Що за звір rootkit?

1. Що таке руткіт?
2. За яким принципом працюють руткіти?
3. Існує чотири основних типи руткітів:
4. Чи повинні руткіти вважатися шкідливими програмами?
5. Як боротися з руткитами?

Що таке руткіт?

Це не вірус. Це не хробак. Це не троян. І це не шпигунське ПЗ. Незважаючи на те, який образ може виникнути в голові, коли ми чуємо дане назва. Отже, що ж таке руткіт? Хоча вони тісно пов'язані з шкідливими програмами, руткіти самі по собі не зможуть зашкодити комусь. Однак їх здатність маніпулювати операційною системою комп'ютера і надавати віддаленим користувачам адміністраторські права, що не дивно, зробила їх основним інструментом кіберзлочинців. Хочете дізнатися про те, які бувають руткіти? Як вони працюють? Як від них захиститися? Про все це ми детально розповімо далі.

Термін «rootkit» спочатку відбувається зі світу операційних систем Unix, де слово «root» використовується для опису користувача з максимально можливим рівнем прав доступу, аналогічно «Адміністратору» в Windows. Слово «kit» відноситься до програмного забезпечення, яке надає доступ до кореневих папок машини. Тепер з'єднаємо їх разом, і вуаля - виходить «руткіт», програма, яка дозволяє сторонньому користувача, незалежно від його намірів, отримати привілейований доступ до комп'ютера.

Оскільки він здатний вносити зміни на самому фундаментальному рівні, руткит може приховувати себе, запускати файли, вносити зміни в систему і відслідковувати її використання без відома справжнього власника навіть тоді, коли він використовує пристрій.

Історично руткіти були обмежені миром Unix і Linux, але в кінцевому підсумку перейшли і до операційної системи Windows завдяки появі NTRootkit - інструменту, орієнтованого на Windows NT, який був вперше виявлений ще в 1999 році. З тих пір руткіти швидко стали популярними в системах Windows, і навіть сьогодні зберігається надзвичайна поширеність цих живучих паразитів цифрового світу.

За яким принципом працюють руткіти?

Руткіти не можуть поширюватися самі по собі і замість цього покладаються на деякі тактичні хитрощі, щоб заразити ваш комп'ютер. Як правило, для прикриття вони використовують на вигляд цілком звичайні додатки, які можуть бути цілком робочими. Однак коли ви дозволяєте установку такого ПО на ваш комп'ютер, руткит непомітно пробирається всередину системи, де він може перебувати в стані спокою, поки хакери не активує його. Руткіти, як відомо, важко виявити і видалити з-за їх здатності приховувати себе від користувачів, адміністраторів і багатьох типів антивірусів. Простіше кажучи, якщо на вашому комп'ютері є руткит, то з більшою часткою ймовірності він буде допомагати хакерам.

Інші шляхи поширення руткітів - це шахрайство з фішингом електронної пошти, їх завантаження з небезпечних сайтів і підключення до зламаним загальним сховищ. Важливо відзначити, що руткіти не завжди вимагають, щоб ви запускали виконуваний файл - іноді досить одного простого дії, такого як відкриття документа PDF або Word (де міститься шкідливий код), щоб заразити комп'ютер.

Існує чотири основних типи руткітів:

Руткіти рівня ядра розроблені для зміни функціональності вашої операційної системи. Вони зазвичай додають свій власний код (а іноді і власні структури даних) до частин ядра операційної системи. Створити коректний руткит ядра досить складно і, якщо це зроблено неправильно, то він може зробити помітний вплив на продуктивність системи. Доброю новиною є те, що більшість руткітів рівня ядра легше виявити, ніж інші типи.

SmartService - відмінний приклад такого руткита. Аж до середини 2017 року SmartService не давав запускати на зараженій машині антивірусні засоби, що дозволяло рекламному ПО і троянам спокійно існувати на даному комп'ютері.

Руткіти призначеного для користувача режиму або запускаються як звичайна програма автозапуску, або через троян. Такий руткит може вводитися в систему абсолютно різними способами, які в основному залежать від використовуваної ОС. Руткіти Windows, як правило, зосереджені на управлінні основними функціями, які виконують DLL файли Windows, а в системах Unix вони зазвичай повністю замінюють ціле системне додаток.

Руткіти призначеного для користувача режиму часто використовуються при зараженні комп'ютера банківським трояном. Один з найпоширеніших вірусів такого типу під назвою Carberp використовує даний руткит. Його вихідний код потрапив в мережу кілька років тому, тому компонент руткита призначеного для користувача режиму з Carberp постійно модернізується хакерами і може бути знайдений у багатьох родинах банківських троянів навіть сьогодні.

