Rootkit

A HupWiki-ből...

Tartalomjegyzék

Áttekintés

A rendszerbe való betörés után a crackerek előszeretettel hagynak maguk után olyan programokat, amik megkönnyítik a kompromittált rendszerbe való újbóli visszatérést. Az ilyen programokat tartalmazó programcsomagot rootkitnek nevezzük.

A rootkitek "szolgáltatásai" között általában a következőket találjuk:

  • backdoor: shell indítása előre meghatározott porton bejelentkező felhasználó számára
  • egyes processzusok és bejelentkezett felhasználók elrejtése
  • terminálok, hálózati kapcsolatok, adatforgalom (packet sniffing), és billentyűzetfigyelés.

Ezek a szolgáltatások természetesen a rendszerfeltörő tevékenységének megkönnyítését és a rendszeradminisztrátor előtti leplezését szolgálják.

Sajnos a rootkiteket nagyon könnyű használni, ez megnöveli a ismételt behatolás kockázatát (script kiddie-k). Rootkitek szinte minden operációs rendszer alá léteznek.

Rootkitek típusai

Két fő típusuk a kernel-szintű és az alkalmazás-szintű rootkit.

A kernel-szintű rootkitek olyan kernel modulok amik a kernel kód egyes részeit módosítják, például rendszerhívásokat) irányítanak át, hogy azokból kiszűrjék (elrejtsék) a gyanús processzusra vagy felhasználóra utaló adatokat.

A alkalmazás-szintű rootkitek egyes gyakran használt binárisokat (mint az ls vagy a top) cserélnek le patchelt változatokra. Démonok (például az sshd, httpd) is lehetnek a módosítások áldozatai. Ebben az esetben a cél szintén a rendszerfeltörő tevékenységének segítése, leplezése.

Felismerés

A rendszer váratlan, indokolatlan instabilitása, szokatlan hálózati forgalom, furcsán működő programok mind rootkit jelenlétére utalhatnak.

A rootkit felderítése a könnyűtől (ismert, automatikusan detektálható) a nagyon nehézig (új, ismeretlen rootkitek) terjedhet. A felismerésben segíthetnek a keresőprogramok:

Ismert rootkit-ek

A rootkitek száma napról-napra nő, ezért ez a lista nem lehet kimerítő, inkább csak példaként néhány ismert rootkit:

  • SuckIt
  • Adore
  • Ark
  • apachebd
  • b0sttKis
  • Knark
  • Irk5
  • Q 2.4
  • T0rnkit

Megelőzés

A legjobb védekezés ebben az esetben is a megelőzés. Ebben lehetnek segítségünkre a különféle behatolásérzékelő rendszerek.

  • IDS Behatolásérzékelő Rendszerek
  • tripwire Behatolásérzékelő és Változáskövető Megoldás
  • honeypot Behatolási Szándékot Érzékelő Csapdák

Külső hivatkozások

Személyes eszközök