รูทคิทสามารถตั้งชื่อรูปแบบของมัลแวร์ที่มีความซับซ้อนทางเทคนิคและมัลแวร์ที่ยากต่อการค้นหาและกำจัด มัลแวร์ทุกประเภทอาจเป็นไวรัสและเวิร์มได้รับการเผยแพร่มากที่สุด หลายคนรู้จักกันดีว่าได้รับผลกระทบจากไวรัสหรือเวิร์ม แต่นี่ไม่ได้หมายความว่าไวรัสและเวิร์มนั้นเป็นมัลแวร์หลากหลายรูปแบบที่อันตรายที่สุด มัลแวร์ประเภทอันตรายมีมากกว่าเพราะตามกฎที่ทำงานในโหมดซ่อนตัวยากต่อการตรวจจับและลบและสามารถสังเกตโดยไม่มีการสังเกตเป็นระยะเวลานานเงียบเข้าถึงเข้าถึงขโมยข้อมูลและแก้ไขไฟล์บนเครื่องของเหยื่อ .
ตัวอย่างของศัตรูที่ซ่อนตัวเช่นรูทคิท - ชุดของเครื่องมือที่สามารถแทนที่หรือเปลี่ยนโปรแกรมปฏิบัติการหรือแม้แต่เคอร์เนลของระบบปฏิบัติการเองเพื่อให้สามารถเข้าถึงระบบของผู้ดูแลระบบในระดับที่สามารถนำมาใช้สำหรับการติดตั้ง สปายแวร์คีย์ล็อกเกอร์และเครื่องมือที่เป็นอันตรายอื่น ๆ โดยพื้นฐานแล้วรูทคิทอนุญาตให้ผู้โจมตีเข้าถึงเครื่องของเหยื่อได้อย่างสมบูรณ์ (และอาจเป็นไปได้ที่เครือข่ายทั้งหมดที่เครื่องเป็นของ) หนึ่งในการใช้งานรูทคิทที่รู้จักกันซึ่งก่อให้เกิดการสูญเสีย / ความเสียหายอย่างมีนัยสำคัญคือการขโมยซอร์สโค้ดของเกม Half-Life 2: Source engine ของ Valve
รูทคิทไม่ใช่สิ่งใหม่ - มันมีมานานหลายปีและเป็นที่ทราบกันดีว่ามีผลกระทบต่อระบบปฏิบัติการต่างๆ (Windows, UNIX, Linux, Solaris และอื่น ๆ ) หากไม่ใช่เหตุการณ์รูทคิตหนึ่งหรือสองเหตุการณ์ (ดูหัวข้อตัวอย่างที่มีชื่อเสียง) ซึ่งดึงดูดความสนใจจากสาธารณชนต่อพวกเขาพวกเขาอาจหนีการรับรู้อีกครั้งยกเว้นกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยขนาดเล็ก ณ วันนี้รูทคิทไม่ได้ปลดปล่อยศักยภาพการทำลายล้างอย่างเต็มที่เนื่องจากไม่แพร่กระจายอย่างกว้างขวางเหมือนกับมัลแวร์รูปแบบอื่น ๆ อย่างไรก็ตามนี่อาจเป็นความสะดวกสบายเล็กน้อย
กลไกการทำงานของ Rootkit Exposed
เช่นเดียวกับม้าโทรจันไวรัสและหนอนรูทคิทติดตั้งตัวเองโดยใช้ประโยชน์จากข้อบกพร่องในการรักษาความปลอดภัยเครือข่ายและระบบปฏิบัติการซึ่งมักไม่มีการโต้ตอบกับผู้ใช้ แม้ว่าจะมีรูทคิทที่สามารถมาเป็นไฟล์แนบอีเมลหรือในบันเดิลที่มีโปรแกรมซอฟต์แวร์ที่ถูกกฎหมาย แต่ก็ไม่เป็นอันตรายจนกว่าผู้ใช้จะเปิดไฟล์แนบหรือติดตั้งโปรแกรม แต่ต่างจากมัลแวร์ในรูปแบบที่ซับซ้อนน้อยกว่ารูทคิทแทรกซึมลึกเข้าไปในระบบปฏิบัติการและพยายามอย่างมากที่จะปกปิดสถานะของตน - ตัวอย่างเช่นโดยการแก้ไขไฟล์ระบบ
