En rootkit er programvare angripere installere på systemer for å dekke opp spor av deres nærvær. De fleste rootkits omfatter også andre avanserte verktøy, for eksempel verktøy for å hjelpe angriperen bygge tilbake dører for å sikre fortsatt tilgang til den kompromitterte systemet. For eksempel kan en rootkit fange opp påloggingsforespørsler og gi maskert tilgang til angriperen via en spesiell bruker-ID og passord. Det er ikke uvanlig å finne tastetrykkloggere, pakke sniffere og annen skadelig kode i rootkits.
Skjulte angrep
Rootkits hjelp angripere skjule sin tilstedeværelse ved å skjule eller fjerne spor av påloggings poster, loggoppføringer og prosesser knyttet til sine aktiviteter. Noen rootkits utføre denne oppgaven ved å erstatte binærfiler for systemadministrasjon kommandoer med modifiserte versjoner laget for å ignorere angriper aktivitet. For eksempel på en Unix eller Linux-system, kan rootkit erstatte 'ls-kommandoen med en som ikke inneholder filer som finnes i visse kataloger. Eller det kan erstatte 'ps' kommando, som viser prosesser som kjører på systemet, med en som beleilig ignorerer prosesser startet av angriperen. Programmene er ansvarlige for skogsdrift er tilsvarende endret for å hjelpe angriperen bli iøynefallende. Derfor, når systemansvarlig ser på systemet, alt ser normalt, til tross for at det har blitt undergravd.
Rootkit stiler
Rootkits som oppnår sin oppgave ved å erstatte binærfiler kalles brukermodus rootkits. Disse rootkits kan oppdages ved å se etter endringer i størrelse, dato og summer av viktige systemfiler. Men sofistikerte angripere bruker kernel mode rootkits å jobbe mer smug. Ved å utnytte Linux evne til å laste kernel extensions på sparket, kernel mode rootkits ta bedrag til kjernen av operativsystemet. Disse rootkits sitte stille i hjertet av maskinen og skjærings legitime programmenes OS samtaler, returnerer bare dataene angriperen ønsker du å se. Oppdager en rootkit er svært vanskelig siden den styrer hele miljøet.
Selv rootkits oppsto i Unix /Linux verden, det er mange "hyllevare" rootkits tilgjengelig for Windows-miljøet som gir samme funksjonalitet som deres * nix forgjengere. Noen av disse Windows-rootkit er ganske sofistikert; for en titt på state of the art, besøk www.rootkit.com. Hvis du er ansvarlig for Windows system sikkerhet, kan bruke tid på dette området overtale noen sunn paranoia.
Mer informasjon
Lær hvordan å avverge hackere med denne ressursen guide
Få siste nyheter og råd om hacker verktøy og teknikker i vårt ressurssenter
Finn ut hvordan du bruker forsvars i dybden for å skape en (nesten) usårbar datamiljø
Forebygging
rootkits er et andre nivå sikkerhetstrussel. Med andre ord, du har å gjøre noen andre sikkerhets feil å tillate at angriperen å komme inn i første omgang, for eksempel konfigurasjonsfeil, svak autentisering eller ikke oppdaterte sårbarheter. Når et rootkit har blitt plassert på systemet, veldig dårlige ting
har skjedd allerede. Det beste forsvaret mot rootkits? Hindre dem fra å bli installert i første omgang ved å opprettholde et forsvar-i-dybden strategi
Om forfatteren:.
Al Berg, CISSP, er CISM direktør for Information Security for LiquidNet (www.liquidnet.com). LiquidNet er den ledende elektroniske arena for institusjons blokk aksjehandel. Ifølge INC. Magazine i 2004, LiquidNet var den raskest voksende privateide selskap for finansielle tjenester i USA og den fjerde raskest voksende privateid selskap i USA på tvers av alle bransjer.