Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Rootkit repeta

(2012. január 20.)

- Symantec webblog, F-Secure education nyomán -

Idén is számíthatunk a rejtőzködő kártevőkre.
Nyomtatható verzió Nyomtatható verzió

Mi az a rootkit? Olyan kártékony szoftver, amelynek célja korlátlan, illetéktelen és rejtett hozzáférés megszerzése a számítógép erőforrásaihoz. A rootkit megkerüli pl. az operációs rendszerben található ACL adathozzáférés-jogosultsági listákat és nem elégszik meg a bejelentkezett felhasználó nevében elérhető futtatási lehetőségekkel sem - mert azok a modern operációs rendszereknél többnyire csak korlátozott hatáskört nyújtanak.

A kártékony kód gépbe juttatásához a hackerek gyakran emberi hibát vagy hiszékenységet kihasználó trükköket alkalmaznak (ún. social engineering). A bejutatott rootkit-nek az operációs rendszer alatti szinten történő aktivizálódásához esetleg már a szoftver-biztonsági rések, különösen a "nulladik napi" sebezhetőségek kihasználásához is érteniük kell a támadóknak.

A bejutott rootkit lételeme a rejtőzködés, az elindított kártevő igyekszik észrevétlen maradni a felhasználó és a biztonsági eszközök előtt. A vírusírók ügyelnek arra, hogy a rootkit hatására az éppen futó programok (alkalmazások, operációs rendszer) viselkedése ne változzon meg feltűnő vagy nyilvánvalóan leleplező módon. Ha ez nem megoldható, akkor a rootkit aktívan hazudik, az álcázás fenntartása érdekében hamis adatokat továbbít a többi szoftver és a felhasználó felé.

A rootkit végső célja a kártékony kiber-tevékenység támogatása, például a billentyű-leütések naplózása vagy a hálózati kapacitás illetéktelen felhasználása adatok kiszivárogtatására, spamküldésre. Ezeket a feladatokat általában külön modul, ún. "payload" formájában készítik el a vírusírók és a rootkit segítségével juttatják célba - amelynek aktivizálódása után gyakran további ártó kódok töltődnek le az áldozat számítógépére.

Észrevétlenül ártani nem könnyű

Szerencsére nem minden kártevő rootkit. Leginkább a rejtőzéssel ponttal kapcsolatos problémák a felelősek azért, hogy alkalmazásuk eddig nem vált általánossá a kiber-bűnözésben. Ilyen kártevőt írni komoly szakértelmet igényel, mert a legegyszerűbb kivitelben is legalább három trükköt be kell vetni az észlelés elkerülése érdekében:

  • a futó rootkit nem látszódhat a feladat-kezelő folyamat-listájában
  • a rootkit fájljai nem látszódhatnak a lemezmeghajtó fájl-listájában és az általuk elfoglalt hely nem hiányozhat a tárterület kiszámításakor
  • a rootkit-et indító kulcs-paraméterek nem látszódhatnak a Windows Registry-szerkesztőjében

Az ilyen trükkökhöz szükséges API-manipulációk nem túl stabilak, mivel a Microsoft cég havonta ad ki biztonsági javításokat a Windows-hoz - amelyekkel a tisztességes programok számára többnyire semleges, a kártevőket viszont néha padlóra küldő változtatásokat vezet be a rendszerben. A TDSS (TidServ) rootkit 2010. februárjában, lefagyást okozva ütközött a friss MS10-015 foltozófájllal, így sok felhasználó a Microsoft hibaüzenet-tudásbázis portálján értesült arról, hogy a gépén rejtőzködő kártevő található.

Sok olyan felhasználó is van, aki nem foltozza az operációs rendszert, mert kalózolt vagy túl régi Windows-verziót futtat. A rootkit-készítők velük sem mindig járnak jobban: az embargó alatt álló Iránban például még sok régi gép üzemel, régi Windows-zal. A dollármilliókért kifejlesztett Stuxnet hadiféreg rootkit-meghajtója nem győzte kivárni az operációs rendszer betöltődését a lassú gépeken és lefagyást okozott - leleplező bizonyítékot nyújtva az ügyben vizsgálódó belorusz víruskutatóknak.

Járatlan úton haladnak

Előfordul, hogy a rejtőzködő kártevők programozói kilépnek az operációs rendszer határain túlra. Megpróbálkoznak a merevlemezt kezelő eszköz-meghajtó program (pl. atapi.sys) "felturbózásával", hogy az képes legyen írni-olvasni a fájlrendszeren kívüli üres területeket - amelyeket nem mindegyik védelem ellenőriz, így ideálisak a veszélyes kódok tárolására.

Mivel számos PC-konfiguráció van forgalomban, a támadóknak alaposan utána kell nézniük, hogy milyen hardver-függő kódot támadjanak és tesztelniük kell a kompatibilitás (mellékhatás- és lefagyás-mentesség) igazolása érdekében. El lehet látni az ún. MBR rendszertöltő felületet is ártó kóddal - csak nehogy pl. egy másik operációs rendszert telepítsen a felhasználó a meglévő mellé, mert felülíródhat a rootkit-et még a Windows beindulása előtt aktivizáló kódrészlet és utasítás.

A legradikálisabb lépést a külső álcázás, a meggyőzően ártalmatlan hamis azonosság felvétele jelenti - amely a Stuxnet esetén pl. a kártékony fájlok érvényes, de nem törvényes úton szerzett digitális aláírással való hitelesítésében nyilvánult meg. Ez az eljárás komoly sérelmet okozott a kulcslopás áldozatául esett elektronikai gyártó cégeknek és hozzájárult a netes tanúsító infrastruktúrába vetett bizalom megingásához.

Cikkünk a következő oldalon folytatódik,
a továbblapozáshoz kérjük kattintson ide!

  |  1/2  |   következő oldal


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.