Руткит
Руткит , — это совокупность компьютерного программного обеспечения , обычно вредоносного, предназначенного для обеспечения доступа к компьютеру или области его программного обеспечения которая иначе не разрешена (например, неавторизованному пользователю), и часто маскирует его существование или существование другого программного обеспечения. . [1] Термин « руткит» представляет собой смесь слова « root » (традиционное имя привилегированной учетной записи в Unix-подобных операционных системах) и слова «kit» (которое относится к программным компонентам, реализующим этот инструмент). [2] Термин «руткит» имеет негативный оттенок из-за ассоциации с вредоносным ПО . [1]
Установка руткита может быть автоматизирована, либо злоумышленник может установить его после получения доступа root или администратора. [3] Получение этого доступа является результатом прямой атаки на систему, т.е. использования уязвимости (например, повышения привилегий ) или пароля (полученного путем взлома или социальной инженерии тактики , такой как « фишинг »). После установки становится возможным скрыть вторжение, а также сохранить привилегированный доступ. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.
Обнаружение руткитов затруднено, поскольку руткит может вывести из строя программное обеспечение, предназначенное для его обнаружения. Методы обнаружения включают использование альтернативной и доверенной операционной системы , поведенческие методы, сканирование сигнатур, сканирование различий и дампа памяти анализ . Удаление может быть сложным или практически невозможным, особенно в тех случаях, когда руткит находится в ядре ; переустановка операционной системы может оказаться единственным доступным решением проблемы. При работе с руткитами прошивки для удаления может потребоваться замена оборудования или специального оборудования.
История
[ редактировать ]Термин rootkit , rkit или rootkit первоначально относился к злонамеренно модифицированному набору административных инструментов для Unix-подобной операционной системы , предоставляющему « корневой » доступ. [4] Если злоумышленник сможет заменить стандартные инструменты администрирования в системе руткитом, он сможет получить root-доступ к системе, одновременно скрывая эти действия от законного системного администратора . Эти руткиты первого поколения было легко обнаружить с помощью таких инструментов, как Tripwire , которые не были скомпрометированы для доступа к той же информации. [5] [6] Лейн Дэвис и Стивен Дэйк написали самый ранний известный руткит в 1990 году для Sun Microsystems UNIX компании операционной системы SunOS . [7] В лекции, которую он прочитал после получения премии Тьюринга в 1983 году, Кен Томпсон из Bell Labs , один из создателей Unix , выдвинул теорию о подрыве компилятора C в дистрибутиве Unix и обсудил этот эксплойт. Модифицированный компилятор обнаружит попытки скомпилировать Unix-версию. login
команду и сгенерируйте измененный код, который будет принимать не только правильный пароль пользователя, но и дополнительный пароль « черного входа », известный злоумышленнику. Кроме того, компилятор обнаружит попытки скомпилировать новую версию компилятора и вставит в новый компилятор те же самые эксплойты. Обзор исходного кода для login
команда или обновленный компилятор не обнаружат никакого вредоносного кода. [8] Этот эксплойт был эквивалентен руткиту.
Первый задокументированный компьютерный вирус, нацеленный на персональный компьютер , обнаруженный в 1986 году, использовал методы маскировки , чтобы скрыть себя: вирус Brain перехватывал попытки чтения загрузочного сектора и перенаправлял их в другое место на диске, где находилась копия исходного загрузочного сектора. был сохранен. [1] Со временем методы маскировки DOS -вирусов стали более изощренными. Передовые методы включали перехват вызовов низкоуровневых дисковых INT 13H BIOS прерываний для сокрытия несанкционированных изменений файлов. [1]
Первый вредоносный руткит для операционной системы Windows NT появился в 1999 году: троян под названием NRTRootkit, созданный Грегом Хоглундом . [9] За ним последовал HackerDefender в 2003 году. [1] Первый руткит, нацеленный на Mac OS X, появился в 2009 году. [10] в то время как червь Stuxnet был первым, нацеленным на программируемые логические контроллеры (ПЛК). [11]
Скандал с руткитом защиты от копирования Sony BMG
[ редактировать ]В 2005 году Sony BMG выпустила компакт-диски с программным обеспечением для защиты от копирования и управления цифровыми правами под названием Extended Copy Protection , созданным компанией-разработчиком программного обеспечения First 4 Internet. Программное обеспечение включало музыкальный проигрыватель, но автоматически устанавливало руткит, ограничивавший возможность пользователя получить доступ к компакт-диску. [12] Инженер-программист Марк Руссинович , создавший средство обнаружения руткитов RootkitRevealer , обнаружил руткит на одном из своих компьютеров. [1] Последовавший скандал повысил осведомленность общественности о руткитах. [13] Чтобы скрыть себя, руткит скрывал от пользователя любой файл, начинающийся с «$sys$». Вскоре после доклада Руссиновича появилось вредоносное ПО, воспользовавшееся существующим руткитом на пораженных системах. [1] Один аналитик BBC назвал это « кошмаром в сфере связей с общественностью ». [14] Sony BMG выпустила патчи для удаления руткита, но они подвергли пользователей еще более серьезной уязвимости. [15] В конце концов компания отозвала компакт-диски. В США коллективный иск . против Sony BMG был подан [16]
Дело о прослушивании телефонных разговоров в Греции, 2004–2005 гг.
[ редактировать ]Дело о прослушивании телефонных разговоров в Греции в 2004–2005 годах , также известное как «Греческий Уотергейт», [17] связано с незаконным прослушиванием более 100 мобильных телефонов в сети Vodafone Греция, принадлежащих в основном членам греческого правительства и высокопоставленным государственным служащим. Прослушивание началось где-то в начале августа 2004 г. и было прекращено в марте 2005 г., так и не установив личности преступников. Злоумышленники установили руткит, нацеленный на телефонную станцию AX компании Ericsson . По данным IEEE Spectrum , это был «первый раз, когда руткит был обнаружен в системе специального назначения, в данном случае в телефонном коммутаторе Ericsson». [18] Руткит был разработан для исправления памяти биржи во время ее работы, включения прослушки при отключении журналов аудита, исправления команд, перечисляющих активные процессы и активные блоки данных, а также изменения команды проверки контрольной суммы блоков данных . «Черный ход» позволял оператору со статусом системного администратора деактивировать журнал транзакций биржи, сигналы тревоги и команды доступа, связанные с возможностью наблюдения. [18] Руткит был обнаружен после того, как злоумышленники установили ошибочное обновление, из-за которого SMS- сообщения не доставлялись, что приводило к созданию автоматического отчета об ошибке. Инженеры Ericsson были вызваны для расследования неисправности и обнаружили скрытые блоки данных, содержащие список отслеживаемых телефонных номеров, а также руткит и незаконное программное обеспечение для мониторинга.
