Что такое руткит

Руткит — это тип вредоносного ПО, предназначенное для предоставления неавторизованного привилегированного доступа к уязвимой системе. Концепция чего-либо «руткит» оно произошло от «корень«(Термин из сред Unix, используемый для имени полноценного пользователя, такого как администратор Windows) и»кит«(Набор инструментов). Таким образом, руткиты представляют собой набор программных инструментов, цель которых — предоставить их создателям полные (административные) права в целевой системе. Это означает, что лицо, получившее такие права, может иметь полный контроль над этим — кражу информации, установку другого вредоносного программного обеспечения, использование системы для нерегулируемой деятельности или просто саботаж ее работы.

Руткиты чаще всего «внедряются» в операционную систему, перехватывая определенные системные функции. Им удается замаскировать свое присутствие в системе, чтобы они могли нормально функционировать. Это позволяет хакерам удаленно управлять вашим компьютером, в том числе устанавливать другие вредоносные программы без вашего ведома.

Какие типы руткитов известны?

Руткиты могут функционировать по-разному и поэтому классифицируются по-разному. виды. Например, из Комодо руткиты можно разделить на семь типов:

  • Руткит ядра — руткиты, работающие так сказать в «ядре» операционной системы, встроенные в нее. Это затрудняет их обнаружение, с одной стороны, а с другой стороны, эти вредоносные программы могут получить полный контроль над системой. Многие такие руткиты используют тот факт, что операционная система позволяет различным драйверам устройств или другим модулям работать на том же уровне и с теми же правами, что и ядро ​​операционной системы. Многие руткиты можно «замаскировать» под драйверы и запускать, не обнаруживая их антивирусной программой.
  • Прошивка Руткит — Эти руткиты заражают прошивку зараженных устройств, коммутатора и сетевых устройств. Они активируются загрузкой прошивки при запуске самого устройства и активны во время его работы. Из-за их специфики их очень трудно обнаружить и еще труднее удалить. Типичный пример такой вредоносной программы — разновидность руткита UEFI, о котором мы писали ниже.
  • Руткит приложения — Это руткиты, влияющие не на саму операционную систему, а на установленные программы (приложения). Обычно они заменяют определенные файлы программы и, таким образом, изменяют ее поведение. Кроме того, они могут быть реализованы так же, как и любая законная программа.
  • Руткит памяти — Это руткиты, которые «спрятаны» в оперативной памяти. Обычно они доступны до тех пор, пока системная память не будет очищена, например, при перезапуске или выключении системы.
  • Буткиты Руткиты — Это руткиты, влияющие на файлы, отвечающие за загрузку и загрузку операционной системы, включая загрузочный сектор (MBR). Они загружаются вместе с операционной системой и могут контролировать ее во время и после загрузки.
  • Постоянные руткиты — Как и выше, это также руткиты, которые запускаются и остаются активными, пока система включена. Эти руткиты могут перезапускать системные процессы.
  • Библиотека руткитов — Из названия ясно, что эти руткиты компрометируют определенные файлы, называемые «системными библиотеками». Для операционных систем Windows эти библиотеки представляют собой файлы с расширением .dll.

Как распространяются руткиты?

В руткиты нельзя играть самостоятельно, поэтому они ищут другие способы их распространения — например, чтобы пользователь сам установил их. Руткиты распространяются, как и большинство вредоносных программ — через взломанные веб-сайты, фишинг, через подозрительное ПО, с зараженных носителей и т. Д. В большинстве случаев руткиты могут попасть в систему, когда пользователь устанавливает предположительно легитимное программное обеспечение, содержащее руткиты. Таким образом, установив программу, пострадавший получает бонус — руткит. В свою очередь, он предоставляет поле для установки других типов вредоносных программ — клавиатурных шпионов, бэкдор-программ, троянов и т. Д.

Как мы узнаем, что наша система заражена руткитом?

Идея этих вредоносных программ заключается в предоставлении привилегированного доступа к целевой системе, скрывая все ее следы. Поэтому признаков заражения системы обычно немного. Слишком часто потребители даже не осознают, что что-то не так, или узнают слишком поздно.

«Симптомами» заражения руткитами могут быть: остановка (блокировка) антивирусной программы без вмешательства пользователя, исчезновение иконок с панели задач, изменение или исчезновение обоев рабочего стола, изменение некоторых настроек операционной системы и т. Д.

Наконец, аномально низкая производительность системы и / или высокая загрузка ЦП также могут указывать на наличие руткита.

Несколько интересных фактов…

Одна из самых популярных руткит-инфекций распространяется через компакт-диски Sony BMG.

Один из самых распространенных и популярных случаев использования руткитоподобной программы связан со скандалом, разразившимся в 2005 году с Sony BMG. Оказалось, что звукозаписывающая компания распространила через почти 22 миллиона компакт-дисков вредоносную программу, которая обеспечивала своего рода защиту от копирования защищенного авторским правом контента.

Когда вы вставляете компакт-диск в компьютер под управлением Windows, устанавливается скрытое программное обеспечение, которое отправляет в компанию информацию о том, какой компакт-диск используется, и об IP-адресе компьютера. Кроме того, это программное обеспечение изменяет Windows и не позволяет пользователю копировать содержимое диска.

После разоблачения скандала Sony BMG выпустила деинсталлятор, который, как выяснилось, открыл больше дыр в безопасности системы. Впоследствии компании было приказано выплатить компенсацию каждому пострадавшему потребителю.

ESET представила первый руткит UEFI, использованный в кибератаке

Код под названием LoJax использовался для заражения компьютеров UEFI, давая им полный контроль над пораженными устройствами. По данным ESET, это первый случай, когда хакеры проводят атаки с использованием собственного руткита UEFI. До сих пор предполагалось, что такое программное обеспечение есть только у некоторых государственных служб безопасности.

Вредоносный код, влияющий на UEFI, чрезвычайно опасен. Это что-то вроде ключа, обеспечивающего доступ ко всему компьютеру. Кроме того, его сложно обнаружить и можно обойти ряд превентивных мер, таких как переустановка операционной системы и замена жесткого диска, пояснили в ESET.

В заключение…

Руткиты могут быть очень коварными по нескольким причинам. Во-первых, они интегрируются на более низких уровнях системы — в саму операционную систему, даже в прошивку. Во-вторых, они изменяют или даже заменяют важные системные файлы, библиотеки и службы. В-третьих, их алгоритм разработан таким образом, чтобы они могли хорошо прятаться. Не следует упускать из виду самое главное — они предназначены для предоставления полного доступа к зараженной системе третьим лицам.

Заражение руткитом не обязательно означает, что кто-то получит доступ к вашему компьютеру. В любом случае у вас проблемы с безопасностью. вот почему никогда не покидайте вашу систему без работающего антивирусного (антивирусного) программного обеспечения. Обновляйте как операционную систему, так и установленные программы при появлении новых обновлений. И последнее, но не менее важное — будьте разумны при использовании Интернета!

Понравилась статья? Поделиться с друзьями:
Что нужно знать пользователю?