Hvordan oppdage systemadministrasjon modus (SMM) rootkits

Inntil nylig var det fem hovedtyper av rootkit: søknad, bibliotek, firmware, kernel og virtualisert. Program-nivå rootkits erstatte vanlige programfiler eller endre oppførselen til et program ved hjelp av kroker, patcher eller injisert kode. En lignende teknikk brukes av bibliotek rootkits, som vanligvis erstatte systemfiler med versjoner som skjuler informasjon om angriperen. Som de fleste antivirus skannere ikke inspisere firmware for kode integritet, kan fastvare rootkits gjemme seg i enhet eller plattform firmware med liten sjanse for å bli oppdaget. Kernel-nivå rootkits er blant de mest fryktede, men som de opererer på samme nivå som operativsystem. Slik tilgang gjør dem i stand til å endre eller undergrave eventuelle forespørsler fra programvare som kjører på systemet. Kernel-mode rootkits legge til eller erstatte kjernen koden for å skjule sin tilstedeværelse ofte via enhetsdrivere eller lastbare moduler, som de fleste operativsystemer ikke håndheve eventuelle sikkerhets forskjeller mellom kjernen og enhetsdrivere.

I de senere årene, forskere har vært å se på måter å kjøre rootkits utenfor operativsystemet. Skriv virtualiserte rootkits. Deres modus operandi er svært forskjellig fra andre rootkits som de modifisere et maskinens oppstartssekvensen til å laste seg selv i stedet for den opprinnelige operativsystemet. Når lastet inn i minnet, kan denne typen rootkit laste det opprinnelige operativsystemet som en virtuell maskin og fange opp alle maskinvare samtaler foretatt av " gjest " OS, noe som gjør malware mye kraftigere og vanskeligere å oppdage. For to år siden forskeren Joanna Rutkowska demonstrert et rootkit kalt blå pillen, som pleide AMDs chip-nivå virtualiseringsteknologi for å skjule seg selv.


For mer om rootkits Book Noah Schiffman forklarer hvordan malware har utviklet seg fra rootkits til bootkits.A lesere spør vår nye informasjonssikkerhet ekspert: Er en Master Boot Record (MBR) rootkit helt usynlig til OS? Angi SMM rootkit
Etter 2008 Black Hat Orienteringer sikkerhetskonferanse, en ny type rootkit dukket opp: systemet styring (SMM) rootkit. Utviklet av sikkerhetsforskere Shawn Embleton og Sherri Sparks av Clear Hat Consulting Inc., denne rootkit skjuler seg ved å kjøre i en skjermet del av datamaskinens minne som kan låses og gjengis usynlig for operativsystemet. Denne plasseringen av rootkit gir angripere et bilde av hva som skjer i datamaskinens minne. Som mange eksisterende rootkits, kommer det med keylogging og kommunikasjonsprogramvare, slik at listen over potensielle trusler uendelige. En ulempe med de SMM og virtualisering rootkits fra hacker perspektiv, er imidlertid at de må skrive koden uttrykkelig for systemet de angriper, noe som betyr en rootkit utformet for å utnytte ett system maskinvarekonfigurasjon kan ikke nødvendigvis fungere på et system som er konfigurert annerledes . Dette kan forsinke spredning av denne typen rootkit.


Så hva kan gjøres hvis du mistenker at et rootkit kjører på maskinen din? Det grunnleggende problemet med rootkit oppdagelse er at en infisert operativsystemet ikke kan stole på. Så, for eksempel når et antivirusprogram ber om en liste over alle prosesser som kjører eller filer i en katalog fra OS, resultatene vil ikke være nøyaktig. Dette er grunnen til rootkit teknikker blir stadig mer populært med virusforfattere, som de kan bruke lignende maskering teknikker for å skjule sine malware programmer.

En måte å finne et rootkit er å stenge ned den mistenkte datamaskinen og deretter sjekke det ved hjelp av en annen " klarert " system, montering av harddisken på den infiserte systemet som en ressurs. Harddisken kan da bli inntektsgivende skannet, som en ikke-kjører rootkit kan ikke aktivt skjule sin tilstedeværelse. Mange systemadministratorer faktisk foretrekker å bare lagre datafiler, formatere harddisken og bruke bildebehandlingsprogrammer for å installere et rent OS på den infiserte maskinen i stedet for å bruke tid og krefter på å prøve å finne og fjerne rootkit. Hvis en reinstallering er ikke et levedyktig alternativ, starter du datamaskinen med en ren kopi av operativsystemet ved hjelp av verktøy som BartPE og Windows forhåndsinstallasjonsmiljø (PE). Dette gjør at undersøkelse og utskifting av de berørte systemfiler mens du holder de underliggende systemene intakt.

Det er flere programmer tilgjengelig som prøver å oppdage rootkits, inkludert Microsofts Rootkitrevealer. Programmet omgår operativsystemet og analyserer de underliggende strukturene i filsystemet, sammenligne dem mot forventede verdier. Hvis du har hatt åndsnærværelse til fingeravtrykket ditt OS - det vil beregne sjekksummer for å identifisere hver fil - noen kritiske filer endret etter en rootkit kan finnes ved å sammenligne melding fordøye verdier. Denne teknikken kan brukes til å detektere fastvare rootkits, også. Du vil selvsagt nødt til å re-fingeravtrykk alle etterfølgende endringer i systemet

IT-bransjen er fortsatt søker etter den beste sett med metoder for å bekjempe trusselen fra disse nye ". Undetectable " rootkits. Som med datavirus, vil våpenkappløpet mellom malware og deteksjonskode forfattere være en pågående kamp. På den lyse siden, mens rootkits har utviklet seg enormt siden deres spede begynnelse, noen av dagens nye ondsinnede rootkit er slutt ufarlig hvis aldri gitt muligheten til å infisere et mål system.

Rootkits er som mange andre IT-sikkerhetstrusler i at forebygging er bedre enn kur, så sikre bedriftens systemer har up-to-date patcher og er beskyttet mot sannsynlige angrepsvektorer. Installer programvare fra pålitelige kilder, og kontroller at sikkerhetsregler på godkjent bruk håndheves, spesielt på sluttbrukernivå. Dette siste punktet vil være avgjørende når det gjelder å forebygge SMM rootkits tar tak så mange av de verktøyene jeg har nevnt her, er blinde for dem.