Stvari koje trebate znati o rootkitovima
U prošlom broju pisali smo o zaštiti od unutrašnjih IT prijetnji, a neke uključuju skidanje zlonamjernog softvera klikanjem na sumnjive linkove, sajtove itd. Jedna od mogućih posljedica toga je i instalacija rootkita, nezgodnog softvera kojeg je veoma teško otkriti, a koji predstavlja sredstvo izvršavanja brojnih hakerskih napada u kompanijama
Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com
Prije svega, treba razjasniti šta je, zapravo, rootkit. Termin je nastao iz dvije riječi: “root” je UNIX/Linux termin koji je ekvivalent terminu “administrator” u Windowsu, a “kit” označava dijelove softvera koji omogućavaju instalaciju i rad rootkita, s tim da se to dešava bez pristanka i znanja korisnika. Rootkitovi su veoma složeni i podložni su konstantnim promjenama, zbog čega je u mnogim slučajevima teško shvatiti sa čime, zapravo, imate posla. To je istovremeno i razlog zašto su frustrirajući – zbog njihove sofisticiranosti prilično je teško znati je li neki instaliran na vašem računaru.
Zašto se koriste?
Rootkitovi imaju dvije primarne funkcije: udaljenu kontrolu i prikupljanje podataka. Oni postoje kako bi nekoj osobi omogućili da, na legitiman ili nelegitiman način, kontroliše tuđi kompjuter u ulozi administratora. To podrazumijeva upravljanje fajlovima, pristupanje zabilješkama, praćenje aktivnosti korisnika, pa čak i mijenjanje konfiguracije kompjutera. Ova činjenica nerijetko izaziva čuđenje kod korisnika, pošto uglavnom smatraju da su svi rootkitovi automatski zlonamjernog karaktera, ali ne moraju biti maliciozni sami po sebi, već to postaju u pogrešnim rukama.
Na koji način se šire?
Rootkitovi se ne mogu širiti samostalno, jer predstavljaju samo jednu od komponenti onoga što zovemo višefunkcionalnom prijetnjom. Ova vrsta prijetnje obično se sastoji od tri dijela: alata za instaliranje (droppera), za učitavanje (loadera) te rootkita. Dropper pokreće instalaciju rootkita nakon što korisnik ciljanog računara klikne na zlonamjerni link, zatim se pokreće loader te se nakon toga dropper briše. Aktivni loader zatim ubacuje rootkit u memoriju računara. Na taj način multifunkcionalna prijetnja pronalazi svoj put do žrtve kroz socijalni inžinjering, iskorištavajući poznate propuste, ili metodom grube sile.
Rootkitovi korisničkog nivoa
Najjednostavnija vrsta ovog softvera jeste rootkit korisničkog nivoa, koji se na računaru pokreće s administratorskim privilegijama, što mu omogućava da izmijeni sigurnosne postavke i sakrije procese pokrenute u operativnom sistemu. Rootkit korisničkog nivoa ostaje instaliran na zaraženom kompjuteru tako što kopira potrebne fajlove na hard disk, pa se automatski pokreće pri svakom podizanju sistema. Ovaj tip rootkita zapravo je jedini kojeg tradicionalni antivirusi mogu relativno uspješno detektovati.
Kernel rootkitovi
Shvativši da “obični” rootkitovi mogu biti otkriveni pomoću softvera za detekciju rootkitova koji radi u kernel modu, kriminalci su razvili i rootkitove koji rade u istom modu. Hakeri su ovim potezom u funkcionalnom smislu izjednačili rootkit s operativnim sistemom i anti-rootkit softverom. Međutim, ni ovakav tip rootkita nije savršen, pošto se otkrilo da je poprilično nestabilan. I zato, ako vam nekada iskoči “plavi ekran”, a s hardverom i driverima je sve uredu, onda trebate posumnjati na kernel rootkit.