โดยทั่วไปรูทคิทมีสองประเภทคือรูทคิทระดับเคอร์เนลและรูทคิทระดับแอปพลิเคชัน รูทคิทระดับเคอร์เนล เพิ่มรหัสหรือแก้ไขเคอร์เนลของระบบปฏิบัติการ สิ่งนี้สามารถทำได้โดยการติดตั้งไดรเวอร์อุปกรณ์หรือโมดูลที่โหลดได้ซึ่งจะเปลี่ยนการเรียกระบบเพื่อซ่อนการปรากฏตัวของผู้โจมตี ดังนั้นหากคุณดูในไฟล์บันทึกของคุณคุณจะไม่เห็นกิจกรรมที่น่าสงสัยในระบบ แอปพลิเคชันระดับรูทคิท นั้นมีความซับซ้อนน้อยกว่าและโดยทั่วไปจะตรวจจับได้ง่ายกว่าเพราะจะแก้ไขแอ็พพลิเคชันของแอ็พพลิเคชันแทนระบบปฏิบัติการ เนื่องจาก Windows 2000 รายงานทุกการเปลี่ยนแปลงของไฟล์ที่เรียกใช้งานได้ให้กับผู้ใช้ทำให้ผู้โจมตีไม่สามารถสังเกตเห็นได้ยากขึ้น
ทำไมรูทคิทมีความเสี่ยง
รูทคิทสามารถทำหน้าที่เป็นแบ็คดอร์และมักจะไม่โดดเดี่ยวในภารกิจของพวกเขา - พวกเขามักจะมาพร้อมกับสปายแวร์ม้าโทรจันหรือไวรัส จุดประสงค์ของรูทคิตอาจแตกต่างจากความสุขที่เป็นอันตรายง่ายๆในการเจาะคอมพิวเตอร์ของคนอื่น (และซ่อนร่องรอยของการมีอยู่ของต่างประเทศ) ไปจนถึงการสร้างระบบทั้งหมดสำหรับการรับข้อมูลที่เป็นความลับอย่างผิดกฎหมาย (หมายเลขบัตรเครดิตหรือซอร์สโค้ด - ชีวิต 2)
โดยทั่วไปรูทคิทระดับแอปพลิเคชันจะมีอันตรายน้อยกว่าและง่ายต่อการตรวจจับ แต่ถ้าโปรแกรมที่คุณใช้ติดตามการเงินของคุณได้รับการ“ แก้ไข” โดยรูทคิตการสูญเสียเงินอาจมีความสำคัญ - เช่นผู้โจมตีสามารถใช้ข้อมูลบัตรเครดิตของคุณในการซื้อสินค้าสองรายการและถ้าคุณไม่ได้ ไม่สังเกตเห็นกิจกรรมที่น่าสงสัยในยอดบัตรเครดิตของคุณในเวลาที่กำหนดเป็นไปได้มากว่าคุณจะไม่เห็นเงินอีกครั้ง
เมื่อเทียบกับรูทคิทระดับเคอร์เนลรูทคิทระดับแอปพลิเคชันจะดูหวานและไม่เป็นอันตราย ทำไม? เนื่องจากในทางทฤษฎีรูทคิทระดับเคอร์เนลจะเปิดประตูทุกบานในระบบ เมื่อเปิดประตูมัลแวร์รูปแบบอื่น ๆ จะสามารถแอบเข้าไปในระบบได้ มีการติดเชื้อรูทคิทระดับเคอร์เนลและไม่สามารถตรวจจับและลบออกได้อย่างง่ายดาย (หรืออย่างที่เราจะเห็นต่อไป) หมายความว่าคนอื่นสามารถควบคุมคอมพิวเตอร์ของคุณได้อย่างสมบูรณ์และสามารถใช้งานได้ตามที่เขาต้องการ - ตัวอย่างเช่นเพื่อเริ่มต้นการโจมตีในเครื่องอื่น ๆ ทำให้รู้สึกว่าการโจมตีนั้นมาจากคอมพิวเตอร์ของคุณและไม่ได้มาจากที่อื่น
การตรวจจับและกำจัดรูทคิท
ไม่ใช่ว่ามัลแวร์ประเภทอื่น ๆ นั้นสามารถตรวจจับและลบได้ง่าย แต่รูทคิทระดับเคอร์เนลเป็นภัยพิบัติ เรียกได้ว่าเป็น Catch 22 - ถ้าคุณมี rootkit ดังนั้นไฟล์ระบบที่ต้องการโดยซอฟต์แวร์ anti-rootkit นั้นน่าจะถูกแก้ไขดังนั้นผลลัพธ์ของการตรวจสอบจึงไม่น่าเชื่อถือ ยิ่งไปกว่านั้นถ้ารูทคิททำงานอยู่มันสามารถแก้ไขรายชื่อไฟล์หรือรายการกระบวนการทำงานที่โปรแกรมป้องกันไวรัสพึ่งพาได้ซึ่งจะให้ข้อมูลปลอม นอกจากนี้รูทคิทที่กำลังทำงานสามารถยกเลิกการโหลดโปรแกรมป้องกันไวรัสจากหน่วยความจำทำให้แอปพลิเคชันหยุดทำงานหรือสิ้นสุดลงโดยไม่คาดคิด อย่างไรก็ตามด้วยการทำเช่นนี้มันแสดงให้เห็นทางอ้อมดังนั้นจึงสามารถสงสัยได้เมื่อมีสิ่งผิดปกติโดยเฉพาะอย่างยิ่งซอฟต์แวร์ที่รักษาความปลอดภัยของระบบ
วิธีที่แนะนำสำหรับการตรวจจับการมีรูทคิทคือการบูตจากสื่อทางเลือกซึ่งเป็นที่รู้กันว่าสะอาด (เช่นสำรองข้อมูลหรือกู้ซีดีรอม) และตรวจสอบระบบที่น่าสงสัย ข้อดีของวิธีนี้คือรูทคิทจะไม่ทำงาน (ดังนั้นจะไม่สามารถซ่อนตัวเองได้) และไฟล์ระบบจะไม่ถูกดัดแปลงอย่างแข็งขัน
มีวิธีการตรวจจับและ (พยายาม) ลบรูทคิท วิธีหนึ่งคือทำความสะอาดลายนิ้วมือ MD5 ของไฟล์ระบบดั้งเดิมเพื่อเปรียบเทียบลายนิ้วมือของไฟล์ระบบปัจจุบัน วิธีนี้ไม่น่าเชื่อถือมาก แต่ดีกว่าไม่มีอะไร การใช้เคอร์เนลดีบักเกอร์มีความน่าเชื่อถือมากกว่า แต่ต้องการความรู้เชิงลึกของระบบปฏิบัติการ แม้แต่ผู้ดูแลระบบส่วนใหญ่ก็แทบจะไม่ใช้มันโดยเฉพาะเมื่อมีโปรแกรมที่ดีสำหรับการตรวจจับรูทคิทเช่น RootkitRevealer ของ Marc Russinovich หากคุณไปที่ไซต์ของเขาคุณจะพบคำแนะนำโดยละเอียดเกี่ยวกับวิธีใช้โปรแกรม
หากคุณตรวจพบรูทคิตในคอมพิวเตอร์ของคุณขั้นตอนต่อไปคือการกำจัดมัน (พูดง่ายกว่าทำ) ด้วยรูทคิทบางตัวการลบไม่ใช่ตัวเลือกนอกจากว่าคุณต้องการลบระบบปฏิบัติการทั้งหมดด้วย! ทางออกที่ชัดเจนที่สุด - การลบไฟล์ที่ติดไวรัส (หากคุณรู้ว่าไฟล์ใดถูกปิดบังไว้) ไม่สามารถทำได้อย่างแน่นอนเมื่อไฟล์ระบบที่สำคัญมีความเกี่ยวข้อง หากคุณลบไฟล์เหล่านี้มีโอกาสที่คุณจะไม่สามารถบูต Windows ได้อีก คุณสามารถลองใช้แอปพลิเคชันการลบรูทคิทสองสามตัวเช่น UnHackMe หรือ F-Secure BlackLight Beta แต่อย่าวางใจพวกเขามากเกินไปที่จะกำจัดศัตรูได้อย่างปลอดภัย
อาจฟังดูน่าตกใจ แต่วิธีเดียวที่พิสูจน์แล้วว่าการลบรูทคิทคือการฟอร์แมตฮาร์ดไดรฟ์และติดตั้งระบบปฏิบัติการอีกครั้ง (จากสื่อการติดตั้งใหม่ทั้งหมด!) หากคุณมีเงื่อนงำที่คุณได้รับรูทคิทจาก (รวมอยู่ในโปรแกรมอื่นหรือมีคนส่งถึงคุณทางอีเมลหรือไม่) อย่าคิดว่าจะทำงานหรือไม่ได้แหล่งที่มาของการติดเชื้ออีกเลย!