Использование
[ редактировать ]Современные руткиты не повышают уровень доступа, [4] а скорее используются для того, чтобы сделать другую полезную нагрузку программного обеспечения необнаружимой за счет добавления скрытых возможностей. [9] Большинство руткитов классифицируются как вредоносные программы , поскольку полезные данные, с которыми они связаны, являются вредоносными. Например, полезная нагрузка может тайно украсть пароли пользователей , информацию о кредитных картах , вычислительные ресурсы или выполнить другие несанкционированные действия. Небольшое количество руткитов пользователи могут рассматривать как служебные приложения: например, руткит может скрывать компакт-диска драйвер эмуляции , позволяя пользователям видеоигр обойти меры по борьбе с пиратством , требующие вставки исходного установочного носителя в физический диск. оптический привод, чтобы убедиться, что программное обеспечение было приобретено законно.
Руткиты и их полезные данные имеют множество применений:
- Предоставьте злоумышленнику полный доступ через бэкдор , разрешающий несанкционированный доступ, например, для кражи или подделки документов. Один из способов добиться этого — разрушить механизм входа в систему, такой как программа /bin/login в Unix-подобных системах или GINA в Windows. Похоже, что замена работает нормально, но также принимает секретную комбинацию входа, которая позволяет злоумышленнику получить прямой доступ к системе с административными привилегиями, минуя стандартные механизмы аутентификации и авторизации .
- Скрывайте другие вредоносные программы , в частности программы для перехвата паролей и компьютерные вирусы . [19]
- Присвойте скомпрометированную машину как компьютер-зомби для атак на другие компьютеры. (Атака исходит из скомпрометированной системы или сети, а не из системы злоумышленника.) Компьютеры-зомби обычно являются членами крупных бот-сетей , которые, помимо прочего, могут запускать атаки типа «отказ в обслуживании» , распространять по электронной почте спам и совершать клики. мошенничество . [20]
В некоторых случаях руткиты обеспечивают желаемую функциональность и могут быть установлены намеренно от имени пользователя компьютера:
- Обнаруживать атаки, например, в Honeypot . [21]
- Улучшите программное обеспечение эмуляции и программное обеспечение безопасности. [22] Alcohol 120% и Daemon Tools являются коммерческими примерами невраждебных руткитов, используемых для обхода механизмов защиты от копирования, таких как SafeDisc и SecuROM . [23] Антивирусное программное обеспечение Касперского также использует методы, напоминающие руткиты, для защиты от вредоносных действий. Он загружает собственные драйверы для перехвата активности системы, а затем не дает другим процессам причинить себе вред. Его процессы не скрыты, но не могут быть завершены стандартными методами.
- Защита от кражи: ноутбуки могут иметь руткит-программу на базе BIOS, которая будет периодически сообщать центральному органу, позволяя отслеживать, отключать или стирать информацию о ноутбуке в случае его кражи. [24]
- Обход активации продукта Microsoft [25]
Типы
[ редактировать ]Существует как минимум пять типов руткитов: от руткитов самого низкого уровня прошивки (с самыми высокими привилегиями) до вариантов с наименьшими привилегиями для пользователей, которые работают в Ring 3 . Могут встречаться гибридные комбинации, охватывающие, например, пользовательский режим и режим ядра. [26]
Пользовательский режим
[ редактировать ]Руткиты пользовательского режима запускаются в Ring 3 вместе с другими приложениями как пользовательские, а не как низкоуровневые системные процессы. [27] У них есть ряд возможных векторов установки для перехвата и изменения стандартного поведения интерфейсов прикладного программирования (API). Некоторые внедряют динамически подключаемую библиотеку (например, файл .DLL в Windows или файл .dylib в Mac OS X ) в другие процессы и, таким образом, могут выполняться внутри любого целевого процесса, чтобы подделать его; другие, обладающие достаточными привилегиями, просто перезаписывают память целевого приложения. Механизмы инъекций включают в себя: [27]
- Использование расширений приложений, поставляемых поставщиком. Например, Windows Explorer имеет общедоступные интерфейсы, которые позволяют третьим лицам расширять его функциональность.
- Перехват сообщений .
- Отладчики .
- Эксплуатация уязвимостей безопасности .
- функций Перехват или исправление часто используемых API, например, чтобы скрыть запущенный процесс или файл, расположенный в файловой системе. [28]
...поскольку все приложения пользовательского режима работают в своем собственном пространстве памяти, руткиту необходимо выполнить исправление в пространстве памяти каждого работающего приложения. Кроме того, руткиту необходимо отслеживать систему на предмет любых новых приложений, которые выполняются, и исправлять пространство памяти этих программ до их полного выполнения.
- Обзор руткитов Windows, Symantec [4]
Режим ядра
[ редактировать ]Руткиты режима ядра запускаются с наивысшими привилегиями операционной системы ( Ring 0 ) путем добавления кода или замены частей основной операционной системы, включая ядро и связанные с ним драйверы устройств . [ нужна ссылка ] Большинство операционных систем поддерживают драйверы устройств режима ядра, которые выполняются с теми же привилегиями, что и сама операционная система. Таким образом, многие руткиты режима ядра разрабатываются в виде драйверов устройств или загружаемых модулей, например загружаемых модулей ядра в Linux или драйверов устройств в Microsoft Windows . Этот класс руткитов имеет неограниченный безопасный доступ, но его сложнее писать. [29] Сложность делает ошибки распространенными, и любые ошибки в коде, работающем на уровне ядра, могут серьезно повлиять на стабильность системы, что приведет к обнаружению руткита. [29] Один из первых широко известных руткитов ядра был разработан для Windows NT 4.0 и опубликован в Phrack журнале в 1999 году Грегом Хоглундом . [30] [31] Руткиты ядра особенно сложно обнаружить и удалить, поскольку они работают на том же уровне безопасности , что и сама операционная система, и, таким образом, способны перехватывать или нарушать наиболее доверенные операции операционной системы. Любое программное обеспечение, например антивирусное программное обеспечение , работающее в скомпрометированной системе, одинаково уязвимо. [32] В этой ситуации ни одной части системы нельзя доверять.
Руткит может изменять структуры данных в ядре Windows, используя метод, известный как прямая манипуляция объектами ядра (DKOM). [33] Этот метод можно использовать для сокрытия процессов. Руткит режима ядра также может перехватить таблицу дескрипторов системных служб (SSDT) или изменить шлюзы между пользовательским режимом и режимом ядра, чтобы скрыть себя. [4] Аналогично и в операционной системе Linux руткит может изменить таблицу системных вызовов, чтобы подорвать функциональность ядра. [34] [35] Обычно руткит создает скрытую зашифрованную файловую систему, в которой он может скрывать другие вредоносные программы или оригинальные копии зараженных им файлов. [36] Операционные системы развиваются, чтобы противостоять угрозе руткитов режима ядра. Например, 64-разрядные версии Microsoft Windows теперь реализуют обязательное подписание всех драйверов уровня ядра, чтобы затруднить выполнение ненадежного кода с самыми высокими привилегиями в системе. [37]
Буткиты
[ редактировать ]Вариант руткита режима ядра, называемый буткитом, может заражать код запуска, такой как основная загрузочная запись (MBR), загрузочная запись тома (VBR) или загрузочный сектор , и таким образом может использоваться для атаки на полного шифрования диска . системы [38] Примером такой атаки на шифрование диска является « атака злой горничной », при которой злоумышленник устанавливает буткит на оставленный без присмотра компьютер. Предполагаемый сценарий: горничная пробирается в номер отеля, где жертвы оставили свое оборудование. [39] Буткит заменяет законный загрузчик другим, находящимся под их контролем. Обычно загрузчик вредоносного ПО сохраняется при переходе в защищенный режим после загрузки ядра и, таким образом, может разрушить ядро. [40] [41] [42] Например, «Stoned Bootkit» подрывает систему, используя взломанный загрузчик для перехвата ключей шифрования и паролей. [43] [ самостоятельно опубликованный источник? ] В 2010 году руткит Alureon успешно нарушил требование о подписании 64-битного драйвера режима ядра в Windows 7 , изменив главную загрузочную запись . [44] Определенное программное обеспечение «Vista Loader» или «Windows Loader», хотя и не является вредоносным ПО в смысле выполнения чего-то, чего пользователь не хочет, работает аналогичным образом, внедряя таблицу ACPI SLIC (внутренний код системной лицензии) в версию, кэшированную в ОЗУ. BIOS во время загрузки, чтобы обойти процесс активации Windows Vista и Windows 7 . [ нужна ссылка ] Этот вектор атаки оказался бесполезным в (несерверных) версиях Windows 8 , которые используют уникальный, специфичный для каждой системы ключ, который может использоваться только этим одним компьютером. [45] Многие антивирусные компании предоставляют бесплатные утилиты и программы для удаления буткитов.
Уровень гипервизора
[ редактировать ]Руткиты были созданы как гипервизоры типа II в научных кругах в качестве доказательства концепции. Используя функции аппаратной виртуализации, такие как Intel VT или AMD-V , этот тип руткита запускается в Ring-1 и размещает целевую операционную систему в качестве виртуальной машины , тем самым позволяя руткиту перехватывать аппаратные вызовы, выполняемые исходной операционной системой. [6] В отличие от обычных гипервизоров, им не обязательно загружаться перед операционной системой, но они могут загружаться в операционную систему перед ее преобразованием в виртуальную машину. [6] Руткит гипервизора не должен вносить какие-либо изменения в ядро целевой системы, чтобы подорвать ее; однако это не означает, что гостевая операционная система не может его обнаружить. Например, различия во времени могут быть обнаружены в ЦП . инструкциях [6] Лабораторный руткит SubVirt, разработанный совместно исследователями Microsoft и Мичиганского университета , представляет собой академический пример руткита на базе виртуальных машин (VMBR). [46] в то время как программное обеспечение Blue Pill — другое. В 2009 году исследователи из Microsoft и Университета штата Северная Каролина продемонстрировали антируткит уровня гипервизора под названием Hooksafe , который обеспечивает общую защиту от руткитов режима ядра. [47] В Windows 10 появилась новая функция под названием «Device Guard», которая использует преимущества виртуализации для обеспечения независимой внешней защиты операционной системы от вредоносных программ типа руткитов. [48]
Прошивка и оборудование
[ редактировать ]Руткит встроенного ПО использует встроенное ПО устройства или платформы для создания постоянного образа вредоносного ПО на оборудовании, таком как маршрутизатор , сетевая карта , [49] жесткий диск или системный BIOS . [27] [50] Руткит прячется в прошивке, поскольку целостность кода прошивки обычно не проверяется . Джон Хисман продемонстрировал жизнеспособность руткитов прошивки в обеих ACPI. процедурах прошивки [51] и в PCI карты расширения ПЗУ . [52] В октябре 2008 года преступники взломали европейские машины для считывания кредитных карт до того, как они были установлены. Устройства перехватывали и передавали данные кредитной карты через сеть мобильной связи. [53] В марте 2009 года исследователи Альфредо Ортега и Анибал Сакко опубликовали подробную информацию о рутките Windows на уровне BIOS , который смог пережить замену диска и переустановку операционной системы. [54] [55] [56] Через несколько месяцев они узнали, что некоторые ноутбуки продаются с легальным руткитом, известным как Absolute CompuTrace или Absolute LoJack for Laptops , предустановленным во многих образах BIOS. Это технологическая система защиты от краж , которую, как показали исследователи, можно использовать в злонамеренных целях. [24]
Технология Intel Active Management , входящая в состав Intel vPro , реализует внешнее управление , предоставляя администраторам возможность удаленного администрирования , удаленного управления и удаленного контроля ПК без участия хост-процессора или BIOS, даже когда система выключена. Удаленное администрирование включает в себя удаленное включение и выключение питания, удаленный сброс, перенаправленную загрузку, перенаправление консоли, доступ к настройкам BIOS перед загрузкой, программируемую фильтрацию входящего и исходящего сетевого трафика, проверку присутствия агента, внеполосное управление на основе политик. оповещения, доступ к системной информации, такой как информация об аппаратных ресурсах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (не на жестком диске), где она доступна, даже если операционная система не работает или компьютер выключен. Некоторые из этих функций требуют руткита самого глубокого уровня — второго несъемного шпионского компьютера, построенного вокруг основного компьютера. Sandy Bridge и будущие чипсеты имеют «возможность удаленно отключать и восстанавливать потерянный или украденный компьютер через 3G». Аппаратные руткиты, встроенные в Набор микросхем может помочь вернуть украденные компьютеры, удалить данные или сделать их бесполезными, но они также создают проблемы конфиденциальности и безопасности, связанные с необнаружимым шпионажем и перенаправлением со стороны руководства или хакеров, которые могут получить контроль.
Установка и клоакинг
[ редактировать ]Руткиты используют различные методы для получения контроля над системой; тип руткита влияет на выбор вектора атаки. Самый распространенный метод использует уязвимости безопасности для тайного повышения привилегий . Другой подход заключается в использовании троянского коня , который обманом заставляет пользователя компьютера поверить в безвредность программы установки руткита — в этом случае социальная инженерия убеждает пользователя в том, что руткит полезен. [29] Задача установки упрощается, если не применяется принцип наименьших привилегий , поскольку руткиту не придется явно запрашивать повышенные привилегии (уровня администратора). Другие классы руткитов могут быть установлены только лицом, имеющим физический доступ к целевой системе. Некоторые руткиты также могут быть установлены намеренно владельцем системы или кем-то, уполномоченным владельцем, например, в целях мониторинга сотрудников , что делает такие подрывные методы ненужными. [57] Некоторые вредоносные установки руткитов являются коммерческими, с типичным для распространения методом оплаты за установку (PPI). [58] [59]
После установки руткит принимает активные меры для сокрытия своего присутствия в хост-системе путем подрыва или обхода стандартных инструментов безопасности операционной системы и интерфейса прикладного программирования (API), используемых для диагностики, сканирования и мониторинга. [60] Руткиты достигают этого путем изменения поведения основных частей операционной системы путем загрузки кода в другие процессы, установки или изменения драйверов или модулей ядра . Методы запутывания включают сокрытие запущенных процессов от механизмов мониторинга системы, а также сокрытие системных файлов и других данных конфигурации. [61] Руткиты нередко отключают возможность регистрации событий операционной системы в попытке скрыть доказательства атаки. Теоретически руткиты могут подорвать любую деятельность операционной системы. [62] «Идеальный руткит» можно рассматривать как нечто похожее на « идеальное преступление »: преступление, о котором никто не подозревает. Руткиты также принимают ряд мер для обеспечения своей выживаемости против обнаружения и «очистки» антивирусным программным обеспечением в дополнение к обычной установке в кольцо 0 (режим ядра), где они имеют полный доступ к системе. К ним относятся полиморфизм (изменение так, что их «подпись» трудно обнаружить), методы скрытности, регенерация, отключение или отключение антивирусного программного обеспечения, [63] и не устанавливать их на виртуальные машины , где исследователям будет легче их обнаружить и проанализировать.
Обнаружение
[ редактировать ]Фундаментальная проблема с обнаружением руткитов заключается в том, что если операционная система была повреждена, особенно руткитом уровня ядра, ей нельзя доверять в обнаружении несанкционированных модификаций самой себя или своих компонентов. [62] Нельзя гарантировать, что такие действия, как запрос списка запущенных процессов или списка файлов в каталоге, будут вести себя должным образом. Другими словами, детекторы руткитов, работающие во время работы в зараженных системах, эффективны только против руткитов, которые имеют некоторые дефекты маскировки или которые работают с более низкими привилегиями пользовательского режима, чем программное обеспечение обнаружения в ядре. [29] Как и в случае с компьютерными вирусами , обнаружение и устранение руткитов — это постоянная борьба между обеими сторонами этого конфликта. [62] Обнаружение может использовать ряд различных подходов, включая поиск «сигнатур» вирусов (например, антивирусное программное обеспечение), проверку целостности (например, цифровые подписи ), обнаружение на основе различий (сравнение ожидаемых и фактических результатов) и поведенческое обнаружение (например, мониторинг). использование ЦП или сетевой трафик).
Для руткитов режима ядра обнаружение значительно сложнее и требует тщательного изучения таблицы системных вызовов для поиска перехватывающих функций , в которых вредоносное ПО может искажать поведение системы. [64] а также судебно-медицинское сканирование памяти на предмет закономерностей, указывающих на скрытые процессы. Предложения по обнаружению руткитов Unix включают Zeppoo, [65] chkrootkit , rkhunter и OSSEC . Для Windows средства обнаружения включают Microsoft Sysinternals RootkitRevealer , [66] Антивирус Аваст , [67] Sophos , Антируткит [68] F-безопасный , [69] Радикс, [70] ГМЕР , [71] и WindowsSCOPE . Любые детекторы руткитов, доказавшие свою эффективность, в конечном итоге способствуют их собственной неэффективности, поскольку авторы вредоносных программ адаптируют и тестируют свой код, чтобы избежать обнаружения хорошо используемыми инструментами. [Примечания 1] Обнаружение путем проверки хранилища, когда подозрительная операционная система не работает, может пропустить руткиты, не распознаваемые проверяющим программным обеспечением, поскольку руткит неактивен и подозрительное поведение подавляется; Обычное антивирусное программное обеспечение, работающее с работающим руткитом, может дать сбой, если руткит эффективно скрывает себя.
Альтернативное доверенное средство
[ редактировать ]Лучший и наиболее надежный метод обнаружения руткитов на уровне операционной системы — выключить компьютер, подозреваемый в заражении, а затем проверить его хранилище , загрузившись с альтернативного доверенного носителя (например, «спасательного» компакт-диска или USB-накопителя). ). [72] Этот метод эффективен, поскольку руткит не может активно скрывать свое присутствие, если он не запущен.
Поведенческий
[ редактировать ]Поведенческий подход к обнаружению руткитов пытается сделать вывод о наличии руткита, исследуя поведение руткита. Например, при профилировании системы различия во времени и частоте вызовов API или в общей загрузке ЦП можно отнести к руткиту. Метод сложен и затрудняется высокой частотой ложноположительных результатов . Дефектные руткиты иногда могут вносить в систему весьма очевидные изменения: руткит Alureon приводил к сбою систем Windows после того, как обновление безопасности выявило конструктивный недостаток в его коде. [73] [74] Журналы анализатора пакетов , брандмауэра или системы предотвращения вторжений могут свидетельствовать о поведении руткитов в сетевой среде. [26]
На основе подписи
[ редактировать ]Антивирусные продукты редко выявляют все вирусы в общедоступных тестах (в зависимости от того, что и в какой степени используется), даже несмотря на то, что поставщики защитного программного обеспечения включают обнаружение руткитов в свои продукты. Если руткит попытается скрыться во время антивирусного сканирования, стелс-детектор может это заметить; если руткит попытается временно выгрузиться из системы, обнаружение сигнатур (или «отпечатков пальцев») все равно сможет его найти. [75] Такой комбинированный подход вынуждает злоумышленников реализовывать механизмы контратаки или «ретро»-процедуры, которые пытаются завершить работу антивирусных программ. Методы обнаружения на основе сигнатур могут быть эффективны против широко опубликованных руткитов, но менее эффективны против специально созданных руткитов с собственными корнями. [62]
На основе различий
[ редактировать ]Другой метод обнаружения руткитов сравнивает «доверенные» необработанные данные с «испорченным» содержимым, возвращаемым API . Например, двоичные файлы, присутствующие на диске, можно сравнить с их копиями в операционной памяти (в некоторых операционных системах образ в памяти должен быть идентичен образу на диске), или можно сравнить результаты, возвращаемые из файловой системы или реестра Windows. API проверяться на соответствие необработанным структурам на базовых физических дисках [62] [76] — однако в первом случае некоторые существенные различия могут быть введены механизмами операционной системы, такими как перемещение памяти или подстановка . Руткит может обнаружить наличие такого сканера на основе различий или виртуальной машины (последняя обычно используется для проведения судебно-медицинской экспертизы) и скорректировать свое поведение так, чтобы никакие различия не могли быть обнаружены. Обнаружение на основе различий использовалось RootkitRevealer инструментом Руссиновича для обнаружения руткита Sony DRM. [1]
Проверка целостности
[ редактировать ]Подписание кода использует инфраструктуру открытых ключей для проверки того, был ли файл изменен с момента его цифровой подписи его издателем. В качестве альтернативы владелец или администратор системы может использовать криптографическую хэш-функцию для вычисления «отпечатка пальца» во время установки, который может помочь обнаружить последующие несанкционированные изменения в библиотеках кода на диске. [77] Однако простые схемы проверяют только то, был ли код изменен с момента установки; подрывная деятельность до этого времени не обнаруживается. Отпечаток пальца необходимо восстанавливать каждый раз при внесении изменений в систему: например, после установки обновлений безопасности или пакета обновления . Хэш-функция создает дайджест сообщения — относительно короткий код, вычисляемый на основе каждого бита файла с использованием алгоритма, который создает большие изменения в дайджесте сообщения с еще меньшими изменениями в исходном файле. Пересчитывая и сравнивая дайджест сообщений установленных файлов через регулярные промежутки времени с доверенным списком дайджестов сообщений, можно обнаруживать и отслеживать изменения в системе — при условии, что исходный базовый уровень был создан до добавления вредоносного ПО.
Более сложные руткиты способны нарушить процесс проверки, представляя для проверки немодифицированную копию файла или внося изменения в код только в память, регистры реконфигурации, которые позже сравниваются с белым списком ожидаемых значений. [78] Код, выполняющий операции хеширования, сравнения или расширения, также должен быть защищен — в этом контексте понятие неизменяемого корня доверия предполагает, что самый первый код, измеряющий свойства безопасности системы, сам должен быть доверенным, чтобы гарантировать, что руткит или буткит не ставят под угрозу систему на самом фундаментальном уровне. [79]
Дампы памяти
[ редактировать ]Принудительное создание полного дампа виртуальной памяти захватит активный руткит (или дамп ядра в случае руткита режима ядра), что позволит автономный судебный анализ выполнить с помощью отладчика на основе полученного файла дампа , при этом руткит не сможет принять любые меры, чтобы замаскировать себя. Этот метод является узкоспециализированным и может потребовать доступа к закрытому исходному коду или символам отладки . Дампы памяти, инициированные операционной системой, не всегда могут быть использованы для обнаружения руткита на базе гипервизора, который способен перехватывать и пресекать попытки чтения памяти на самом низком уровне. [6] аппаратное устройство, например, реализующее немаскируемое прерывание , для сброса памяти. — в этом сценарии может потребоваться [80] [81] Виртуальные машины также упрощают анализ памяти скомпрометированной машины с помощью базового гипервизора, поэтому по этой причине некоторые руткиты не заражают виртуальные машины.
Удаление
[ редактировать ]Ручное удаление руткита зачастую является чрезвычайно сложной задачей для обычного пользователя компьютера. [27] однако ряд поставщиков программного обеспечения безопасности предлагают инструменты для автоматического обнаружения и удаления некоторых руткитов, обычно как часть антивирусного пакета . По состоянию на 2005 год [update]Ежемесячный инструмент Microsoft для удаления вредоносных программ для Windows способен обнаруживать и удалять некоторые классы руткитов. [82] [83] Кроме того, автономный Защитник Windows может удалять руткиты, поскольку он запускается из доверенной среды до запуска операционной системы. [84] Некоторые антивирусные сканеры могут обходить API файловой системы , которые уязвимы для манипуляций со стороны руткитов. Вместо этого они напрямую обращаются к необработанным структурам файловой системы и используют эту информацию для проверки результатов системных API, чтобы выявить любые различия, которые могут быть вызваны руткитом. [Примечания 2] [85] [86] [87] [88] Есть специалисты, которые считают, что единственный надежный способ их удаления – переустановка операционной системы с доверенного носителя. [89] [90] Это связано с тем, что инструменты удаления вирусов и вредоносных программ, работающие в ненадежной системе, могут быть неэффективны против хорошо написанных руткитов режима ядра. Загрузка альтернативной операционной системы с доверенного носителя может позволить смонтировать зараженный системный том и потенциально безопасно очистить его, а также скопировать важные данные или, альтернативно, провести судебно-медицинскую экспертизу. [26] Для этой цели можно использовать легкие операционные системы, такие как Windows PE , консоль восстановления Windows , среда восстановления Windows , BartPE или Live Distros , позволяющие «очистить» систему. Даже если тип и природа руткита известны, ремонт вручную может оказаться нецелесообразным, а переустановка операционной системы и приложений безопаснее, проще и быстрее. [89]
Защита
[ редактировать ]системы Усиление защиты представляет собой один из первых уровней защиты от руткита, предотвращающий его установку. [91] Применение исправлений безопасности , реализация принципа минимальных привилегий , уменьшение поверхности атаки и установка антивирусного программного обеспечения — вот некоторые стандартные передовые методы обеспечения безопасности, эффективные против всех классов вредоносных программ. [92] Новые спецификации безопасной загрузки, такие как UEFI, были разработаны для устранения угрозы буткитов, но даже они уязвимы, если предлагаемые ими функции безопасности не используются. [50] Для серверных систем удаленная аттестация серверов с использованием таких технологий, как технология Intel Trusted Execution (TXT), обеспечивает способ проверки того, что серверы остаются в заведомо исправном состоянии. Например, Microsoft Bitlocker шифрование хранящихся данных проверяет, что при загрузке серверы находятся в известном «хорошем состоянии». PrivateCore vCage — это программное обеспечение, которое защищает используемые данные (память) во избежание буткитов и руткитов путем проверки того, что серверы находятся в известном «хорошем» состоянии при загрузке. Реализация PrivateCore работает совместно с Intel TXT и блокирует интерфейсы серверной системы, чтобы избежать потенциальных буткитов и руткитов.
Другой механизм защиты, называемый Virtual Wall (VTW), представляет собой легкий гипервизор с возможностями обнаружения руткитов и отслеживания событий. В обычном режиме работы (гостевой режим) Linux работает, и когда загруженный ЛКМ нарушает политику безопасности, система переходит в хост-режим. VTW в режиме хоста обнаруживает, отслеживает и классифицирует события руткитов на основе управления доступом к памяти и механизмов внедрения событий. Результаты экспериментов демонстрируют эффективность VTW в своевременном обнаружении и защите от руткитов ядра с минимальной нагрузкой на процессор (менее 2%). VTW выгодно сравнивают с другими схемами защиты, подчеркивая его простоту реализации и потенциальный прирост производительности на серверах Linux. [93]
См. также
[ редактировать ]- Конференция по компьютерной безопасности
- Хостовая система обнаружения вторжений
- Атака «человек посередине»
- Руткитный арсенал: побег и уклонение в темных уголках системы
Примечания
[ редактировать ]- ^ Имя процесса Sysinternals RootkitRevealer было атаковано вредоносным ПО; В попытке противостоять этой контрмере инструмент теперь использует случайно сгенерированное имя процесса.
- ^ Теоретически, достаточно сложный руткит уровня ядра может также нарушить операции чтения необработанных структур данных файловой системы, чтобы они соответствовали результатам, возвращаемым API.
Ссылки
[ редактировать ]- ^ Jump up to: а б с д и ж г час «Руткиты, часть 1 из 3: Растущая угроза» (PDF) . Макафи . 17 апреля 2006 г. Архивировано из оригинала (PDF) 23 августа 2006 г.
- ^ Эванчич, Н.; Ли, Дж. (23 августа 2016 г.). «6.2.3 Руткиты» . В Кольбере, Эдвард Дж. М.; Котт, Александр (ред.). Кибербезопасность SCADA и других промышленных систем управления . Спрингер. п. 100. ИСБН 9783319321257 – через Google Книги .
- ^ «Что такое руткит – определение и объяснение» . www.kaspersky.com . 09.04.2021 . Проверено 13 ноября 2021 г.
- ^ Jump up to: а б с д «Обзор руткита Windows» (PDF) . Симантек . 26 марта 2006 г. Архивировано из оригинала (PDF) 14 декабря 2010 г. Проверено 17 августа 2010 г.
- ^ Спаркс, Шерри; Батлер, Джейми (1 августа 2005 г.). «Поднимая планку обнаружения руткитов Windows». Фрак . 0xb (x3d).
- ^ Jump up to: а б с д и Майерс, Майкл; Юндт, Стивен (7 августа 2007 г.). Введение в руткиты виртуальных машин с аппаратным обеспечением (HVM) (отчет). Решающая безопасность. CiteSeerX 10.1.1.90.8832 .
- ^ Эндрю Хэй; Дэниел Сид; Рори Брей (2008). Руководство OSSEC по обнаружению вторжений на базе хоста . Сингресс. п. 276. ИСБН 978-1-59749-240-9 – через Google Книги .
- ^ Томпсон, Кен (август 1984 г.). «Размышления о доверии» (PDF) . Коммуникации АКМ . 27 (8): 761. дои : 10.1145/358198.358210 .
- ^ Jump up to: а б Грег Хоглунд; Джеймс Батлер (2006). Руткиты: повреждение ядра Windows . Аддисон-Уэсли. п. 4. ISBN 978-0-321-29431-9 – через Google Книги .
- ^ Дай Зови, Дино (26 июля 2009 г.). Расширенные руткиты Mac OS X (PDF) . Блэкхэт . Системы эндшпиля . Проверено 2 ноября 2010 г.
- ^ «Stuxnet представляет первый известный руткит для промышленных систем управления» . Симантек . 06 августа 2010 г. Архивировано из оригинала 20 августа 2010 года . Проверено 4 декабря 2010 г.
- ^ «Сведения о шпионском ПО: XCP.Sony.Rootkit» . Компьютерные партнеры . 05.11.2005. Архивировано из оригинала 18 августа 2010 г. Проверено 19 августа 2010 г.
- ^ Руссинович, Марк (31 октября 2005 г.). «Sony, руткиты и управление цифровыми правами зашли слишком далеко» . Блоги TechNet . Майкрософт . Проверено 16 августа 2010 г.
- ^ «Длительные проблемы Sony с руткитами на компакт-дисках» . Новости Би-би-си . 21 ноября 2005 г. Проверено 15 сентября 2008 г.
- ^ Фелтон, Эд (15 ноября 2005 г.). «Сетевая программа удаления Sony открывает большую дыру в безопасности; Sony отзывает диски» .
- ^ Найт, Уилл (11 ноября 2005 г.). «Sony BMG подала в суд из-за маскировочного программного обеспечения на музыкальном компакт-диске» . Новый учёный . Проверено 21 ноября 2010 г.
- ^ Кириакиду, Дина (2 марта 2006 г.). « Скандал «Греческий Уотергейт» вызвал политические потрясения» . Рейтер . Проверено 24 ноября 2007 г. [ мертвая ссылка ]
- ^ Jump up to: а б Василис Превелакис; Диомидис Спинеллис (июль 2007 г.). «Афинское дело» . Архивировано из оригинала 1 августа 2009 года.
- ^ Руссинович, Марк (июнь 2005 г.). «Раскопки корневых наборов» . Windows ИТ-специалист . Архивировано из оригинала 18 сентября 2012 г. Проверено 16 декабря 2010 г.
- ^ Маркс, Джозеф (1 июля 2021 г.). «Кибербезопасность 202: будущее Министерства юстиции – в том, чтобы мешать хакерам, а не просто предъявлять им обвинения» . Вашингтон Пост . Проверено 24 июля 2021 г.
- ^ Стив Ханна (сентябрь 2007 г.). «Использование технологии руткитов для обнаружения вредоносных программ на основе Honeypot» (PDF) . Встреча CCEID.
- ^ Руссинович, Марк (6 февраля 2006 г.). «Использование руткитов для обхода управления цифровыми правами» . Уинтерналс . SysInternals. Архивировано из оригинала 14 августа 2006 года . Проверено 13 августа 2006 г.
- ^ «Symantec выпускает обновление для собственного руткита» . HWM (март): 89. 2006 г. - через Google Книги .
- ^ Jump up to: а б Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: Атаки на технологии защиты от кражи BIOS (PDF) . Черная шляпа США, 2009 г. (PDF) . Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 г.
- ^ Кляйснер, Питер (2 сентября 2009 г.). «Stoned Bootkit: распространение руткитов и буткитов MBR в дикой природе» (PDF) . Архивировано из оригинала (PDF) 16 июля 2011 г. Проверено 23 ноября 2010 г.
- ^ Jump up to: а б с Энсон, Стив; Бантинг, Стив (2007). Освоение сетевой криминалистики и расследования Windows . Джон Уайли и сыновья. стр. 73–74. ISBN 978-0-470-09762-5 .
- ^ Jump up to: а б с д «Руткиты, часть 2: Технический учебник» (PDF) . Макафи . 3 апреля 2007 г. Архивировано из оригинала (PDF) 5 декабря 2008 г. Проверено 17 августа 2010 г.
- ^ Кдм. «NTIllusion: портативный руткит пользовательской области Win32» . Фрак . 62 (12).
- ^ Jump up to: а б с д «Понимание технологий защиты от вредоносного ПО» (PDF) . Майкрософт . 21 февраля 2007 г. Архивировано из оригинала (PDF) 11 сентября 2010 г. Проверено 17 августа 2010 г.
- ^ Хоглунд, Грег (9 сентября 1999 г.). «*НАСТОЯЩИЙ* NT-руткит, исправление ядра NT» . Фрак . 9 (55) . Проверено 21 ноября 2010 г.
- ^ Поэтому Антон (02.02.2003). Обзор руткитов Unix (PDF) (отчет). Шантильи, Вирджиния: iDEFENSE. Архивировано из оригинала (PDF) 2 июля 2011 г. Проверено 2 ноября 2010 г.
- ^ Батлер, Джеймс; Спаркс, Шерри (16 ноября 2005 г.). «Руткиты Windows 2005 года, часть вторая» . Симантек Коннект . Симантек . Проверено 13 ноября 2010 г.
- ^ Батлер, Джеймс; Спаркс, Шерри (3 ноября 2005 г.). «Руткиты Windows 2005 года, часть первая» . Симантек Коннект . Симантек . Проверено 12 ноября 2010 г.
- ^ Бурдах, Мариуш (17 ноября 2004 г.). «Обнаружение руткитов и угроз на уровне ядра в Linux» . Симантек . Проверено 23 ноября 2010 г.
- ^ Осборн, Чарли (17 сентября 2019 г.). «Вредоносное ПО Skidmap внедряется в ядро, чтобы скрыть незаконный майнинг криптовалюты» . ЗДНет . Проверено 24 июля 2021 г.
- ^ Марко Джулиани (11 апреля 2011 г.). «ZeroAccess — руткит расширенного режима ядра» (PDF) . Программное обеспечение Webroot . Проверено 10 августа 2011 г.
- ^ «Требования к подписи драйверов для Windows» . Майкрософт . Проверено 6 июля 2008 г.
- ^ Солтер, Джим (31 июля 2020 г.). «Системы Red Hat и CentOS не загружаются из-за патчей BootHole» . Арс Техника . Проверено 24 июля 2021 г.
- ^ Шнайер, Брюс (23 октября 2009 г.). « Атаки «злой горничной» на зашифрованные жесткие диски» . Проверено 7 ноября 2009 г.
- ^ Соедер, Дерек; Перме, Райан (9 мая 2007 г.). «Бутрут» . Цифровая безопасность eEye. Архивировано из оригинала 17 августа 2013 г. Проверено 23 ноября 2010 г.
- ^ Кумар, Нитин; Кумар, Випин (2007). Vbootkit: компрометация безопасности Windows Vista (PDF) . Черная шляпа Европа 2007 .
- ^ «ЗАГРУЗОЧНЫЙ КОМПЛЕКТ: Пользовательский загрузочный сектор на основе Windows 2000/XP/2003 Subversion» . НВлабс . 04 февраля 2007 г. Архивировано из оригинала 10 июня 2010 года . Проверено 21 ноября 2010 г.
- ^ Кляйснер, Питер (19 октября 2009 г.). «Упоротый Буткит» . Питер Кляйснер . Проверено 7 ноября 2009 г. [ самостоятельный источник ]
- ^ Гудин, Дэн (16 ноября 2010 г.). «Самый продвинутый руткит в мире проникает в 64-битную Windows» . Регистр . Проверено 22 ноября 2010 г.
- ^ Франциско, Нил Макаллистер в Сан. «Microsoft ужесточает контроль над OEM-лицензированием Windows 8» . www.theregister.com .
- ^ Кинг, Сэмюэл Т.; Чен, Питер М.; Ван, И-Мин; Вербовски, Чад; Ван, Хелен Дж.; Лорх, Джейкоб Р. (3 апреля 2006 г.). «SubVirt: внедрение вредоносного ПО на виртуальных машинах» (PDF) . Симпозиум IEEE 2006 г. по безопасности и конфиденциальности (S&P'06) . Институт инженеров электротехники и электроники . стр. 14 стр.-327. дои : 10.1109/СП.2006.38 . ISBN 0-7695-2574-1 . S2CID 1349303 . Проверено 15 сентября 2008 г.
- ^ Ван, Чжи; Цзян, Сюсянь; Цуй, Вэйдун; Нин, Пэн (11 августа 2009 г.). «Противодействие руткитам ядра с помощью облегченной защиты от перехвата» (PDF) . В Аль-Шаере Эхаб (генеральный председатель) (ред.). Материалы 16-й конференции ACM по компьютерной и коммуникационной безопасности . CCS 2009: 16-я конференция ACM по компьютерной и коммуникационной безопасности . Джа, Сомеш; Керомитис, Ангелос Д. (руководители программ). Нью-Йорк: ACM Нью-Йорк. дои : 10.1145/1653662.1653728 . ISBN 978-1-60558-894-0 . Проверено 11 ноября 2009 г.
- ^ «Device Guard — это сочетание контроля приложений Защитника Windows и защиты целостности кода на основе виртуализации (Windows 10)» . 11 июля 2023 г.
- ^ Делюгре, Гийом (21 ноября 2010 г.). Изменение прошивки Broacom NetExtreme (PDF) . hack.lu. Согети. Архивировано из оригинала (PDF) 25 апреля 2012 г. Проверено 25 ноября 2010 г.
- ^ Jump up to: а б «Команда хакеров использует руткит UEFI BIOS для сохранения агента RCS 9 в целевых системах — блог TrendLabs Security Intelligence» . 13 июля 2015 г.
- ^ Хисман, Джон (25 января 2006 г.). Внедрение и обнаружение руткита ACPI BIOS (PDF) . Блэк Хэт Федерал 2006 . НГС Консалтинг . Проверено 21 ноября 2010 г.
- ^ Хисман, Джон (15 ноября 2006 г.). «Внедрение и обнаружение руткита PCI» (PDF) . Программное обеспечение безопасности нового поколения. CiteSeerX : 10.1.1.89.7305 . Проверено 13 ноября 2010 г.
- ^ Модайн, Остин (10 октября 2008 г.). «Организованная преступность вмешивается в европейские устройства для считывания карт: данные клиентов передаются за границу» . Регистр . Ситуация Публикация . Проверено 13 октября 2008 г.
- ^ Сакко, Анибал; Ортега, Альфредо (2009). Постоянное заражение BIOS (PDF) . КанСекВест 2009 . Основные технологии безопасности. Архивировано из оригинала (PDF) 8 июля 2011 г. Проверено 21 ноября 2010 г.
- ^ Гудин, Дэн (24 марта 2009 г.). «Новые руткиты выдерживают очистку жесткого диска» . Регистр . Ситуация Публикация . Проверено 25 марта 2009 г.
- ^ Сакко, Анибал; Ортега, Альфредо (1 июня 2009 г.). «Постоянное заражение BIOS: ранняя пташка ловит червя» . Фрак . 66 (7) . Проверено 13 ноября 2010 г.
- ^ Рик Вилер (2007). Профессиональные руткиты . Джон Уайли и сыновья. п. 244. ИСБН 9780470149546 .
- ^ Матросов, Александр; Родионов, Евгений (25 июня 2010 г.). «TDL3: руткит всего зла?» (PDF ) Москва: ЭСЕТ . п. 3. Архивировано из оригинала (PDF) 1 мая 2011 г. Проверено 1 августа 2010 г.
- ^ Матросов, Александр; Родионов, Евгений (27 июня 2011 г.). «Эволюция TDL: завоевание x64» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 29 июля 2015 г. Проверено 8 августа 2011 г.
- ^ Гатлан, Сергей (6 мая 2021 г.). «Новый руткит Moriya, используемый в дикой природе для бэкдора систем Windows» . Пипящий компьютер . Проверено 24 июля 2021 г.
- ^ Брамли, Дэвид (16 ноября 1999 г.). «Невидимые злоумышленники: руткиты на практике» . УСЕНИКС .
- ^ Jump up to: а б с д и Дэвис, Майкл А.; Бодмер, Шон; ЛеМастерс, Аарон (03 сентября 2009 г.). «Глава 10: Обнаружение руткитов» (PDF) . Взлом открытых вредоносных программ и руткитов: секреты и решения безопасности вредоносных программ и руткитов . Нью-Йорк: McGraw Hill Professional. ISBN 978-0-07-159118-8 .
- ^ Трлоком (5 июля 2006 г.). «Победа над руткитами и кейлоггерами» (PDF) . Трлоком. Архивировано из оригинала (PDF) 17 июля 2011 г. Проверено 17 августа 2010 г.
- ^ Дай Зови, Дино (2011). «Ядерные руткиты» . Архивировано из оригинала 10 сентября . Получено 13 сентября.
- ^ «Зеппу» . СоурсФордж . 18 июля 2009 года . Проверено 8 августа 2011 г.
- ^ Когсвелл, Брайс; Руссинович, Марк (1 ноября 2006 г.). «RootkitRevealer v1.71» . Майкрософт . Проверено 13 ноября 2010 г.
- ^ «Руткиты и Антируткиты» . Проверено 13 сентября 2017 г.
- ^ «Sophos Антируткит» . Софос . Проверено 8 августа 2011 г.
- ^ «Черный свет» . F-безопасный . Архивировано из оригинала 21 сентября 2012 года . Проверено 8 августа 2011 г.
- ^ «Радикс Антируткит» . usec.at. Архивировано из оригинала 21 сентября 2012 года . Проверено 8 августа 2011 г.
- ^ «ГМЕР» . Проверено 8 августа 2011 г.
- ^ Гарриман, Джош (19 октября 2007 г.). «Методология тестирования эффективности удаления руткитов» (PDF) . Дублин, Ирландия: Ответ безопасности Symantec. Архивировано из оригинала (PDF) 7 октября 2009 г. Проверено 17 августа 2010 г.
- ^ Куиботариу, Мирча (12 февраля 2010 г.). «Тидсерв и МС10-015» . Симантек . Проверено 19 августа 2010 г.
- ^ «Проблемы с перезагрузкой после установки MS10-015» . Майкрософт . 11 февраля 2010 г. Проверено 5 октября 2010 г.
- ^ Стейнберг, Джозеф (9 июня 2021 г.). «Что нужно знать о кейлоггерах» . bestantivirus.com . Проверено 24 июля 2021 г.
- ^ «Обнаружение руткитов Strider GhostBuster» . Исследования Майкрософт. 28 января 2010 г. Архивировано из оригинала 29 июля 2012 г. Проверено 14 августа 2010 г.
- ^ «Подписание и проверка кода с помощью Authenticode» . Майкрософт . Проверено 15 сентября 2008 г.
- ^ «Остановка руткитов на границе сети» (PDF) . Бивертон, Орегон: Группа доверенных вычислений . Январь 2017 года . Проверено 11 июля 2008 г.
- ^ «Специальная спецификация реализации TCG для ПК, версия 1.1» (PDF) . Группа доверенных вычислений . 18 августа 2003 г. Проверено 22 ноября 2010 г.
- ^ «Как создать полный файл дампа сбоя или файл дампа сбоя ядра с помощью NMI в системе под управлением Windows» . Майкрософт . Проверено 13 ноября 2010 г.
- ^ Сешадри, Арвинд; и др. (2005). «Пионер». Материалы двадцатого симпозиума ACM по принципам операционных систем . Университет Карнеги-Меллон . стр. 1–16. дои : 10.1145/1095810.1095812 . ISBN 1595930795 . S2CID 9960430 .
- ^ Диллард, Курт (3 августа 2005 г.). «Битва руткитов: Rootkit Revealer против Hacker Defender» .
- ^ «Средство удаления вредоносных программ Microsoft Windows помогает удалить определенные распространенные вредоносные программы с компьютеров под управлением Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 или Windows XP» . Майкрософт . 14 сентября 2010 г.
- ^ Беттани, Эндрю; Хэлси, Майк (2017). Устранение неполадок, связанных с вирусами и вредоносными программами Windows . Апресс. п. 17. ISBN 9781484226070 – через Google Книги .
- ^ Халтквист, Стив (30 апреля 2007 г.). «Руткиты: следующая угроза для крупного предприятия?» . Инфомир . Проверено 21 ноября 2010 г.
- ^ «Security Watch: Руткиты для удовольствия и прибыли» . Обзоры CNET. 19 января 2007 г. Архивировано из оригинала 8 октября 2012 г. Проверено 7 апреля 2009 г.
- ^ Борт, Джули (29 сентября 2007 г.). «Шесть способов дать отпор ботнетам» . ПКМир . Сан-Франциско: PCWorld Communications . Проверено 7 апреля 2009 г.
- ^ Хоанг, Мими (2 ноября 2006 г.). «Решение современных серьезных угроз безопасности: руткиты» . Симантек Коннект . Симантек . Проверено 21 ноября 2010 г.
- ^ Jump up to: а б Дансельо, Майк; Бейли, Тони (6 октября 2005 г.). «Руткиты: неизвестная хакерская атака» . Майкрософт.
- ^ Мессмер, Эллен (26 августа 2006 г.). «Мнения экспертов по поводу обнаружения и удаления руткитов разделились» . NetworkWorld.com . Фрамингем, Массачусетс: IDG . Проверено 15 августа 2010 г.
- ^ Скудис, Эд; Зельцер, Ленни (2004). Вредоносное ПО: борьба с вредоносным кодом . Прентис Холл PTR. п. 335. ИСБН 978-0-13-101405-3 .
- ^ Ханнел, Джероми (23 января 2003 г.). «Руткиты Linux для начинающих — от профилактики до удаления» . Институт САНС . Архивировано из оригинала (PDF) 24 октября 2010 года . Проверено 22 ноября 2010 г.
- ^ Ли, Юн-Ганг; Чунг, Йе-Чинг; Хван, Кай; Ли, Юэ-Джин (2021). «Виртуальная стена: фильтрация атак руткитов для защиты функций ядра Linux» . Транзакции IEEE на компьютерах . 70 (10): 1640–1653. дои : 10.1109/TC.2020.3022023 . S2CID 226480878 .
Дальнейшее чтение
[ редактировать ]- Бланден, Билл (2009). Руткитный арсенал: побег и уклонение в темных углах системы . Словарное обеспечение. ISBN 978-1-59822-061-2 .
- Хоглунд, Грег; Батлер, Джеймс (2005). Руткиты: повреждение ядра Windows . Аддисон-Уэсли Профессионал. ISBN 978-0-321-29431-9 .
- Грамп, FT; Моррис, Роберт Х. старший (октябрь 1984 г.). «Система UNIX: Безопасность операционной системы UNIX». Технический журнал AT&T Bell Laboratories . 62 (8): 1649–1672. дои : 10.1002/j.1538-7305.1984.tb00058.x . S2CID 26877484 .
- Конг, Джозеф (2007). Проектирование руткитов BSD . Нет крахмального пресса. ISBN 978-1-59327-142-8 .
- Вейлер, Рик (2007). Профессиональные руткиты . Врокс. ISBN 978-0-470-10154-4 .
Внешние ссылки
[ редактировать ]- СМИ, связанные с руткитами , на Викискладе?