Hibridni rootkit
Osim nabrojanih, postoje i hibridni rootkitovi, koji se sastoje od rootkita korisničkog nivoa i kernel rootkita. Njih su hakeri razvili jer su htjeli dobiti najbolje iz oba svijeta, a rezultat je zlonamjerni hibridni alat koji kombinuje karakteristike rootkita korisničkog nivoa (kao što su stabilnost i jednostavnost) te kernel rootkita (izbjegavanje detekcije). Ovo su razlozi zbog kojih je hibridni rootkit postigao veliku popularnost među cyber kriminalcima.
Rootkitovi koji napadaju fabrički softver (firmware rootkitovi)
Rootkitovi koji se “gnijezde” u fabričkom softveru predstavljaju značajan skok u njihovoj sofisticiranosti, budući da mogu biti bilo koji tip već nabrojanih rootkitova, ali s jednom bitnom razlikom – mogu se kriti u firmwareu i kada je računar ugašen. U tom slučaju, kada ponovo pokrenete računar, rootkit će se opet instalirati čak i ako formatirate hard disk. Ovako izmijenjen firmware može biti bilo šta, od procesorskog koda do fabričkog softvera PCI kartica. Naravno, ako antivirusom čak i uklonite ovaj tip rootkita, čim sljedeći put upalite računar, on će se opet automatski instalirati. Dosadno, zar ne?
Virtuelni rootkitovi
Virtuelni rootkit relativno je nov pojam, a predstavlja se kao softverska implementacija hardverskih setova na sličan način kao i VMware virtualizacijski alat. Ova tehnologija izazvala je popriličnu paniku među korisnicima i to zbog jednog razloga – virtuelni rootkitovi mogli bi biti potpuno nevidljivi. Osim toga, ovakvi rootkitovi u stanju su kroz određeni nivo virtualizacije presresti sve događaje i akcije na zaraženom računaru, uključujući i ukucavanje lozinki i drugih osjetljivih podataka – te ih proslijediti napadaču. Za sada ova vrsta rootkitova postoji kao koncept i nisu uočeni slučajevi njihovog korištenja u stvarnim hakerskim napadima i kampanjama.
Problemi koji mogu ukazati na prisustvo rootkita:
Čak i iskusni sigurnosni stručnjaci imaju problema s otkrivanjem rootkitova, ali ono na šta trebate obratiti pažnju, a što bi moglo ukazivati na njihovo prisustvo, jesu sljedeće anomalije:
- Ako se vaš kompjuter iznenada zaglavi ili ne reaguje na naredbe mišem ili tastaturom, to može ukazivati na kernel rootkit.
- Razloga za zabrinutost imate i ukoliko vam se postavke u Windowsu iznenada i bez dozvole promijene, recimo ako taskbar jednostavno nestane ili se promijeni screensaver.
- Ukoliko se web-sajtovi ili mrežne aktivnosti pojavljuju nasumično ili funkcionišu nepravilno zbog prevelikog mrežnog saobraćaja.
- I posljednji simptom, koji je ujedno i najvažniji, jeste usporavanje mreže. Naime, rootkitovi ne mogu sakriti povećanje saobraćaja, naročito ako se računar ponaša kao dio botneta – šalje spam ili učestvuje u DDoS napadu.
Međutim, vrijedi naglasiti da, ukoliko rootkit funkcioniše ispravno, onda skoro nijedan od navedenih simptoma neće biti uočljiv.
Upotreba rootkita na čitačima bankovnih kartica
Prije nekoliko godina Evropa je bila pogođena sofisticiranim napadom informatičkih kriminalaca iz Kine i Pakistana. Oni su firmware rootkitom zarazili čipove u čitačima kreditnih kartica, što im je omogućilo da prave kopije kartica, koje su zatim koristili za neovlaštene novčane transakcije i stvaranje štete, koja se mjeri u desetinama miliona dolara. Pretpostavlja se da su ove mašine kriminalci “prilagodili” sebi u toku same proizvodnje u Kini ili odmah nakon njihovog silaska s proizvodne trake, nakon čega su bile razaslate u prodavnice širom Velike Britanije, Irske, Danske, Holandije i Belgije. Problem je otkriven intervencijom MasterCarda, nakon što su stručnjaci kompanije primijetili neregularnosti u isplatama.