Rootkity: jak z nimi walczyć

Przeczytaj także: Groźny rootkit Win32/Rustock powraca

Rootkity dla systemu UNIX

Maskowanie obecności w systemie

W systemach Unix rootkity wykorzystywane są w taki sam sposób jak w systemach Windows. Haker instaluje rootkita na komputerze ofiary, jak tylko zdoła uzyskać przywileje administratora. Przywileje te są niezbędne do zainstalowania większości rootkitów i można je uzyskać wykorzystując znane luki w zabezpieczeniach pod warunkiem, że haker posiada standardowe przywileje użytkownika w systemie ofiary. Zdalny użytkownik może wykorzystać lokalny exploit lub narzędzie do złamania bazy danych haseł. Jeśli haker nie posiada odpowiednich uprawnień, w celu przechwycenia haseł może użyć zdalnego eksploita lub aplikacji podsłuchującej (sniffera). Hasła można przechwytywać w szeregu różnych usług (ftp, telnet itd.), ponieważ wszystkie te usługi przesyłają hasła poprzez sieć w formie czystego tekstu.

Rootkity mogą zawierać wiele różnych złośliwych programów (Trojan-DDos, backdoor itd.), które po zainstalowaniu na zainfekowanym komputerze będą czekały na polecenia od zdalnego hakera. Dodatkowo, rootkity mogą również zawierać łaty na luki w systemie mające na celu uniemożliwienie przeniknięcia do systemu innego hakera.

Podobnie jak w przypadku systemu Windows, rootkity dla Uniksa mogą wykorzystywać zarówno tryb użytkownika, jak i tryb jądra.

Rootkity w trybie użytkownika posiadają zazwyczaj trojańskie wersje standardowych programów, które maskują obecność ich komponentów w systemie oraz backdoora, który umożliwia ukryty dostęp do systemu. Przykłady rootkitów w trybie użytkownika obejmują lkr, trOn, ark. Przyjrzyjmy się rootkitowi w trybie użytkownika na przykładzie trOn. W celu zamaskowania swojej obecności w systemie rootkity te wykonują szereg czynności. Po zainstalowaniu rootkit zatrzymuje demona syslogd, a następnie zastępuje swoją własną trojańską wersją następujące narzędzia systemowe: du, find, ifconfig, login, ls, netstat, ps, top, sz. Poza tym, do systemu dodawana jest trojańska wersja demona sshd. Na koniec w tle zostaje uruchomiony sniffer. Do pliku inetd.conf zostaje dodane polecenie uruchamiające demony telnetd, rsh oraz finger; inetd zostaje powtórnie uruchomiony, a syslogd zrestartowany.

TrOn zazwyczaj zlokalizowany jest w /usr/src/.puta. Katalog ten jest jednak niewidoczny z powodu komponentu ls, który został już zainstalowany.

Przyjrzyjmy się teraz rootkitom w trybie jądra. Rootkity tego typu posiadają wszystkie funkcje rootkitów w trybie użytkownika, ale na niższym poziomie. Rootkity w trybie użytkownika przeznaczone są do modyfikacji poszczególnych plików binarnych, podczas gdy rootkity w trybie jądra mogą modyfikować tylko jądro. Rootkity te są znacznie efektywniejsze w maskowaniu aktywności.