMD SimNow, однако они достаточно сложны в настройке.
Что же можно использовать:
В связи с широким распространением различного ПО, использующего технологию аппаратной виртуализации, особую опасность представляет нелегальный гипервизор, который для своего сокрытия использует легитимный с помощью вложенной виртуализации. В открытых источниках сведения о способах обнаружения нескольких вложенных гипервизоров отсутствуют.
Обзор и классификация способов обнаружения гипервизоров
Вопрос обнаружения гипервизоров уже неоднократно обсуждался. На рис. 3 представлена классификация способов обнаружения гипервизоров, согласно которой все способы делятся на проактивные и сигнатурные.
Временны́е способы обнаружения основаны на том, что статистики времени обработки заданных событий гостевой ОС существенно зависят от того, загружен гипервизор или нет: в присутствии гипервизора длительность обработки событий значительно больше. Данная особенность была использована товарищем R_T_T при обнаружении китайского гипервизора (xakep.ru/post/58104). Она позволяет сравнительно просто выявлять гипервизоры только в тех случаях, если нарушитель не предпринял меры для их сокрытия. В ситуациях, когда осуществляется целенаправленная компрометация счетчика либо временная выгрузка гипервизора из памяти (так называемая технология BlueChicken, которая использовалась в BluePill), известные временны́е способы не позволяют обнаружить гипервизор.
Детальное описание и сравнительный анализ указанных способов обнаружения представлен в работе bit.ly/ik_volume. Мы же уделим внимание временному способу обнаружения с использованием списка демаскирующих событий.
Для выбранного способа таким событием гостевой ОС будет выполнение инструкции, при котором управление всегда передается из ОС гипервизору. Одной из таких инструкций является CPUID. Система обнаружения гипервизоров, которая будет описана далее, использует именно этот способ.
Чтобы оценить каждый из методов, были проанализированы средства обнаружения гипервизоров, результаты сравнения которых представлены в табл. 1. Под не скрытым гипервизором подразумевается отсутствие в этом образце компонента, обеспечивающего противодействие обнаружению. Под скрытым образцом подразумевается наличие в этом образце такого компонента. В табл. 1 знаки «+» и «–» показывают наличие (отсутствие) указанной характеристики соответственно.
По результатам проведенного анализа видно, что существующие способы обнаружения гипервизоров обладают рядом недостатков:
Далее представлена авторская методика обнаружения нелегитимного гипервизора, которая лишена указанных недостатков. Будет рассматриваться гипервизор, который может быть внедрен с помощью:
При этом учитывается, что реализованный нарушителем гипервизор может противодействовать обнаружению посредством компрометации процессорного счетчика тактов, вре́менной деинсталляции из памяти, а также предотвращать получение копии дампа памяти, содержащей структуры гипервизора.
Предпосылки для обнаружения
Чтобы выявить факторы, которые могут быть использованы для обнаружения гипервизора, был проведен сравнительный анализ работы процессора с поддержкой аппаратной виртуализации при выполнении набора безусловно перехватываемых гипервизором инструкций в случаях его отсутствия и присутствия (рис. 4, а и 4, б).
В случае присутствия гипервизора возрастает не только абсолютное время выполнения трассы, но и значения статистических характеристик длительности выполнения, например дисперсии. Эта отличительная особенность и легла в основу предлагаемой методики обнаружения (подробный анализ схем переключения между режимами работы процессора и математическое обоснование можно посмотреть тут bit.ly/10nPPlY.
Методика обнаружения и ее анализ
Суть методики обнаружения состоит в расчете и сравнении статистических характеристик длительности выполнения трассы с пороговыми величинами.
Измерение длительности выполнения трассы проводилось для десяти инструкций CPUID с помощью процессорного счетчика тактов TSC на повышенном 31-м уровне приоритета IRQL. Результатами опытов являлись матрицы размером 1000 х 10, содержащие данные измерений длительности выполнения трассы, по которым рассчитывались различные статистические характеристики.
Для иллюстрации в табл. 2 приведены пороговые значения последовательной комбинации таких показателей, как дисперсии D ̅f и момента 4-го порядка M ̅f, полученных на различных ПК, для случаев отсутствия (ОТ) и присутствия (ПР) гипервизоров.
В первом столбце табл. 2 номерами обозначены модели процессоров обследованных ПК:
В первых двух ПК использовался разработанный автором гипервизор (исходный код которого ты можешь найти на диске), реализованный в виде драйвера ОС, в третьем случае — специализированный гипервизор, получающий управление при загрузке ПК из BIOS.