Завантажувальні руткіти або буткіти націлені на зараження головного завантажувального запису (основного сектора, який дозволяє комп'ютеру завантажувати операційну систему). Даний типу руткітів знищити найскладніше, тому що якщо головний завантажувальний запис була пошкоджена, то його видалення може призвести до пошкодження машини.

Найбільш сучасні операційні системи, такі як Windows 10, практично повністю несприйнятливі до такого типу руткитам зважаючи впровадження Secure Boot. В результаті буткіти майже вимерли. Найвідоміша сім'я вірусів, що використовують буткіти - це Alureon / TDL-4, яка була активною з 2007 по 2012 рік. Шкідливе ПО Alureon змогло створити другий в світі за активністю ботнет, поки його творців не заарештували в кінці 2011 року.

Такі руткіти працюють тільки в оперативній пам'яті (ОЗУ). На відміну від інших типів руткітів, які можуть довгий час спокійно існувати на вашому комп'ютері, руткіти оперативної пам'яті стираються при перезавантаженні комп'ютера через те, що ОЗУ очищається при наступному включенні.

Хоча існує багато різних типів руткітів оперативної пам'яті, більшість з них виконують одну і ту ж задачу: усунення слідів своєї роботу або вірусу в операційній системі. Вони можуть робити це найрізноманітнішими способами. Наприклад, Windows має вбудовану функцію, відповідальну за відображення вмісту папок. Руткіт може змінити ці дані так, щоб ім'я файлу, що містить вірус, ніколи не відображалося для звичайного користувача. Шляхом маніпуляції з іншими API-інтерфейсами Windows можуть бути приховані не тільки файли і папки, але також активні програми, відкриті порти мережевого зв'язку, які використовуються, або ключі реєстру. Звичайно, це лише мала частина того, на що здатні руткіти.

Чи повинні руткіти вважатися шкідливими програмами?

Як ми вже говорили раніше, руткіти зазвичай використовуються для поширення шкідливих програм, але хіба вони небезпечні самі по собі?

Одним словом: Ні. По суті своїй руткіти не можуть мати негативний вплив на ваш комп'ютер. Їх єдина мета - приховати інший (найчастіше вірусне, однак так буває не завжди) програмне забезпечення і його сліди, що залишилися в операційній системі.

Протягом багатьох років руткіти використовувалися для захисту ліцензійного ПЗ і цілком законного матеріалу. Один з найвідоміших прикладів - це система захисту від копіювання компакт-дисків Sony BMG. У 2005 році фахівець з Windows Марк Руссинович виявив, що використання Sony BMG CD призводило до установки частини програмного забезпечення, але на це не було потрібне схвалення користувача, а також дана операція не з'являлася в списку процесів і ПО було неможливо знищити (тобто воно ховалося від користувача). Спочатку руткіти створювалися як програмне забезпечення для захисту даних, яке повинно було не дозволити покупцю компакт-диска з музикою скопіювати з нього звукові дані, щоб потім незаконно продавати їх.

Хоча руткіти і можуть служити на благо, все-таки кіберзлочинці найбільше виграли від їх використання. Руткіти здатні легко приховати процеси, файли або папки, а це значить, що вони легко приховають від користувача проник на його комп'ютер вірус. Причому вони можуть зробити це настільки добре, що ні сам користувач, ні антивірус не зуміють знайти і знищити вірусне ПО.

Руткіти дуже часто використовуються для того, щоб приховати в системі клавіатурних черв'яків, які зчитують кожне натискання клавіші на клавіатурі. Хакери впроваджували руткіти для створення величезних бот-мереж, що складаються з мільйонів машин, які вони запускали для збору криптовалюта, проведення DDoS-атак і інших масштабних незаконних кампаній.

Як боротися з руткитами?

Багато руткіти здатні успішно ховатися від антивірусних сканерів, однак виробники антивірусного програмного забезпечення теж не стоять на місці і активно працюють в напрямку виявлення руткітів і знешкодження їх потенційно небезпечної діяльності. Зокрема Avast Pro Antivirus , ESET Internet Security , Emsisoft Anti-Malware або 360 Total Security Преміум вже мають в своєму складі ефективні засоби по боротьбі з руткитами, що дозволяє користувачам вибрати найбільш оптимальний засіб для того щоб убезпечити свої пристрої від загроз, крадіжки інформації та перетворення їх в шкідливу мережу «ботнет».