Вверх A A A
Руткит

Справочные материалы

Перейти
Октябрь 2017
Нед Пн Вт Ср Чт Пт Сб Вс
39
1
40
2
3
4
5
6
7
8
41
9
10
11
12
13
14
15
42
16
17
18
19
20
21
22
43
23
24
25
26
27
28
29
44
30
31

Руткит

Вредоносное ПО 0

Руткиты - cтремятся получить полный контроль над системой и при этом полностью скрыть свое присутствие и "прикрыть" деятельность других вредоносных программ. Самостоятельно не размножаются. Обнаруживаются с большим трудом.

Руткитом называют любую программу, деятельность которой направлена на то, чтобы получить полный контроль над системой без разрешения пользователя или администратора системы. Кроме того, большинство руткитов одновременно скрывают определенные файлы, сетевые соединения, блоки памяти и записи в реестре системы от программ, используемых для определения "привилегированного" доступа к системным ресурсам. Одновременно руткит может маскироваться под другие файлы, программы или библиотеки. Используемые ими техники включают в себя сокрытие запущенных процессов от программ мониторинга и сокрытие файлов и данных от самой системы. Как правило, руткиты одновременно работают и как трояны. Они могут включать в себя и другие "полезные" утилиты, позволяющие устанавливать backdoor для обеспечения постоянного доступа к пораженной системе. Используя этот вид вредоносного ПО, злоумышленник может скрывать присутствие в системе своего инструментария для других атак - например, различное шпионское ПО для рассылки спама или кражи банковских данных пользователя. Кроме того, пораженные системы могут быть использованы как плацдарм для следующих атак, затрудняя определение системы, с которой была осуществлена атака.

Всего существует не менее пяти разновидностей руткитов, работающих на разных уровнях. Это руткиты, работающие на уровне аппаратных программ, виртуализированные, уровня ядра или библиотек, а также работающие на уровне приложений.

Аппаратные руткиты используют встроенное ПО устройств, которое редко подвергается проверкам на целостность кода. Виртуализированные руткиты меняют последовательность загрузки так, что при запуске компьютера загружается руткит, а не операционная система. Затем руткит загружает ОС как виртуальную машину и получает возможность перехватывать все аппаратные запросы системы. Руткиты уровня ядра системы добавляют или замещают участки кода как в самом ядре системы, так и в связанных с ним драйверах. Из-за того, что они работают на том же уровне, что и система, их особенно сложно обнаружить, так как они могут изменить или отклонить любой запрос, сделанный программами в пораженной операционной системе. Такие руткиты, к тому же, несут в себе дополнительную угрозу стабильности работы системы, если написаны даже с незначительными ошибками. "Библиотечные" руткиты пользуются теми же методами в работе с библиотеками, скрывая информацию о поражении системы. Совершенно легальные приложения тоже могут быть поражены руткитами. На уровне программы руткиты заменяют участки здорового кода приложения,заставляя такую программу одновременно выполнять еще и функцию трояна.

Обнаружить рукит при помощи ПО, запущенного в уже поврежденной его деятельностью операционной системе, очень сложно, так как любой запрос о запущенных процессах и приложениях, а также целосности системы будет руткитом перехвачен. А в ответ поступит информация, что система работает нормально. В пораженной операционной системе анти-руткиты могут обнаруживать только руткиты, которые не могут полностью замаскировать такое присутствие. Обнаружить "идеальный" руткит они не смогут. Яркий пример тому - руткит Rustock.C, который более полугода не могли обнаружить ни разработчики антивирусного ПО, ни авторы вирусов. После долгих попыток обнаружения его существование вообще поставили под вопрос. И только в начале мая появилось сообщение, что этот руткит был обнаружен. Оставаясь невидимым для любого антивирусного ПО, Rustock.C совмещал в себе отдельные качества вируса и трояна, и был направлен на создание бот-сетей по рассылке спама. По приблизительным оценкам, за полгода деятельности руткита его автором была создана третья по величине мировая зомби-сеть. Самым действенным способом обнаружения руткитов остается запуск "чистой" системы и антируткита с загрузочного диска, но и такой метод часто не гарантирует стопроцентного результата.

WWW.PCWORLD-UA.COM Александр Стебницкий.

    5 / 461


2722

Эта статья находится в разделах:

Брандмауэр Windows
Вредоносное ПО

Свернуть