Предлагаемая методика обнаружения нелегитимного гипервизора состоит из двух этапов: предварительного и оперативного, как представлено в табл. 3 (детальное описание методики: bit.ly/ik_volume).
Для противодействия этой методике скрываемый гипервизор должен компрометировать показания счетчика тактов не на постоянную величину, а на случайную, так, чтобы, с одной стороны, уравнять средние длительности выполнения трассы, а с другой — стабилизировать разброс длительностей выполнения трассы. Однако вопрос подбора закона распределения такой случайной величины остается открытым.
Правда, данная методика не лишена и недостатков (табл. 4).
Взгляд в будущее
Все, о чем мы до этого говорили, все эти методики сокрытия и обнаружения относятся к сегодняшнему дню. А что нам ждать от дня завтрашнего? По какому пути развития пойдут технологии создания руткитов? Можно дать волю воображению и с большой вероятностью предположить, что развиваться они будут по следующим направлениям:
Не могу снова не упомянуть работу R_T_T, посвященную закладкам в военных ноутбуках Getac (bit.ly/Sf23yP). Там программные закладки были выполнены в виде софта от компании Compuware, именно той, которая выпускала мощный отладчик SoftICE. В настоящее время аналогичные закладки этой компании можно встретить в планшетах. К примеру, новые ThinkPad 2 с продвинутым уровнем защиты продаются уже с предустановленным ПО — «Enterprise-level security, with Trusted Platform Module and Computrace Mobile».
Интересную работу, посвященную EFI-руткитам, но под OS Х, выполнил Loukas K: bit.ly/Pe1Dkl.
Итоги
Об авторе
Игорь Коркин (igor.korkin@gmail.com) — кандидат технических наук по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность». Работает в МИФИ, руководит научной работой студентов, готовит аспирантов. Занимается обнаружением программных закладок более шести лет, автор более десяти научных работ, победитель конкурса «Хакеры против форензики» на форуме Positive Hack Days 2012.
Впервые опубликовано в журнале «Хакер» от 05/2013.
Что такое руткит и как предотвратить заражение руткитом?
Руткиты — это опасные вредоносные файлы, которые глубоко внедряются в операционные системы, приложения, прошивки и загрузчики, вносят фундаментальные изменения в пользовательские устройства, имея возможность скрыться от традиционных методов сканирования вредоносных программ.
Большинство вредоносных файлов (таких как вирусы, трояны, черви, программы-вымогатели) запускаются на вашем устройстве как исполняемые программные файлы — операционная система распознает их как программные файлы.
И сканер вредоносных программ может анализировать поведение этих файлов, сканируя запущенные процессы, системные файлы и т. д. программные файлы и сохраненные данные на вашем диске.
Но руткит зарыт глубоко в операционную систему, эффективно заставляя сканер вредоносных программ думать, что вредоносная программа руткита является частью самой системы.
Из-за привилегированного доступа к руткиту ваша ОС не будет знать о наличии руткита, и ваша антивирусная программа может не обнаружить заражение, что затрудняет их идентификацию и удаление.
Некоторые руткиты можно удалить после перезагрузки устройства, а другие нельзя удалить даже путем полного переформатирования жесткого диска.
Руткиты могут использоваться для различных целей, включая криптоджекинг, кражу личных данных, а также саботаж сети и устройств.
Различные типы руткитов
Существует много различных типов руткитов, но у всех руткитов есть одна общая черта — они могут маскировать свою активность на устройстве пользователя, обычно путем подрыва встроенных средств безопасности и анализа устройства.
Вот самые известные типы руткитов, а также несколько известных примеров за последние 20 лет.
Руткиты в режима ядра
Код ядра и использование памяти полностью отделены от «пользовательского пространства», то есть кода и дискового пространства, выделенного для пользовательских приложений, процессов, программ и файлов.
Операционная система сегментирована на ядра и пользовательские пространства, поэтому пользовательские ошибки и ошибки не могут повлиять на ОС в целом.
Руткиты в режима ядра используют эту сегментацию, обманывая ОС, заставляя думать, что руткит является частью ядра — именно так они могут избежать использования всех инструментов сканирования, индексации и диагностики, которые может использовать антивирус.
Эти типы руткитов могут вносить изменения в программное обеспечение и оборудование, загружать и устанавливать другое вредоносное ПО, предоставлять хакерам доступ к пользовательским данным и даже позволять хакерам удаленно захватить ваше устройство.
