Anti-rootkit progrmi

NCERT-PUBDOC-2010-01-287

Rootkit programi su posebna vrsta zlonamjerno oblikovanih programa čija je svrha skrivanje nedozvoljenih aktivnosti na napadnutom sustavu.

Cilj njihove uporabe je osiguravanje kontrole nad ugroženim sustavom, skrivanje drugih zloćudnih programa ili napad na računala kako bi se dobila zombie računala (u potpunoj kontroli napadača). Osnovni princip rada svakog rootkit programa je lažiranje rezultata koji se dobiju nakon skeniranja sustava nekih od antivirusnih alata ili funkcija dostupnih na računalu (npr. naredba ps na UNIX/Linux sustavima). Time prikrivaju postojanje zlonamjernih datoteka, procesa, zapisa u memoriji i registrima i sl. Postoji više vrsta rootkit programa, a podjela se vrši prema sektoru na koji su usmjereni (jezgra, aplikacija i sl.). Iako je veći broj tih programa namijenjen za zlonamjerne radnje, postoji neki manji broj rootkit programa uključenih u legalne programe (npr. „Alcohol 120%“ i „Kaspersky“) koji osiguravaju njihovo pravilno funkcioniranje.

Anti-rootkit programi su specijalizirani alati koji se koriste za detekciju i uklanjanje rootkit programa. Razvijeno je pet metoda detekcije zlonamjernog djelovanja tih programa, od kojih su najstarije usmjerene na detekciju preko potpisa i ponašanja. Detekcija preko potpisa podrazumijeva prethodno otkrivanje određene inačice rootkit programa te zapis njegova potpisa u bazu podataka. Nedostatak ove metode, mogućnost otkrivanja samo poznatih rootkit programa, rješava metoda detekcije preko ponašanja. Radi se o praćenju aktivnosti na sustavu kako bi se otkrila neka zlonamjerna radnja. Prethodno opisane metode otkrivanja rootkit programa mogu se lako zaobići pa je razvijena nova metoda detekcije pod nazivom „cros view“. Riječ je o usporedbi rezultata skeniranja preko računalnih funkcija i izravnog skeniranja sadržaja diska. Još jedna od metoda koja se može iskoristiti za detekciju rootkit programa je praćenje integriteta datoteka na sustavu. Provodi se uzimanjem slike stanja neugroženog sustava (npr. računanje hash vrijednosti svih datoteka)  kako bi se kasnije mogla provesti usporedba s trenutnim stanjem. Posljednja metoda je sklopovska detekcija posebnih uređaja koji prate aktivnosti na računalu s ciljem otkrivanja rootkit programa.

Postoje razni besplatni i komercijalni anti-rootkit programi. Od besplatnih programa ističu se „Sophos Anti-Rootkit“, „chkrootkit“, „RootKit Hook Analyzer“, „RootkitRevealer“, „Rootkit Hunter“ te „GMER“. Svaki od njih uključuje neke od prethodno opisanih metoda detekcije te omogućuje otkrivanje i/ili uklanjanje rootkit programa. Od trenutno dostupnih komercijalnih programa valja izdvojiti „UnHackMe“ i „Proces Master“ te antivirusni alat koji uključuje i zaštitu od rootkit programa pod nazivom „VIPRE“.

U svrhu detekcije rootkit programa korisnicima se savjetuje primjena raznih metoda i alata. Kao moguća rješenja za uklanjanje pronađenih rootkit programa preporuča se primjena specijaliziranih alati ili reinstalacija operacijskog sustava (u krajnjem slučaju).

Zahvaljujući širokoj dostupnosti programskog koda rootkit programa, očekuje se razvoj novih inačica koje će donijeti veće rizike korisnicima. Sukladno tome, može se očekivati podizanje svijesti o tim opasnostima te razvoj naprednijih metoda detekcije uključenih u sofisticirane anti-rootkit alate.

Više o anti-rootkit alatima možete pročitati na web stranicama CERT-a.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr