Rootkits - skadliga program i systemet
Rootkits - skadliga program i systemet
av Admin mån okt 06, 2014 6:48 pm
Rootkits - skadliga program i systemet
Rootkit är de värsta representanter för skadlig kod. Din uppgift: Själv ankare så djupt som möjligt i systemet och sedan göra allt för att undvika upptäckt. Du är nu sällan stött ensam, oftast är de en del av en större skadedjur, ansvarar för dess stealth och kvitto.
Rootkits - Unix namne
Rootkits har sitt ursprung i Unix-miljö. Deras ursprungliga uppdrag var att dölja de åtgärder som en framgångsrik angripare som kunde administratörsrättigheter (under Unix anger användaren root) upphandla, före upptäckten.
De första versionerna av Unix rootkits bestod helt enkelt av en förberedd demon som telnetd eller sshd att öppna en bakdörr och en rad modifierade verktyg som ps att visa processer som körs eller ls för att visa kataloglist som inte vid anrop av rootkit i samband med processer och filer anzeigten. Dessutom har loggfilerna manipulerats eller hindras från att komma misstänkta transaktioner. Efter en angripare hade erhållit ett root-access, installerade han ett rootkit för att dölja sin fortsatta tillträde och för att täcka sina spår.
Från Unix till Windows och utanför
Samtidigt finns det rootkits för andra system, särskilt Windows, Mac OS X och smartphones, samt för kärna och användarläge eller userland. Eftersom kärn rootkits krypa direkt i operativsystemets kärna, den utbredda särskilt bland Windows userland rootkit Klinken en genom olika API metoder i alla relevanta processer.
Ett specialfall av rootkits är bootkit, kernel rootkits, som ersatte bootloader med din egen kod och därmed laddas innan operativsystemet. Detta kan alla sedan laddade skydd undermineras, t.ex. en diskkryptering eller prövningen av laddade kärndrivrutiner.
Boot Kit - rootkit i MBR
Som så ofta, det hela började med teorin: Derek Soeder och Ryan Permeh från säkerhetsföretaget eEye presenteras på säkerhetskonferensen Black Hat USA 2005 eEye båt rootkit som ett proof of concept för skadliga program som manipulerar Windows NT-kärnan från startsektorn ut (Papper PDF). Slutet av 2007, ett verk baserat på MBR rootkit "i det vilda" upptäcktes. Den rootkit skriver över MBR på hårddisken med sin egen kod, krokarna i bagageutrymmet i kärnan och därmed fått kontroll över systemet. De första versionerna spreds enligt drive-by infektioner på komprometterade webbplatser.
Eller kanske inte, beroende på vilken källa och som anti-virus leverantörer är mindre misstänksamma - närvarande namnlösa MBR rootkit sprids från början otroligt snabbt.
Nu är det ganska opraktiskt, en MBR rootkit ringa MBR rootkit (även om en del människor kallar sin hund hund), så att det snart blev känd som "Mebroot". Eller "Sinowal" eller "Sinowa" efter installera trojaner, eller till och med "StealthMBR".
Kanske "MBR rootkit" vore inte så dåligt namn har varit ... Skämt åsido (även om nu egentligen bara börjar egentligen): Först och främst är det en gammal och irriterande problem att anti-virus leverantörer använder olika namn för samma skadedjur, vilket får inte förekomma i den flod av nya skadedjur ingenting. Och så här kommer ett annat problem för ljus:
Är denna skadegörare för nu en bootkit, som installeras av en trojan, eller en trojan som installerar en boot kit? Inte att glömma att det också finns en drive-by infektion ja som installeras utan några åtgärder, så det per definition inte kan vara en trojan ja. Eftersom gränserna mellan de olika skadedjur blir allt otydligare, det finns alltid fler möjligheter att registrera ett skadedjur och ges ett namn. Tänk bara en gång en drive-by-infektion: Den består av JavaScript-kod för att ringa bedrifter, bedrifter olika sårbarheter, injicerade skadlig kod och det laddas skadlig kod. Om och hur ska tas tillsammans eller individuellt namngivna, beror helt på respektive upptäck. Och som ett skadedjur är oftast upptäcks av flera anti-virus leverantörer parallellt, är osannolikt att lyckas samordning, hur önskvärt det än är.
Nedan kommer jag att använda namnet Mebroot för MBR rootkit. För här handlar det om rootkits och inte till de trojaner som installerat den.
Bara för fullständig: 2007 Nitin och Vipin Kumar publiceras av NVLabs ytterligare bevis på konceptet för ett rootkit i MBR, kallas VBootkit som kan infektera den senaste versionen av Windows Vista. Den första versionen av Mebroot sprang men på grund av flera hårt kodade adresser endast i Windows XP. Senare versioner var men flexibel.
Från Mebroot till Alureon
I maj 2010 rapporterade Symantec om kopplingar mellan Mebroot och trojaner Tidserv, medan Trend Micro rapporterade en anslutning till den trojanska TDSS. Inte undra på, eftersom båda är samma - och ha ett annat namn: Alureon. Alureon sin tur orsakade en uppståndelse i februari 2010, eftersom installationen av uppdateringarna för Microsoft Security Bulletin MS10-015 på så infekterade datorer ledde till en blå skärm av döden på omstart. Den utlösande faktorn var hårdkodad adresser i rootkit, som naturligtvis inte passar in i de nyligen installerade drivrutiner.
Rootkit är de värsta representanter för skadlig kod. Din uppgift: Själv ankare så djupt som möjligt i systemet och sedan göra allt för att undvika upptäckt. Du är nu sällan stött ensam, oftast är de en del av en större skadedjur, ansvarar för dess stealth och kvitto.
Rootkits - Unix namne
Rootkits har sitt ursprung i Unix-miljö. Deras ursprungliga uppdrag var att dölja de åtgärder som en framgångsrik angripare som kunde administratörsrättigheter (under Unix anger användaren root) upphandla, före upptäckten.
De första versionerna av Unix rootkits bestod helt enkelt av en förberedd demon som telnetd eller sshd att öppna en bakdörr och en rad modifierade verktyg som ps att visa processer som körs eller ls för att visa kataloglist som inte vid anrop av rootkit i samband med processer och filer anzeigten. Dessutom har loggfilerna manipulerats eller hindras från att komma misstänkta transaktioner. Efter en angripare hade erhållit ett root-access, installerade han ett rootkit för att dölja sin fortsatta tillträde och för att täcka sina spår.
Från Unix till Windows och utanför
Samtidigt finns det rootkits för andra system, särskilt Windows, Mac OS X och smartphones, samt för kärna och användarläge eller userland. Eftersom kärn rootkits krypa direkt i operativsystemets kärna, den utbredda särskilt bland Windows userland rootkit Klinken en genom olika API metoder i alla relevanta processer.
Ett specialfall av rootkits är bootkit, kernel rootkits, som ersatte bootloader med din egen kod och därmed laddas innan operativsystemet. Detta kan alla sedan laddade skydd undermineras, t.ex. en diskkryptering eller prövningen av laddade kärndrivrutiner.
Boot Kit - rootkit i MBR
Som så ofta, det hela började med teorin: Derek Soeder och Ryan Permeh från säkerhetsföretaget eEye presenteras på säkerhetskonferensen Black Hat USA 2005 eEye båt rootkit som ett proof of concept för skadliga program som manipulerar Windows NT-kärnan från startsektorn ut (Papper PDF). Slutet av 2007, ett verk baserat på MBR rootkit "i det vilda" upptäcktes. Den rootkit skriver över MBR på hårddisken med sin egen kod, krokarna i bagageutrymmet i kärnan och därmed fått kontroll över systemet. De första versionerna spreds enligt drive-by infektioner på komprometterade webbplatser.
Eller kanske inte, beroende på vilken källa och som anti-virus leverantörer är mindre misstänksamma - närvarande namnlösa MBR rootkit sprids från början otroligt snabbt.
Nu är det ganska opraktiskt, en MBR rootkit ringa MBR rootkit (även om en del människor kallar sin hund hund), så att det snart blev känd som "Mebroot". Eller "Sinowal" eller "Sinowa" efter installera trojaner, eller till och med "StealthMBR".
Kanske "MBR rootkit" vore inte så dåligt namn har varit ... Skämt åsido (även om nu egentligen bara börjar egentligen): Först och främst är det en gammal och irriterande problem att anti-virus leverantörer använder olika namn för samma skadedjur, vilket får inte förekomma i den flod av nya skadedjur ingenting. Och så här kommer ett annat problem för ljus:
Är denna skadegörare för nu en bootkit, som installeras av en trojan, eller en trojan som installerar en boot kit? Inte att glömma att det också finns en drive-by infektion ja som installeras utan några åtgärder, så det per definition inte kan vara en trojan ja. Eftersom gränserna mellan de olika skadedjur blir allt otydligare, det finns alltid fler möjligheter att registrera ett skadedjur och ges ett namn. Tänk bara en gång en drive-by-infektion: Den består av JavaScript-kod för att ringa bedrifter, bedrifter olika sårbarheter, injicerade skadlig kod och det laddas skadlig kod. Om och hur ska tas tillsammans eller individuellt namngivna, beror helt på respektive upptäck. Och som ett skadedjur är oftast upptäcks av flera anti-virus leverantörer parallellt, är osannolikt att lyckas samordning, hur önskvärt det än är.
Nedan kommer jag att använda namnet Mebroot för MBR rootkit. För här handlar det om rootkits och inte till de trojaner som installerat den.
Bara för fullständig: 2007 Nitin och Vipin Kumar publiceras av NVLabs ytterligare bevis på konceptet för ett rootkit i MBR, kallas VBootkit som kan infektera den senaste versionen av Windows Vista. Den första versionen av Mebroot sprang men på grund av flera hårt kodade adresser endast i Windows XP. Senare versioner var men flexibel.
Från Mebroot till Alureon
I maj 2010 rapporterade Symantec om kopplingar mellan Mebroot och trojaner Tidserv, medan Trend Micro rapporterade en anslutning till den trojanska TDSS. Inte undra på, eftersom båda är samma - och ha ett annat namn: Alureon. Alureon sin tur orsakade en uppståndelse i februari 2010, eftersom installationen av uppdateringarna för Microsoft Security Bulletin MS10-015 på så infekterade datorer ledde till en blå skärm av döden på omstart. Den utlösande faktorn var hårdkodad adresser i rootkit, som naturligtvis inte passar in i de nyligen installerade drivrutiner.
Admin- Admin
- Antal inlägg : 129
Registreringsdatum : 14-05-07
Ort : Umeå -
Behörigheter i detta forum:
Du kan inte svara på inlägg i det här forumet|
|
|