Руткиты ядра могут даже создавать скрытые кеши памяти на жестком диске, которые полностью скрыты от вашей ОС.
Одним из наиболее заметных руткитов в режима ядра является руткит «ZeroAccess».
Этот руткит попадает на пользовательские устройства через установку троянского вредоносного ПО — как только пользователь обманом запускает троян, «ZeroAccess» скрывается на уровне ядра пользовательского устройства и начинает отвлекать ресурсы ЦП, включая устройство зараженного пользователя в массивный ботнет.
На пике своего развития в ботнете «ZeroAccess» было несколько миллионов компьютеров, которые использовались для задач, требующих огромной вычислительной энергии, таких как добыча биткойнов, инициирование DDoS-атак или увеличение количества кликов по рекламным объявлениям с оплатой за клик.
Руткит «ZeroAccess» все еще существует.
Если ваша система заражена, «ZeroAccess» значительно замедлит работу вашего компьютера, разрядит аккумулятор и превратит ваш компьютер в инструмент для международных киберпреступников.
Пользовательский режим или руткиты приложений
Руткиты пользовательского режима запускаются в «пользовательском пространстве».
Руткиты пользовательского режима перехватывают и изменяют поведение исполняемых файлов, таких как программные файлы и приложения.
Хотя их не так сложно обнаружить и уничтожить, как руткиты в режиме ядра, хакеры все равно могут использовать руткиты в пользовательском режиме для развертывания вредоносных программ, управления вашими файлами и приложениями и доступом к вашим данным.
Для Windows большинство руткитов пользовательского режима могут проникать в доверенные программы с помощью процесса, называемого внедрением DLL.
Файлы DLL (библиотеки динамической компоновки) — это исполняемые файлы, которые выполняют функции, которые могут использовать несколько программ, например, разрешение вашему браузеру, текстовому процессору или пакету Adobe доступ к вашему принтеру с помощью одного и того же драйвера.
Используя внедрение DLL, руткит обманывает и DLL, и вашу операционную систему, «подключаясь» к законной DLL.
Например, если руткит внедряется в DLL вашего принтера, ваш компьютер позволит руткиту действовать, потому что он уже дал разрешение вашему принтеру вносить изменения на вашем устройстве.
Ваш компьютер обманут, думая, что руткит — это драйвер принтера.
Самый известный руткит для пользовательского режима в последнее время — это «Zacinlo».
Этот основанный на рекламном ПО руткит скрывается в каталоге «System32» пользователя и используется для снятия скриншотов с пользовательских устройств, отправки информации в свой центр управления и вставки рекламного контента в браузер пользователя.
Он использует поддельный код реестра драйверов для обмана компьютеров с Windows 10 и часто может перенаправлять антивирусные сканеры, чтобы защитить свою полезную нагрузку от рекламного ПО.
Руткиты загрузчика (буткиты)
Руткиты загрузчика (буткиты) — это разновидность руткита режима ядра, который заражает главную загрузочную запись (MBR).
MBR — это первый сектор жесткого диска компьютера.
Когда вы загружаете компьютер, перед запуском операционной системы MBR сообщает вашему компьютеру, как разбит жесткий диск на разделы и как загрузить операционную систему.
Проще говоря, буткит загружается раньше операционной системы и дает хакерам возможность заменить законный загрузчик вашего компьютера на тот, который находится под их контролем.
Даже если вы полностью удалите операционную систему и переустановите ее, заражение руткитом загрузчика будет сохраняться на вашем устройстве, и попытка его удаления может даже привести к повреждению вашей MBR.
К счастью, функция безопасной загрузки Windows 8 и 10, а также общеотраслевые стандарты аутентификации микропрограмм теперь могут предотвращать загрузку буткитов (хотя исследование Лаборатории Касперского в 2020 году обнаружило буткит, который смог обойти эти меры безопасности, что может указывать на значительные изменения в технологии буткитов в ближайшие годы).
Прошивка или аппаратные руткиты
Руткиты микропрограмм очень похожи на буткиты, но они предназначены для заражения микросхем BIOS и UEFI, которые запускают самые основные процессы компьютера.
Эти руткиты могут быть установлены в маршрутизатор, жесткий диск или сетевую карту, и они влияют на даже более базовую часть устройства, чем руткиты ядра.
Они могут пережить даже полное переформатирование диска.
Одна из самых известных атак на аппаратные руткиты произошла в 2008 году, когда хакеры установили руткиты в считыватели кредитных карт, которые были отправлены с завода в Китае в магазины по всей Европе.
