In lumea elementelor software “malefice” pe langa binecunoscutele soft-uri tip virus sau worm se afla si mai putin cunoscutele dar din ce in ce mai intalnitele rootkit-uri. Un soft tip rootkit este in general un program ce reuseste printr-o vulnerabilitate a sistemului gazda sa capete drepturi depline pe un sistem, sistem pe care il modifica pentru a-i putea folosi resursele nedetectat.
Rootkiturile sunt diferite fata de un virus, mai ales prin modalitatea de propagare: in general acestea sunt “implantate” de un atacator si nu sunt interesate de propagarea pe alt sistem. Ca si un virus, un rootkit va incerca sa pastreze sistemul sub controlul sau, ceea ce poate insemna de exemplu ca face verificari constante asupra modulelor prin care rootkitul isi mentine controlul si reaplicarea modificarilor daca acestea au fost “reparate” pentru ca sistemul sa poata in continuare sa fie controlat. Rookit-urile in marea majoritate pun la dispozitia atacatorului un backdoor prin care acesta poate intra in sistem oricand doreste si poate efectua orice operatiuni asupra datelor. Rootkiturile rar sunt distructive, pentru ca scopul lor este de a capata si mentine controlul asupra unui sistem cu scopul folosirii capacitatii sale de procesare in alte scopuri sau in ideea accesului la eventual informatii importante (parole, coduri PIN, numere carti credit, etc).
Numele de rootkit vine de la contul de administrator de pe majoritatea distributiilor UNIX (si virtual toate distributiile Linux), acela de “root“. Rootkitul odata inserat intr-un sistem va avea ca prima prioritate stergerea tuturor logurilor care ar putea da de gol reusita sa, pe cat posibil lasand neatinse alte loguri, pentru a nu trezi suspiciuni. Dupa aceasta faza urmeaza instalarea propriuzisa, care poate presupune modificarea anumitor elemente, de la diverse programe (user-level) pana la insasi kernel-ul sistemului. Prin aceste modificari rootkitul se asigura ca:
- castiga drepturi de administrator si poate accesa orice resursa a sistemului
- nu poate fi detectat (sau cel putin se asigura ca detectia sa va fi foarte foarte dificila)
Daca prima parte poate fi considerata relativ simpla odata cunoscuta o vulnerabilitate a sistemului, a doua parte este mai complicata. Rootkiturile intotdeauna vor incerca sa foloseasca orice truc pentru a deveni “invizibile”. Cateva din posibilele modificari facute sunt:
- un rootkit poate modifica utilitarul “ps” de pe un sistem Linux, utilitar care afiseaza procesele active, pentru a-l face sa NU afiseze si procesul rootkitului
- un rootkit poate modifica utilitarele de sniffing in retea existente pe sistem pentru ca acestea sa “ocoleasca” si sa nu raporteze traficul facut de rootkit (in general acesta este bineinteles traficul facut intre atacator si rootkit prin care atacatorul acceseaza/foloseste nestiut de nimeni resursele sistemului)
- un rootkit poate ascunde anumite fisiere (proprii in general) pentru cazul in care un program tip antivirus scaneaza sistemul in cautarea sa
Toate aceste modificari fac foarte dificila detectia unui rootkit, din moment ce acesta are drepturi de superuser si poate modifica orice functie sistem, manipuland prin acest lucru rezultatele diverselor scannere. Este si motivul pentru care un foarte mare numar de calculatoare de pe internet sunt considerate a fi infectate cu rootkituri fara ca detinatorii sa aiba vreo idee de acest lucru, resursele lor fiind folosite de retelele tip botnet care “reunesc” aceste calculatoare infectate si usor-controlabile remote, punandu-le la dispozitia diverselor grupari tip cybercrime.
Desi un rootkit isi poate ascunde usor urmele, este foarte complicata ascunderea tuturor urmelor, scannerele de rootkituri bazandu-se pe scaparile acestora pentru a le detecta. Cu toate acestea, atacurile “serioase” care folosesc rootkituri bine testate si construite sunt in general foarte eficace.
Exista diverse utilitare, mai mult sau mai putin bune pentru detectia rootkiturilor. Unele din ele au o baza de “semnaturi” in stilul antivirusilor prin care incearca sa detecteze anumite rootkituri pe cand altele sunt mai “euristice” si incearca detectarea comportamentului anormal al unui sistem sau al unei comenzi (output ciudat, functii modificate, fisiere dubioase, sniffing activat fara cunostinta utilizatorului sau trafic suspect, etc). De asemenea, tinand cont ca un soft rootkit va incerca sa aduca mereu un sistem in starea in care o doreste pentru a-l putea tine sub control, o metoda de a detecta un posibil rootkit este reprezentata de incercarea unui scanner antirootkit de a modifica anumite elemente, servicii, utilitare, deamon-uri, urmata de detectia modificarilor pe care in mod automat rootkitul le va face pentru a ramane activ.
Pe calculatoarele Windows cunosc urmatoarele variante de detectie:
- Avast Antivirus
- Avira Antivirus (chiar si modulul gratuit are scanare rootkits)
- Sophos Anti-rootkit
- F-Secure Blacklight
- Rootkit Revealer (fost utilitar din suita Sysinternals, actualmente disponibil gratis pe site-ul Microsoft)
Pe Linux, exista cel putin urmatoarele 2 mari scannere:
1. chkrootkit
root@host ~ # chkrootkit
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
[... output omitted ...]
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
[... output omitted ...]
2. rkhunter (rootkit hunter)
root@host ~ # rkhunter --check
[ Rootkit Hunter version 1.3.6 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ OK ]
/bin/bash [ Warning ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
[... output omitted ...]
Checking for rootkits...
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
[... output omitted ...]
cine ma poate ajuta si pe mine cum sa folosesc asa ceva plss sa intre pe ala_euu
cele mai proste antivirusri-antimalware sau chiar antirootkituri vazute de mine CEL MAI BUN ESTE Malwarebytes Anti-Malware
Malwarebytes Anti-Malware nu e bun decat POATE in varianta premium, adica aia platita.Varianta free nu este online si nu face fata la rootkit.Am avut un virus (f. probabil un rootkit ca a trebuit sa instalez Windows -ul iar ) si nici el nici antivirusul (AM AVUT AVAST) nu l-a gasit.Acum am AVG care are optiune de scanare pt. rootkit iar ca antimalware am Iobit malware care este online chiar si in varianta free.