Sakņu komplektus var nosaukt par vissarežģītāko ļaundabīgā koda (ļaunprātīgas programmatūras) formu un par vienu no visgrūtāk atklājamajiem un novēršamajiem. No visiem ļaunprātīgās programmatūras veidiem, iespējams, vīrusi un tārpi iegūst vislielāko publicitāti, jo tie parasti ir plaši izplatīti. Ir zināms, ka daudzus cilvēkus ir ietekmējis vīruss vai tārps, taču tas noteikti nenozīmē, ka vīrusi un tārpi ir visiznīcinošākā ļaundabīgā programmatūra. Ir bīstamāki ļaunprātīgas programmatūras veidi, jo parasti tie darbojas slepenā režīmā, tos ir grūti atklāt un noņemt, un tie ļoti ilgi var palikt nepamanīti, klusējot piekļūstot, zogot datus un modificējot failus upura mašīnā. .
Šāda slepena ienaidnieka piemērs ir rootkit - rīku kolekcija, kas var aizstāt vai mainīt izpildāmās programmas vai pat pašas operētājsistēmas kodolu, lai iegūtu administratora līmeņa piekļuvi sistēmai, kuru var izmantot instalēšanai spiegprogrammatūra, atslēgu bloķētāji un citi ļaunprātīgi rīki. Būtībā sakņu komplekts ļauj uzbrucējam iegūt pilnīgu piekļuvi upura mašīnai (un, iespējams, visam tīklam, kuram mašīna pieder). Viens no zināmajiem rootkit lietojumiem, kas izraisīja ievērojamus zaudējumus / zaudējumus, bija Valve's Half-Life 2: Source spēles dzinēja avota koda zādzība.
Sakņu komplekti nav nekas jauns - tie pastāv jau vairākus gadus, un ir zināms, ka tie ir ietekmējuši dažādas operētājsistēmas (Windows, UNIX, Linux, Solaris utt.). Ja tas nebija saistīts ar vienu vai diviem sakņu komplekta gadījumiem (sk. Sadaļu Slavenie piemēri), kas tiem pievērsa sabiedrības uzmanību, iespējams, ka viņi atkal ir izglābuši izpratni, izņemot nelielu drošības speciālistu loku. Sākotnēji rootkit komplekti nav pilnībā izmantojuši iznīcinošo potenciālu, jo tie nav tik plaši izplatīti kā citi ļaunprātīgas programmatūras veidi. Tomēr tas var radīt nelielu komfortu.
Atsegti sakņu komplekta mehānismi
Līdzīgi kā Trojas zirgiem, vīrusiem un tārpiem, arī rootkit komplekti instalējas, izmantojot tīkla drošības un operētājsistēmas nepilnības, bieži bez lietotāja mijiedarbības. Lai gan ir saknes, kas var būt kā e-pasta pielikums vai komplektā ar likumīgām programmatūras programmām, tās ir nekaitīgas, kamēr lietotājs neatver pielikumu vai instalē programmu. Bet atšķirībā no mazāk sarežģītām ļaunprātīgas programmatūras formām, sakņu komplekti ļoti dziļi iefiltrējas operētājsistēmā un pieliek īpašas pūles, lai maskētu to klātbūtni - piemēram, modificējot sistēmas failus.
Būtībā ir divu veidu sakņu komplekti: kodola līmeņa sakņu komplekti un lietojumprogrammu līmeņa sakņu komplekti. Kodola līmeņa sakņu komplekti pievieno kodu operētājsistēmas kodolam vai modificē to. To panāk, uzstādot ierīces draiveri vai ielādējamu moduli, kas maina sistēmas izsaukumus, lai slēptu uzbrucēja klātbūtni. Tādējādi, aplūkojot savus log failus, sistēmā neredzēsit aizdomīgas darbības. Lietojumprogrammu līmeņa sakņu komplekti ir mazāk sarežģīti, un parasti tos ir vieglāk atklāt, jo tie modificē lietojumprogrammas, nevis pašu operētājsistēmu. Tā kā Windows 2000 ziņo lietotājam par visām izpildāmā faila izmaiņām, tas apgrūtina uzbrucēja palikšanu nepamanītu.
Kāpēc sakņu komplekti rada risku
Sakņu komplekti var darboties kā aizmugures durvis, un parasti misijā viņi nav vieni - tos bieži pavada spiegprogrammatūra, Trojas zirgi vai vīrusi. Saknes komplekta mērķi var atšķirties no vienkārša ļaunprātīga prieka iekļūt kāda cita datorā (un slēpt svešas klātbūtnes pēdas), līdz veselas sistēmas izveidošanai, lai nelikumīgi iegūtu konfidenciālus datus (kredītkaršu numurus vai avota kodus, kā tas ir gadījumā ar Half -Dzīve 2).
