Rootkit

A HupWiki-ből...

Tartalomjegyzék 1 Áttekintés 2 Rootkitek típusai 3 Felismerés 3.1 Ismert rootkit-ek 4 Megelőzés 5 Külső hivatkozások

Áttekintés

A rendszerbe való betörés után a crackerek előszeretettel hagynak maguk után olyan programokat, amik megkönnyítik a kompromittált rendszerbe való újbóli visszatérést. Az ilyen programokat tartalmazó programcsomagot rootkitnek nevezzük.

A rootkitek "szolgáltatásai" között általában a következőket találjuk:

• backdoor: shell indítása előre meghatározott porton bejelentkező felhasználó számára
• egyes processzusok és bejelentkezett felhasználók elrejtése
• terminálok, hálózati kapcsolatok, adatforgalom (packet sniffing), és billentyűzetfigyelés.

Ezek a szolgáltatások természetesen a rendszerfeltörő tevékenységének megkönnyítését és a rendszeradminisztrátor előtti leplezését szolgálják.

Sajnos a rootkiteket nagyon könnyű használni, ez megnöveli a ismételt behatolás kockázatát (script kiddie-k). Rootkitek szinte minden operációs rendszer alá léteznek.

Rootkitek típusai

Két fő típusuk a kernel-szintű és az alkalmazás-szintű rootkit.

A kernel-szintű rootkitek olyan kernel modulok amik a kernel kód egyes részeit módosítják, például rendszerhívásokat) irányítanak át, hogy azokból kiszűrjék (elrejtsék) a gyanús processzusra vagy felhasználóra utaló adatokat.

A alkalmazás-szintű rootkitek egyes gyakran használt binárisokat (mint az ls vagy a top) cserélnek le patchelt változatokra. Démonok (például az sshd, httpd) is lehetnek a módosítások áldozatai. Ebben az esetben a cél szintén a rendszerfeltörő tevékenységének segítése, leplezése.

Felismerés

A rendszer váratlan, indokolatlan instabilitása, szokatlan hálózati forgalom, furcsán működő programok mind rootkit jelenlétére utalhatnak.

A rootkit felderítése a könnyűtől (ismert, automatikusan detektálható) a nagyon nehézig (új, ismeretlen rootkitek) terjedhet. A felismerésben segíthetnek a keresőprogramok:

• chkrootkit (elavult és bugos)
• Rootkit Hunter (rendszeresen frissítet és széleskörűen kutat)

Ismert rootkit-ek

A rootkitek száma napról-napra nő, ezért ez a lista nem lehet kimerítő, inkább csak példaként néhány ismert rootkit:

• SuckIt
• Adore
• Ark
• apachebd
• b0sttKis
• Knark
• Irk5
• Q 2.4
• T0rnkit

Megelőzés

A legjobb védekezés ebben az esetben is a megelőzés. Ebben lehetnek segítségünkre a különféle behatolásérzékelő rendszerek.

• IDS Behatolásérzékelő Rendszerek
• tripwire Behatolásérzékelő és Változáskövető Megoldás
• honeypot Behatolási Szándékot Érzékelő Csapdák

Külső hivatkozások

• Mik azok a Rootkit-ek? - HUP cikk
• HUP cikk a Rootkit Hunter-ről
• chkrootkit - tegyünk többet rendszerünk egészségéért - HUP ismertető
• IT Observer - Kernel Rootkits Explained
• rootkit.com Windowsos rootkitek és védelmi eszközök