ตัวอย่างที่มีชื่อเสียงของรูทคิท
รูทคิทมีการใช้งานมาอย่างลับ ๆ มาหลายปี แต่จนถึงเมื่อปีที่แล้วเมื่อพวกเขาปรากฏตัวในหัวข้อข่าว กรณีของ Sony-BMG พร้อมเทคโนโลยี Digital Right Management (DRM) ที่ป้องกันการคัดลอกซีดีที่ไม่ได้รับอนุญาตโดยการติดตั้งรูทคิตบนเครื่องของผู้ใช้ทำให้เกิดการวิพากษ์วิจารณ์อย่างรุนแรง มีคดีความและการสอบสวนทางอาญา Sony-BMG ต้องถอนซีดีของพวกเขาออกจากร้านค้าและแทนที่สำเนาที่ซื้อมาด้วยแผ่นซีดีที่สะอาดตามการชำระคดี Sony-BMG ถูกกล่าวหาว่าแอบซ่อนไฟล์ระบบในความพยายามที่จะซ่อนการปรากฏตัวของโปรแกรมป้องกันการคัดลอกที่ใช้ในการส่งข้อมูลส่วนตัวไปยังเว็บไซต์ของ Sony หากผู้ใช้ถอนการติดตั้งโปรแกรมนั้นไดรฟ์ซีดีจะไม่สามารถใช้งานได้ ในความเป็นจริงโปรแกรมป้องกันลิขสิทธิ์นี้ละเมิดสิทธิ์ความเป็นส่วนตัวทั้งหมดใช้เทคนิคที่ผิดกฎหมายซึ่งเป็นแบบฉบับของมัลแวร์ประเภทนี้และเหนือสิ่งอื่นใดทำให้คอมพิวเตอร์ของเหยื่อตกเป็นเหยื่อจากการถูกโจมตีหลายสายพันธุ์ เป็นเรื่องปกติสำหรับ บริษัท ใหญ่ ๆ เช่น Sony-BMG ที่จะไปอย่างหยิ่งก่อนโดยระบุว่าถ้าคนส่วนใหญ่ไม่รู้ว่ารูทคิทคืออะไรและทำไมพวกเขาถึงสนใจพวกเขา ถ้าไม่มีผู้ชายอย่าง Mark Roussinovich ซึ่งเป็นคนแรกที่ส่งเสียงกริ่งเกี่ยวกับรูทคิทของ Sony เคล็ดลับอาจใช้งานได้และคอมพิวเตอร์หลายล้านเครื่องจะติดเชื้อซึ่งเป็นการกระทำผิดกฎหมายทั่วโลกในการป้องกันข้อกล่าวหาด้านทรัพย์สินทางปัญญาของ บริษัท ทรัพย์สิน!
คล้ายกับเคสของ Sony แต่เมื่อไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตเป็นกรณีของ Norton SystemWorks มันเป็นความจริงที่ทั้งสองกรณีไม่สามารถเปรียบเทียบได้จากมุมมองด้านจริยธรรมหรือทางเทคนิคเพราะในขณะที่รูทคิทของนอร์ตัน (หรือเทคโนโลยีที่คล้ายกันรูทคิท) ปรับเปลี่ยนไฟล์ระบบของ Windows เพื่อรองรับนอร์ตัน Protected Recycle Bin, Norton สิทธิ์ของผู้ใช้หรือเพื่อรับประโยชน์จากรูทคิทดังเช่นกรณีของ Sony วัตถุประสงค์ของการปิดบังคือการซ่อนตัวจากทุกคน (ผู้ใช้ผู้ดูแลระบบ ฯลฯ ) และทุกอย่าง (โปรแกรมอื่น ๆ Windows เอง) ไดเรกทอรีสำรองของไฟล์ที่ผู้ใช้ลบไปและสามารถกู้คืนจากไดเรกทอรีสำรองนี้ได้ในภายหลัง ฟังก์ชั่นของถังรีไซเคิลที่ได้รับการป้องกันคือการเพิ่มความปลอดภัยสุทธิอีกหนึ่งนิ้วจากการลบนิ้วมือครั้งแรกและคิดว่าพวกเขาได้ลบไฟล์ที่ถูกต้องแล้วหรือไม่ให้วิธีเพิ่มเติมในการกู้คืนไฟล์ที่ถูกลบออกจากถังรีไซเคิล หรือที่ผ่านถังรีไซเคิล)
ตัวอย่างทั้งสองนี้แทบจะเป็นกรณีที่รุนแรงที่สุดของกิจกรรมรูทคิท แต่พวกเขาก็ควรค่าแก่การพูดถึงเพราะการดึงดูดความสนใจไปยังกรณีเหล่านี้ทำให้สาธารณชนสนใจที่จะรูทคิทโดยรวม หวังว่าตอนนี้ผู้คนมากขึ้นไม่เพียง แต่จะรู้ว่ารูทคิตคืออะไร แต่สนใจว่าพวกเขามีมันหรือไม่และสามารถตรวจจับและลบมันได้!