Parasti lietojumprogrammu līmeņa saknes komplekti ir mazāk bīstami un vieglāk pamanāmi. Bet, ja programma, kuru izmantojat, lai izsekotu jūsu finansēm, tiek sakopta ar sakņu komplektu, tad naudas zaudējumi varētu būt ievērojami - ti, uzbrucējs var izmantot jūsu kredītkartes datus, lai iegādātos pāris priekšmetus, un, ja jūs Ja savlaicīgi pamanāt aizdomīgas darbības ar kredītkartes atlikumu, visticamāk, ka naudu vairs nekad neredzēsit.
Salīdzinot ar kodola līmeņa sakņu komplektiem, lietojumprogrammu līmeņa sakņu komplekti izskatās jauki un nekaitīgi. Kāpēc? Tā kā teorētiski kodola līmeņa sakņu komplekts atver visas durvis uz sistēmu. Kad durvis ir atvērtas, sistēmā var ieslīdēt cita veida ļaunprātīga programmatūra. Kodola līmeņa sakņu komplekta infekcija un nespēja to viegli atklāt un noņemt (vai vispār, kā mēs redzēsim tālāk) nozīmē, ka kādam citam ir pilnīga jūsu datora kontrole un viņš to var izmantot jebkurā veidā, kas viņam patīk. piemēram, lai sāktu uzbrukumu citām mašīnām, radot iespaidu, ka uzbrukums rodas no jūsu datora, nevis no kaut kur citur.
Sakņu komplektu noteikšana un noņemšana
Ne tas, ka cita veida ļaunprātīgu programmatūru ir viegli atklāt un noņemt, bet kodola līmeņa sakņu komplekti ir īpaša katastrofa. Savā ziņā tas ir Catch 22 - ja jums ir rootkit, tad, iespējams, tiks modificēti anti-rootkit programmatūrai nepieciešamie sistēmas faili, un tāpēc pārbaudes rezultātiem nevar uzticēties. Vēl vairāk, ja darbojas sakņu komplekts, tas var veiksmīgi modificēt to failu sarakstu vai tekošo procesu sarakstu, uz kuriem balstās pretvīrusu programmas, tādējādi nodrošinot viltotus datus. Arī darbojošais sakņu komplekts var vienkārši izkraut antivīrusu programmu procesus no atmiņas, izraisot lietojumprogrammas izslēgšanu vai negaidītu pārtraukšanu. Tomēr, to darot, tas netieši parāda savu klātbūtni, tāpēc var rasties aizdomas, ja kaut kas noiet greizi, it īpaši ar programmatūru, kas uztur sistēmas drošību.
Ieteicamais veids, kā noteikt saknes komplektu, ir sāknēšana no alternatīva datu nesēja, kas, kā zināms, ir tīrs (ti, dublējums vai glābšanas kompaktdisks), un jāpārbauda aizdomīgā sistēma. Šīs metodes priekšrocība ir tāda, ka saknes komplekts nedarbosies (tāpēc tas nevarēs sevi slēpt) un sistēmas faili netiks aktīvi mainīti.
Ir veidi, kā atklāt un (mēģināt) noņemt sakņu komplektus. Viens veids ir oriģinālo sistēmas failu MD5 tīrie pirkstu nospiedumi, lai salīdzinātu pašreizējo sistēmas failu pirkstu nospiedumus. Šī metode nav ļoti uzticama, bet ir labāka par neko. Kodola atkļūdotāja izmantošana ir ticamāka, taču tas prasa padziļinātas zināšanas par operētājsistēmu. Pat lielākā daļa sistēmas administratoru reti to izmantos, it īpaši, ja ir bezmaksas labas programmas rootkit noteikšanai, piemēram, Marc Russinovich's RootkitRevealer. Ja jūs apmeklējat viņa vietni, jūs atradīsit detalizētus norādījumus par programmas lietošanu.
Ja datorā atrodat sakņu komplektu, nākamais solis ir no tā atbrīvoties (vieglāk pateikt, nekā izdarīt). Izmantojot dažus rootkit, noņemšana nav iespējama, ja vien nevēlaties noņemt arī visu operētājsistēmu! Acīmredzamākais risinājums - izdzēst inficētos failus (ar nosacījumu, ka jūs zināt, kuri tieši tiek apņemti) ir absolūti nepiemērojams, ja tiek skarti svarīgi sistēmas faili. Izdzēšot šos failus, iespējams, jūs nekad vairs nevarēsit bootēt Windows. Varat izmēģināt pāris rootkit noņemšanas lietojumprogrammas, piemēram, UnHackMe vai F-Secure BlackLight Beta, taču nerēķinieties ar tām pārāk daudz, lai varētu kaitēkli droši noņemt.
