Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Що за звір rootkit?

Що за звір rootkit?

rootkit_art_so_01.png

Що таке руткіт?

Це не вірус. Це не хробак. Це не троян. І це не шпигунське ПЗ. Незважаючи на те, який образ може виникнути в голові, коли ми чуємо цю назву. Отже, що ж таке руткіт? Хоча вони тісно пов'язані з шкідливими програмами, руткіти самі по собі не зможуть нашкодити комусь. Проте їх здатність маніпулювати операційною системою комп'ютера і надавати віддаленим користувачам адміністраторські права, що не дивно, зробила їх основним інструментом кіберзлочинців. Хочете дізнатися про те, які бувають руткіти? Як вони працюють? Як від них захиститися? Про все це ми докладно розповімо далі.

Термін «rootkit» спочатку відбувається світу операційних систем Unix, де слово «root» використовується для опису користувача з максимально можливим рівнем прав доступу, аналогічно «Адміністратора» в Windows. Слово «kit» відноситься до програмного забезпечення, яке надає доступ до кореневої папки машини. Тепер з'єднаємо їх разом, і вуаля - виходить «руткіт», програма, яка дозволяє сторонньому користувача, незалежно від його намірів, отримати привілейований доступ до комп'ютера.

Оскільки він здатний вносити зміни на самому фундаментальному рівні, руткіт може приховувати себе, запускати файли, вносити зміни в систему і відслідковувати її використання без відома справжнього власника навіть тоді, коли він використовуєте пристрій.

Історично руткіти були обмежені світом Unix і Linux, але в кінцевому підсумку перейшли і до операційної системи Windows завдяки появі NTRootkit – інструменту, орієнтованого на Windows NT, який був вперше виявлений ще в 1999 році. З тих пір руткіти швидко здобули популярність у системах Windows, і навіть сьогодні зберігається надзвичайна поширеність цих живучих паразитів цифрового світу.

За яким принципом працюють руткіти?

Руткіти не можуть поширюватися самі по собі і замість цього покладаються на деякі тактичні хитрощі, щоб заразити ваш комп'ютер. Як правило, для прикриття вони використовуються з вигляду цілком звичайні додатки, які можуть бути цілком робітниками. Однак коли ви дозволяєте встановлення такого на ваш комп'ютер, руткіт непомітно пробирається всередину системи, де він може знаходитися в стані спокою, поки хакер не активує його. Руткіти, як відомо, важко виявити і видалити з-за їх здатності приховувати себе від користувачів, адміністраторів та багатьох типів антивірусів. Простіше кажучи, якщо на вашому комп'ютері є руткіт, то з більшою часткою ймовірності він буде допомагати хакерам.

Інші шляхи поширення руткітів – це шахрайство з фішингом електронної пошти, завантаження з небезпечних сайтів і підключення до зламаних загальних сховищ. Важливо відзначити, що руткіти не завжди вимагають, щоб ви запускали виконуваний файл - іноді достатньо одного простого , такого як відкриття документа PDF або Word (де міститься шкідливий код), щоб заразити комп'ютер.

Існує чотири основних типи руткітів:

Руткіти ядра

Руткіти рівня ядра розроблені для зміни функціональності вашої операційної системи. Вони зазвичай додають свій власний код (а іноді і власні структури даних) до частин ядра операційної системи. Створити коректний руткіт ядра досить складно і, якщо це зроблено неправильно, то він може зробити помітний вплив на продуктивність системи. Доброю новиною є те, що більшість руткітів рівня ядра легше знайти, чим інші типи.

SmartService - відмінний приклад такого руткіта. Аж до середини 2017 року SmartService не давав запускати на зараженій машині антивірусні засоби, що дозволяло рекламному ПЗ і троянам спокійно існувати на даному комп'ютері.

Руткіти для користувача режиму

Руткіти для користувача режиму або запускаються як звичайна програма автозапуску, або через троян. Такий руткіт може вводитися в систему абсолютно різними способами, які в основному залежать від використовуваної ОС. Руткіти Windows, як правило, зосереджені на управлінні основними функціями, які виконують DLL файли Windows, а в системах Unix вони зазвичай повністю замінюють цілий системний додаток.

Руткіти для користувача режиму часто використовуються при зараженні комп'ютера банківським трояном. Один з найбільш поширених вірусів такого типу під назвою Carberp використовує даний руткіт. Його вихідний код потрапив в мережу кілька років тому, тому компонент руткіта користувальницького режиму з Carberp постійно модернізується хакерами і може бути знайдений в багатьох родинах банківських троянів навіть сьогодні.

Руткіти завантажувача

Завантажувальні руткіти або буткіти націлені на зараження головною завантажувального запису (основного сектора, який дозволяє комп'ютеру завантажувати операційну систему). Дані типи руткітів знищити найскладніше, так як якщо головна завантажувальна запис була пошкоджена, то його видалення може призвести до пошкодження машини.

Найбільш сучасні операційні системи, такі як Windows 10, практично повністю несприйнятливі до такого типу руткітам через упровадження Secure Boot. В результаті буткіти майже вимерли. Найвідоміша родина вірусів, що використовують буткіти – це Alureon / TDL-4, яка була активною з 2007 по 2012 рік. Шкідливе ПЗ Alureon змогло створити другий у світі по активності ботнет, поки його творців не заарештували наприкінці 2011 року.

Руткіти оперативної пам'яті

Такі руткіти працюють тільки в оперативній пам'яті (ОЗП). На відміну від інших типів руткітів, які можуть довгий час спокійно існувати на вашому комп'ютері, руткіти оперативної пам'яті стираються при перезавантаженні комп'ютера з-за того, що ОЗП очищається при наступному включенні.

Хоча існує багато різних типів руткітів оперативної пам'яті, більшість з них виконують одну і ту ж задачу: усунення слідів власної роботу або вірусу в операційній системі. Вони можуть робити це різними способами. Наприклад, Windows має вбудовану функцію, відповідальну за відображення вмісту папок. Руткіт може змінити ці дані так, щоб ім'я файлу, що містить вірус, ніколи не відображалося для звичайного користувача. Шляхом маніпуляції з іншими інтерфейси API Windows можуть бути приховані не тільки файли і папки, а також активні програми, відкриті порти мережевий зв'язку, які використовуються, або ключі реєстру. Звичайно, це лише мала частина того, на що здатні руткіти.

Повинні руткіти вважатися шкідливими програмами?

Як ми вже говорили раніше, руткіти зазвичай використовуються для розповсюдження шкідливих програм, але хіба вони небезпечні самі по собі?

Одним словом: Немає. По суті своїй руткіти не можуть зробити негативний вплив на ваш комп'ютер. Їх єдина мета – приховати інший (найчастіше вірусне, проте так буває не завжди) програмне забезпечення і його сліди, що залишилися в операційній системі.

Протягом багатьох років руткіти використовувалися для захисту ліцензійного ПЗ і цілком законного матеріалу. Один з найвідоміших прикладів – це система захисту від копіювання компакт-дисків Sony BMG. У 2005 році фахівець з Windows Марк Руссинович виявив, що використання Sony BMG CD призводило до встановлення частини програмного забезпечення, але на це не було потрібне схвалення користувача, а також дана операція не з'являлася у списку процесів і було неможливо видалити (тобто воно ховалося від користувача). Спочатку руткіти створювалися як програмне забезпечення для захисту даних, яке повинно було не дозволити покупцю компакт-диска з музикою скопіювати з його аудіодані, щоб потім незаконно продавати їх.

Хоча руткіти і можуть служити на благо, все-таки вони найбільше виграли від їх використання. Руткіти здатні легко приховати процеси, файли або папки, а це означає, що вони легко приховають від користувача проник на його комп'ютер вірус. Причому вони можуть зробити це настільки добре, що ні сам користувач, ні антивірус не зуміють знайти і знищити вірусне ПЗ.

Руткіти дуже часто використовуються для того, щоб приховати в системі клавіатурних черв'яків, які зчитують кожне натискання клавіші на клавіатурі. Хакери впроваджували руткіти для створення величезних бот-мереж, що складаються з мільйонів машин, які вони запускали для збору кріптовалюти, проведення DDoS-атак і інших масштабних незаконних кампаній.

Як боротися з руткітами?

Багато руткітів здатні успішно ховатися від антивірусних сканерів, однак виробники антивірусного програмного забезпечення теж не стоять на місці і активно працюють у напрямку виявлення руткітів і знешкодження їх потенційно небезпечної діяльності. Зокрема Avast Pro Antivirus, ESET Internet Security, Emsisoft Anti-Malware або 360 Total Security Преміум вже мають в своєму складі ефективні засоби боротьби з руткітами, що дозволяє користувачам вибрати найбільш оптимальний засіб для того, щоб убезпечити свої пристрої від загроз, крадіжки інформації і перетворення їх у хакерську мережу «ботнет».