Rootkit na śniadanie (cz.I)
17 listopada 2005 10:39, Paweł Krawczyk
Wyobraźmy sobie konia trojańskiego, którego nie widzi żaden antywirus i nie ma go na liście procesów. A on tam jest, dyskretnie ukryty zbiera nasze hasła i kody do kont bankowych. Dzisiaj to już rzeczywistość. Skuteczne metody walki z rootkitami opisuje Paweł Krawczyk.
Walka z rootkitami nie jest łatwa, ale jest możliwa. Pomocne są w tym dwa narzędzia, które na dzień dzisiejszy wyłapują wszystkie seryjne rootkity. W skrajnych przypadkach pozostaje metoda ręczna, która daje jednak większą pewność że system jest czysty.
Klasycznym przykładem nowoczesnego rootkita jest czeski Hacker Defender, dostępny wraz z kodem źródłowym. Działanie tego programu jest bardzo widowiskowe, bo po uruchomieniu na testowym komputerze z Windows jego plik binarny oraz konfiguracyjny... po prostu znikają. Nie znajdziemy go również na liście procesów wyświetlanej przez Task Manager, pomimo że proces oczywiście tam jest.
Task manager nie pokazuje procesu hxdef100
Tworzy kilkanaście kluczy w rejestrze i choćby w ten sposób jest jednak wykrywalny. Konfiguracja Hacker Defendera jest elastyczna i pozwala dodawać do konfiguracji listę ukrywanych procesów, plików, a także nazw kluczy w rejestrze. Co więcej, przy budowaniu tej listy można posługiwać się wyrażeniami regularnymi, co ułatwia ukrywanie całych grup plików. Konstrukcja programu jest ukierunkowana na działanie w charakterze "ochroniarza" towarzyszącego rootkitowi konia trojańskiego lub keyloggera, czyli programu "podsłuchującego" dane wprowadzane za pomocą klawiatury.
Antywirusy
Programy antywirusowe w większości przypadków wykrywają pliki binarne rootkita i wyraźnie ostrzegają użytkownika przed niebezpieczeństwem. Ale potrafią go jednak wykryć tylko pod warunkiem, że system nie został wcześniej zainfekowany. To istotna różnica w stosunku do klasycznych wirusów - po uruchomieniu rootkita staje się on bowiem niewidzialny także dla programów antywirusowych, nawet pomimo tego, że cały czas działa w pamięci.
Dostępnych jest przynajmniej kilka narzędzi służących do automatycznego wykrywania rootkitów. Działają one zwykle na zasadzie analizy wielu elementów systemu i porównywania ich zawartości w celu znalezienia niespójności, świadczących o dyskretnej, ale jednak, ingerencji. Tam gdzie to możliwe, sprawdzanie odbywa się z pominięciem standardowego API Windows na różnych poziomach - program zakłada (i słusznie), że znajduje się ono pod kontrolą rootkita.
Narzędzia już są
Pierwszym testowanym przez nas narzędziem jest
Sysinternals Rootkit Revealer. Firma Sysinternals jest znana z publikowania licznych darmowych narzędzi ułatwiających niskopoziomowe konfigurowanie systemów Windows. Rootkit Revealer to aplikacja, służąca do skanowania systemu w poszukiwaniu podejrzanych i ukrytych elementów. Nie wszystkie raportowane przez Rootkit Revealer klucze lub pliki muszą być od razu wynikiem działania rootkita, ale wszystkie warto sprawdzić. Na ilustracji obok widać, jak Rootkit Revealer poradził sobie ze znalezieniem zainstalowanego w systemie Hacker Defendera. Jednak na jego znalezieniu rola programu się kończy - administrator musi sobie sam poradzić z jego usunięciem.
Rootkit Revealer w akcji
F-Secure BlackLight
Drugim przydatnym do walki z rootkitami programem jest wersja beta F-Secure BlackLight - narzędzia, które w tym roku ma wejść w skład komercyjnego skanera F-Secure. Biorąc pod uwagę jego skuteczność, będzie to bardzo słuszny krok ze strony producenta. BlackLight jest narzędziem nieco łatwiejszym w obsłudze od Rootkit Revealera i trudno się dziwić, bo docelowo ma być to program dla szerokiego grona użytkowników.
BlackLight skanuje system i przedstawia użytkownikowi raport ze znalezionych ukrytych plików, oferując również ich usunięcie. Przydatną funkcją jest możliwość wyświetlenia "jedynej prawdziwej" listy działających w systemie procesów, która jak widać różni się dość istotnie od tej wyświetlanej przez Managera zadań. Rootkit jest na niej wyraźnie widoczny jako proces hxdef100.
Lista procesów według BlackLight
Porównanie listy procesów wg BlackLight i Task Managera - rootkit jest widoczny
Po znalezieniu podejrzanych plików BlackLight proponuje użytkownikowi usunięcie lub zmianę nazwy w celu dezaktywacji przy kolejnym uruchomieniu systemu. Program sugeruje wykonać restart zaraz po zakończeniu skanowania. Dzięki temu system powinien wystartować bez ukrywających się "dodatków", w związku z czym skanowanie antywirusem powinno zlokalizować źródło infekcji.