Tas varētu izklausīties kā šoka terapija, taču vienīgais pārbaudītais veids, kā noņemt rootkit, ir cieta diska formatēšana un operētājsistēmas atkārtota atkārtota instalēšana (protams, no tīra instalācijas datu nesēja!). Ja jums ir informācija, no kurienes saņēmāt sakņu komplektu (vai tas bija iekļauts citā programmā, vai kāds to jums nosūtīja pa e-pastu?), Pat nedomājiet par infekcijas avota palaišanu vai atkārtotu meklēšanu!
Slaveni sakņu komplektu piemēri
Sakņu komplekti gadiem ilgi tiek izmantoti slepeni, taču tikai līdz pagājušajam gadam, kad viņi parādījās ziņu virsrakstos. Sony-BMG gadījums ar viņu digitālā satura tiesību pārvaldības (DRM) tehnoloģiju, kas aizsargāja neatļautu CD kopēšanu, lietotāja mašīnā instalējot saknes komplektu, izraisīja asu kritiku. Notika tiesas prāvas un kriminālizmeklēšana. Saskaņā ar lietas izlīgumu Sony-BMG bija jāizņem viņu kompaktdiski no veikaliem un jānomaina iegādātās kopijas ar tīrām. Sony-BMG tika apsūdzēts par slepenu sistēmas failu maskēšanu, mēģinot slēpt pretkopēšanas aizsardzības programmas, kas arī izmantoja privātu datu nosūtīšanu uz Sony vietni, klātbūtni. Ja lietotājs programmu atinstalēja, kompaktdisku diskdzinis vairs nedarbojās. Faktiski ar šo autortiesību aizsardzības programmu tika pārkāptas visas privātuma tiesības, tika izmantotas nelikumīgas metodes, kas ir raksturīgas šāda veida ļaunprātīgai programmatūrai, un, pats galvenais, atstāja upura datoru neaizsargātu pret dažādiem uzbrukumu celmiem. Lielai korporācijai, piemēram, Sony-BMG, bija raksturīgi vispirms iet augstprātīgi, norādot, ka, ja vairums cilvēku nezina, kas ir sakņu komplekts, un kāpēc viņiem būtu svarīgi, lai viņiem tāds būtu. Ja nebūtu tādu puišu kā Marks Roussinovičs, kurš pirmais zvanīja zvana signālam par Sony saknes komplektu, triks būtu varējis darboties un miljoniem datoru būtu inficēti - diezgan globāls pārkāpums, domājams, aizstāvot uzņēmuma intelektuāli īpašums!
Līdzīgi kā ar Sony, bet, kad nebija nepieciešams pieslēgties internetam, tas ir Norton SystemWorks gadījumā. Tā ir taisnība, ka abus gadījumus nevar salīdzināt no ētikas vai tehniskā viedokļa, jo, lai gan Norton rootkit (vai rootkit līdzīgā tehnoloģija) modificē Windows sistēmas failus, lai pielāgotos Norton aizsargātajai atkritnei, Norton diez vai var pārmest ļaunprātīgiem nodomiem ierobežot lietotāja tiesības vai izmantot rootkit, kā tas ir gadījumā ar Sony. Atslēgas mērķis bija slēpt no visiem lietotājiem (lietotājiem, administratoriem utt.) Un visu (citas programmas, pati Windows) failu lietotāju dublējumkopiju direktoriju, kuru lietotāji ir izdzēsuši un kuru vēlāk var atjaunot no šī dublējuma direktorija. Aizsargātās atkritnes funkcija bija pievienot vēl vienu drošības tīklu pret ātrajiem pirkstiem, kas vispirms tiek izdzēsti, un pēc tam domā, vai viņi ir izdzēsuši pareizo (-os) failu (-us), nodrošinot papildu veidu, kā atjaunot failus, kas ir izdzēsti no atkritnes ( vai kuras ir apietas atkritni).
Šie divi piemēri diez vai ir vissmagākie rootkit aktivitātes gadījumi, taču tos ir vērts pieminēt, jo, piesaistot uzmanību šiem konkrētajiem gadījumiem, sabiedrības interese tika pievērsta rootkit kopumā. Cerams, ka tagad vairāk cilvēku ne tikai zina, kas ir sakņu komplekts, bet arī rūpējas, ja viņiem tāda ir, un varēs tos atklāt un noņemt!