Руткиты автоматически отправили всю информацию о кредитных картах, которую они отсканировали, хакерам в Пакистане, при этом, по оценкам, в результате атаки было украдено несколько сотен миллионов долларов.
Руткиты прошивки чрезвычайно сложно удалить, и маловероятно, что даже опытный технический пользователь сможет вылечить инфекцию прошивки.
Bitdefender и Kaspersky предлагают программное обеспечение для удаления руткитов, но если вы считаете, что у вас есть руткит в прошивке вашего устройства (или любого из ваших устройств IoT), вам, вероятно, следует обратиться за помощью к компетентному ИТ-специалисту в вашем районе, чтобы обеспечить его удаление.
Виртуальные или гипервизорные руткиты
Гипервизор, также известный как монитор виртуальных машин (VMM), представляет собой инструмент для управления виртуальными машинами (ВМ).
Виртуальные машины — это изолированные операционные системы, которые размещаются на вашем диске, но работают как отдельные компьютеры.
Например, многие пользователи Linux запускают отдельные виртуальные машины для Windows и Mac на своих компьютерах Linux, а исследователи кибербезопасности могут запускать тесты на вредоносное ПО на виртуальной машине, не беспокоясь о том, что вредоносные программы заразят их операционную систему.
Гипервизор имеет абсолютную власть над всеми виртуальными машинами, которыми он управляет — он может перехватывать трафик, блокировать или изменять входящую и исходящую информацию, выключать систему и / или стирать все связанные данные.
Гипервизоры — это необходимый инструмент для пользователей, работающих с виртуальными машинами, поскольку этим пользователям необходимы функциональные возможности более высокого уровня для управления несколькими виртуальными машинами на одном устройстве.
Руткиты гипервизора используют эту функциональность, выполняя операционную систему пользователя как виртуальную машину с руткитом в качестве гипервизора.
Гипервизор загружается до ОС и может блокировать или изменять любое поведение ОС с ее привилегиями гипервизора.
Самый известный руткит гипервизора, известный как «BluePill», был разработан в 2006 году исследователем кибербезопасности из Сингапура.
«BluePill» может устанавливать себя как системный гипервизор и вносить изменения без ведома операционной системы.
Однако руткиты гипервизора не были развернуты как вредоносное ПО (пока) и до сих пор существуют исключительно в качестве исследовательских проектов для групп кибербезопасности.
Как руткит заражает компьютер?
Руткиты можно установить на устройство несколькими способами, например:
Как и все программное обеспечение, руткит начинается с исполняемого файла.
Когда руткит запускается на вашем устройстве, он обманывает вашу систему множеством способов.
Руткиты пользовательского режима используют внедрение DLL, в то время как руткиты гипервизора виртуализируют вашу ОС, а руткиты ядра встраиваются в пространство ядра, убеждая вашу операционную систему в том, что руткит является законным системным процессом.
Независимо от того, какую часть вашей системы заражает руткит, руткит-атака всегда начинается с «привязки» руткита к законному системному процессу, а затем убеждения этого процесса в том, что руткит должен быть там.
Как обнаружить руткит?
Обнаружение и удаление руткитов чрезвычайно сложно, а в некоторых случаях практически невозможно без современного оборудования для обнаружения руткитов.
Это связано с тем, что после установки руткит принимает меры для обеспечения своего выживания, скрывая свое присутствие в хост-системе.
Руткиты могут обходить стандартные инструменты операционной системы, используемые для сканирования и мониторинга, а также подрывать работу антивирусного программного обеспечения, предназначенного для их обнаружения.
Скомпрометированное устройство может быть не в состоянии обнаружить несанкционированные модификации самого себя или своих компонентов.
Из-за этих технических сложностей для обнаружения руткитов можно использовать несколько различных подходов, в том числе:
Ищем ошибки и глюки
Руткиты встраиваются в системные процессы, перехватывая, а иногда и изменяя их действия.
Из-за этого руткиты часто нестабильны, вызывая заметные проблемы с компьютером, такие как замедление работы системы, сбои программного обеспечения, медленные процессы загрузки и даже пресловутый «синий экран смерти».
Если ваше устройство используется как часть ботнета, вы заметите значительную загрузку ЦП даже без запуска каких-либо приложений, а также быструю разрядку аккумулятора и даже перегрев устройства.
Обычно, если ваш компьютер внезапно выходит из строя, вам необходимо продолжить расследование на предмет заражения вредоносным ПО, включая руткиты.
Установка антивирусного программного обеспечения
Расширенные антивирусные пакеты поставляются с проприетарными инструментами сканирования руткитов (один из моих любимых инструментов для обнаружения руткитов — Bitdefender).
Во-первых, эти сканеры сравнивают ваши файлы с базой данных известных вредоносных программ — это может помочь найти руткит до того, как он встроится в ваше устройство, но не после того, как он получит root-доступ.
Затем сканеры используют анализ поведения, чтобы определить, не выполняет ли какой-либо из ваших файлов необычную активность на вашем диске.
Это может быть особенно эффективно для обнаружения руткитов пользовательского режима, которые подключаются к надежным файлам приложений.
Bitdefender также предлагает специальный режим восстановления, который перезагружает вашу систему и запускается перед загрузкой вашей операционной системы, чтобы обнаружить руткиты режима ядра.
Использование альтернативного надежного носителя
Альтернативным доверенным носителем является другое устройство (это может быть другой компьютер или USB-накопитель), которое можно использовать для сканирования зараженного устройства.
Поскольку альтернативный доверенный носитель запускается до загрузки системы, руткит не может использовать операционную систему зараженного устройства для сокрытия своего присутствия.
«Panda Dome» включает загрузочный USB-комплект Rescue Kit, который может сканировать ваш компьютер во время загрузки.
Анализ дампа памяти
Дампы памяти содержат список энергозависимой памяти компьютера (оперативной памяти).
Энергозависимые данные — это данные, которые хранятся во временной памяти компьютера во время его работы.
Дампы памяти содержат ценные изменчивые данные, показывающие состояние устройства до инцидента, такого как сбой или нарушение безопасности.
Анализ дампа памяти может предоставить уникальные данные, такие как сетевые соединения, учетные данные, сообщения чата, запущенные процессы, внедренные фрагменты кода, историю интернета и другие ключевые детали, которые могут быть использованы для идентификации атаки руткитов.
Анализ дампа памяти довольно сложен, и его не должны выполнять неквалифицированные пользователи.
Проведение проверки целостности
Руткиты пользовательского режима, зависящие от внедрения DLL, могут выполнять все виды деятельности в вашей системе, притворяясь легитимным программным обеспечением, но тщательный анализ сигнатуры и поведения взломанного приложения может показать, нормально оно ведет себя или нет.
Windows 10 имеет встроенные проверки целостности, которые периодически происходят во время загрузки и выполнения, а некоторые специализированные сканеры руткитов, такие как «RootkitRemover» от McAfee, также выполняют проверки целостности.
Как защитить себя от руткитов?
К сожалению, каждый метод обнаружения и удаления руткитов сопряжен с некоторыми уязвимостями и рисками.
Microsoft приложила значительные усилия для защиты Windows на уровне загрузки, ядра и пользователя от заражения вредоносными программами, но хакеры постоянно придумывают инновационные решения, позволяющие обойти работу профессионалов в области кибербезопасности.
Из-за того, что руткит-атаки практически не обнаруживаются, лучше всего управлять их предотвращением — гораздо, намного проще убрать руткиты с вашего компьютера, чем удалить их после того, как они скрылись в вашей системе.
Используйте антивирусное программное обеспечение с обнаружением руткитов
Windows добилась значительных успехов в области защиты — такие функции, как «Boot Guard», усиление защиты UEFI и «System Guard», обеспечивают мощный уровень защиты от руткитов.
Но передовые программы защиты от вредоносных программ, такие как Norton 360, Bitdefender и McAfee, имеют лучшую защиту от вредоносных программ, чем Защитник Windows.
Эти антивирусные пакеты используют анализ поведения, расширенные брандмауэры и машинное обучение для обеспечения защиты в реальном времени от загрузки и развертывания руткитов.
Bitdefender и McAfee также предоставляют расширенные средства обнаружения и удаления руткитов.
НЕ игнорируйте обновления
Обновления могут показаться раздражающими, но обычно они содержат исправления безопасности, закрывающие известные уязвимости — вероятность взлома руткита значительно ниже, если все ваше программное обеспечение (включая операционную систему) обновлено.
Уязвимости программного обеспечения могут предоставить хакерам путь для создания бэкдора в вашей системе, использования эксплойтов для установки вредоносного ПО в вашу систему или легкой цели для руткитов, которые могут подключиться к вашим файлам и получить доступ к вашей операционной системе.