BlackLight leczy system z rootkita
Klasycznym przykładem nowoczesnego rootkita jest czeski Hacker Defender, dostępny wraz z kodem źródłowym. Działanie tego programu jest bardzo widowiskowe, bo po uruchomieniu na testowym komputerze z Windows jego plik binarny oraz konfiguracyjny... po prostu znikają. Nie znajdziemy go również na liście procesów wyświetlanej przez Task Manager, pomimo że proces oczywiście tam jest.
Task manager nie pokazuje procesu hxdef100
Tworzy kilkanaście kluczy w rejestrze i choćby w ten sposób jest jednak wykrywalny. Konfiguracja Hacker Defendera jest elastyczna i pozwala dodawać do konfiguracji listę ukrywanych procesów, plików, a także nazw kluczy w rejestrze. Co więcej, przy budowaniu tej listy można posługiwać się wyrażeniami regularnymi, co ułatwia ukrywanie całych grup plików. Konstrukcja programu jest ukierunkowana na działanie w charakterze "ochroniarza" towarzyszącego rootkitowi konia trojańskiego lub keyloggera, czyli programu "podsłuchującego" dane wprowadzane za pomocą klawiatury.
Antywirusy
Programy antywirusowe w większości przypadków wykrywają pliki binarne rootkita i wyraźnie ostrzegają użytkownika przed niebezpieczeństwem. Ale potrafią go jednak wykryć tylko pod warunkiem, że system nie został wcześniej zainfekowany. To istotna różnica w stosunku do klasycznych wirusów - po uruchomieniu rootkita staje się on bowiem niewidzialny także dla programów antywirusowych, nawet pomimo tego, że cały czas działa w pamięci.
Dostępnych jest przynajmniej kilka narzędzi służących do automatycznego wykrywania rootkitów. Działają one zwykle na zasadzie analizy wielu elementów systemu i porównywania ich zawartości w celu znalezienia niespójności, świadczących o dyskretnej, ale jednak, ingerencji. Tam gdzie to możliwe, sprawdzanie odbywa się z pominięciem standardowego API Windows na różnych poziomach - program zakłada (i słusznie), że znajduje się ono pod kontrolą rootkita.
Narzędzia już są
Pierwszym testowanym przez nas narzędziem jest
Sysinternals Rootkit Revealer. Firma Sysinternals jest znana z publikowania licznych darmowych narzędzi ułatwiających niskopoziomowe konfigurowanie systemów Windows. Rootkit Revealer to aplikacja, służąca do skanowania systemu w poszukiwaniu podejrzanych i ukrytych elementów. Nie wszystkie raportowane przez Rootkit Revealer klucze lub pliki muszą być od razu wynikiem działania rootkita, ale wszystkie warto sprawdzić. Na ilustracji obok widać, jak Rootkit Revealer poradził sobie ze znalezieniem zainstalowanego w systemie Hacker Defendera. Jednak na jego znalezieniu rola programu się kończy - administrator musi sobie sam poradzić z jego usunięciem.
Rootkit Revealer w akcji
F-Secure BlackLight
Drugim przydatnym do walki z rootkitami programem jest wersja beta F-Secure BlackLight - narzędzia, które w tym roku ma wejść w skład komercyjnego skanera F-Secure. Biorąc pod uwagę jego skuteczność, będzie to bardzo słuszny krok ze strony producenta. BlackLight jest narzędziem nieco łatwiejszym w obsłudze od Rootkit Revealera i trudno się dziwić, bo docelowo ma być to program dla szerokiego grona użytkowników.
BlackLight skanuje system i przedstawia użytkownikowi raport ze znalezionych ukrytych plików, oferując również ich usunięcie. Przydatną funkcją jest możliwość wyświetlenia "jedynej prawdziwej" listy działających w systemie procesów, która jak widać różni się dość istotnie od tej wyświetlanej przez Managera zadań. Rootkit jest na niej wyraźnie widoczny jako proces hxdef100.
Lista procesów według BlackLight
Porównanie listy procesów wg BlackLight i Task Managera - rootkit jest widoczny
Po znalezieniu podejrzanych plików BlackLight proponuje użytkownikowi usunięcie lub zmianę nazwy w celu dezaktywacji przy kolejnym uruchomieniu systemu. Program sugeruje wykonać restart zaraz po zakończeniu skanowania. Dzięki temu system powinien wystartować bez ukrywających się "dodatków", w związku z czym skanowanie antywirusem powinno zlokalizować źródło infekcji.
BlackLight leczy system z rootkita
Komentarze (3)
- fredas
- 2005-11-17 12:55:00
A czym usunąć pliki znalezionego rootkita? Z linii komend?
- yoozeq
- 2005-11-17 15:38:18
Spod czegoś, co na 100% jest czyste, np. konsoli odzyskiwania z płyty systemowej, dyskietki startoej albo np. Knoppixa :)
- tryt
- 2005-11-17 16:23:11
Tak naprawde jedyna skuteczna metoda walki z rootkitami jest przeinstalowanie systemu... Oczywiscie wpierwej trzeba sie dowiedziec jak sie do systemu taki rootkit dostal. Nastepnym krokiem po instalaji jest łatanie...
reklama
Popularne produkty
Telefon SAMSUNG S5230 Avila
Telefon SAMSUNG S5230 Avila
w 31
sklepach od 267,89 zł
Telefon SAMSUNG S5230 Avila
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
reklama
Program miesiąca
reklama