Руткіт

Матеріал з Словник з інформатики
Версія від 06:26, 24 травня 2016, створена АннаТерещенко (обговореннявнесок)
(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Руткіт (англ. root kit — набір root-a) — програма або набір програм для приховування слідів присутності зловмисника або шкідливої програми в системі. Це такий спеціальний модуль ядра, який зламувач встановлює на зламаній ним комп'ютерній системі відразу після отримання прав суперкористувача. Цей набір, як правило, включає всілякі утиліти для «замітання слідів» вторгнення в систему, сніфери, сканери, кейлоггери, троянські програми, що заміщають основні утиліти UNIX (у разі неядерного руткіта). Дозволяє зламувачеві закріпитися в зламаній системі і приховати сліди своєї діяльності шляхом приховування файлів, процесів, а також самої присутності руткіта в системі. Руткіти існують вже близько 20 років, допомагаючи атакуючим діяти на комп'ютерах своїх жертв, подовгу залишаючись непоміченими. Термін нерідко застосовується до тих шкідливих програм, які спеціально створені так, щоб діяти на зараженому комп'ютері потай і при цьому дозволяти віддалено контролювати ПК. Оскільки руткіти відносяться до найбільш неприємних різновидів шкідливих додатків, фахівці з Лабораторії Касперського вирішили коротко пояснити, який принцип дії руткіта і як чинити, якщо ви підозрюєте, що комп'ютер заражений подібною гидотою. Детальніше про терміни

        Спочатку термін rootkit означав набір шкідливих додатків, що приховують свою присутність на комп'ютері і дозволяють хакеру робити свої справи непомітно. Слово root в назві явно вказує, що слово зародилося в світі Unix-комп'ютерів, але сьогодні коли ми говоримо про руткіти, як правило мова йдеться про Windows-комп'ютери, і в поняття «руткіт» включаються не тільки засоби забезпечення скритності, але і весь набір функцій шкідливого додатка. Він зазвичай ховається глибоко в надрах операційної системи і спеціально написаний таким чином, щоб уникати виявлення антивірусами та іншими засобами безпеки. Руткіт може містити різні шкідливі інструменти, такі як клавіатурний шпигун, злодій збережених паролів, сканер даних про банківські картки, дистанційно керований бот для здійснення DDoS-атак, а також функції для відключення антивірусів. Руткіт зазвичай має також функції бекдор, тобто він дозволяє атакуючому дистанційно підключатися до зараженого комп'ютера, встановлювати або видаляти додаткові модулі і таким чином робити з машиною все, що підкаже фантазія. Деякі приклади актуальних сьогодні руткітів для Windows це TDSS, ZeroAccess, Alureon and Necurs.

Варіації руткітів

          Руткіти діляться на дві категорії: рівня користувача та рівня ядра. Перші отримують ті ж права, що звичайний додаток, запущений на комп'ютері. Вони проникають в інші запущені процеси і використовують їхню пам'ять. Це більш поширений варіант. Що стосується руткітів рівня ядра, то вони працюють на самому глибинному рівні ОС, отримуючи максимальний рівень доступу на комп'ютері. Після інсталяції такого руткіта можливості атакуючого практично безмежні. Руткіти рівня ядра зазвичай більш складні у створенні, тому зустрічаються рідше. Також їх набагато складніше виявити і видалити.

Є і ще більш екзотичні варіації, такі як буткіти (bootkit), які модифікують завантажувач комп'ютера і отримують управління ще навіть до запуску операційної системи. В останні роки з'явилися також мобільні руткіти, що атакують смартфони під управлінням Android. Метод інфікування

         Первинно руткіти потрапляють на комп'ютер так само, як інші шкідливі програми. Зазвичай використовується вразливість в браузері або плагіні, також популярний спосіб зараження - через USB-флешки. Атакуючі іноді навіть залишають заражені флешки в громадських місцях, де їх може підібрати підходяща жертва. Потім руткіт використовує вразливості ОС, щоб отримати привілейоване становище в системі, і встановлює додаткові компоненти, що забезпечують віддалений доступ до комп'ютера.

Видалення

         Основна складність боротьби з руткітами в тому, що вони активно протидіють своєму виявленню, ховаючи свої файли і ключі реєстру від скануючих програм, а також застосовуючи інші методики. Існують утиліти, спеціально створені для пошуку відомих і невідомих руткітів різними вузькоспеціальними методами, такими як сигнатурний і поведінковий аналіз. Видалення руткіта - теж складний і багатоетапний процес, який рідко зводиться до видалення пари файлів. Зазвичай доводиться застосовувати спеціальну програму, таку як TDSSkiller, створену для боротьби з руткітами TDSS. У деяких випадках жертві навіть доводиться встановлювати заново операційну систему, якщо в результаті зараження комп'ютерні файли пошкоджені занадто глибоко.