Некоторые антивирусные пакеты, такие как Norton и Avira, включают сканеры уязвимостей, которые могут предоставить вам обновления в реальном времени, если какие-либо из ваших программ устарели.
Получите защиту от фишинга
Фишинговые сайты можно использовать для кражи пользовательской информации или для убеждения пользователей установить вредоносное ПО на свои устройства.
Фишинговые сайты созданы для имитации законных сайтов, и их очень сложно обнаружить (но некоторые фишинговые сайты являются явно мошенническими, и вы можете идентифицировать их, руководствуясь здравым смыслом).
Инструменты защиты от фишинга от антивирусов, таких как Avira, используют огромную базу данных известных фишинговых сайтов, а также сканирование сертификатов и блокировку трекера, чтобы предотвратить фишинговые атаки и заблокировать подозрительные веб-сайты.
Избегайте пиратского программного обеспечения и носителей
Взломанное программное обеспечение и пиратские носители могут быть бесплатными, но они часто являются приманкой, которую используют киберпреступники для установки руткитов и другого вредоносного ПО на устройства жертвы.
Запустив пиратский файл на свой диск, вы даете неизвестному агенту разрешение на внесение изменений на вашем устройстве, что может включать установку руткитов (и после того, как руткит получил разрешение на запуск, он может быстро скрыться на вашем компьютере).
Конечно, лучшие антивирусные сканеры будут выполнять сканирование на наличие вирусов в реальном времени, и они должны иметь возможность блокировать вредоносные файлы, прежде чем вы сможете их запустить.
Но с учетом того, что новые варианты вредоносных программ выпускаются каждый день, лучше проявлять осторожность и избегать пиратского программного обеспечения и носителей.
Часто задаваемые вопросы о руткитах
Можно ли удалить руткиты?
Да, но гораздо проще предотвратить заражение вашего устройства руткитами, чем удалить их.
Это связано с тем, что каждый тип руткита способен убедить ваш компьютер в том, что он является частью важного системного процесса, такого как уровень ядра ОС, основная загрузочная запись, гипервизор или файл DLL.
Существуют инструменты обнаружения и удаления руткитов — Bitdefender и McAfee создают специализированное программное обеспечение для защиты от руткитов, которое может удалить большинство руткитов с вашего диска.
Однако, если вы считаете, что ваша система заражена руткитом, вам следует проконсультироваться со специалистом по кибербезопасности, поскольку многие руткиты могут пережить дефрагментацию жесткого диска или полную переустановку ОС.
Где прячутся руткиты?
Если вам интересно, можете ли вы самостоятельно найти руткит с помощью диспетчера задач или монитора ресурсов, ответ — «Нет».
Руткиты манипулируют собственными системами мониторинга вашей операционной системы, чтобы скрыть свою активность, поэтому, когда в вашей системе запущен руткит, вы не можете использовать средства обнаружения вашего собственного компьютера, чтобы найти его.
Руткиты могут прятаться в самых разных местах на диске, например:
Какие самые известные примеры руткитов?
Самые известные примеры руткитов за последнее десятилетие включают «ZeroAccess» и «Zacinlo»:
В 2012 году было обнаружено, что «ZeroAccess» заразил около 4 миллионов устройств.
Этот гибрид буткита и руткита в основном используется для майнинга криптовалют и мошенничества с кликами.
В 2018 году Bitdefender опубликовал свои выводы о «Zacinlo», шпионском инструменте, который может заражать пользовательское пространство Windows 10 с помощью поддельного кода реестра приложений.
«Zacinlo» используется в основном для кражи пользовательских данных, но он также может вставлять результаты поиска и контент в ваш браузер.
Может ли антивирусное ПО обнаруживать руткиты?
Некоторые из наиболее известных руткитов оставляют на пользовательских устройствах несколько знаков, которые позволяют обнаруживать их антивирусными сканерами.
Например, средства удаления руткитов Bitdefender и McAfee способны обнаруживать руткиты семейства «ZeroAccess», «TDSS» и «Necurs» на пользовательских устройствах.
В моем тестировании антивирусные программы, такие как Norton и TotalAV, также смогли обнаружить эти известные руткиты.
Однако, поскольку руткиты подрывают собственные системы обнаружения компьютера, чтобы скрыть свое присутствие на пользовательских устройствах, всегда возможно, что новый тип руткита сможет избежать обнаружения.
Если вы считаете, что были заражены руткитом, я рекомендую загрузить антивирусное программное обеспечение, а также показать устройство ИТ-специалисту, чтобы убедиться, что руткит полностью удален с вашего устройства.