Что за зверь rootkit?

26 января 2018

Что такое руткит?

Это не вирус. Это не червь. Это не троян. И это не шпионское ПО. Несмотря на то, какой образ может возникнуть в голове, когда мы слышим данное название. Итак, что же такое руткит? Хотя они тесно связаны с вредоносными программами, руткиты сами по себе не смогут навредить кому-то. Однако их способность манипулировать операционной системой компьютера и предоставлять удаленным пользователям администраторские права, что неудивительно, сделала их основным инструментом киберпреступников. Хотите узнать о том, какие бывают руткиты? Как они работают? Как от них защититься? Обо всем этом мы подробно расскажем далее.

Термин «rootkit» изначально происходит из мира операционных систем Unix, где слово «root» используется для описания пользователя с максимально возможным уровнем прав доступа, аналогично «Администратору» в Windows. Слово «kit» относится к программному обеспечению, которое предоставляет доступ к корневым папкам машины. Теперь соединим их вместе, и вуаля - получается «руткит», программа, которая позволяет стороннему пользователя, вне зависимости от его намерений, получить привилегированный доступ к компьютеру.

Поскольку он способен вносить изменения на самом фундаментальном уровне, руткит может скрывать себя, запускать файлы, вносить изменения в систему и отслеживать ее использование без ведома настоящего владельца даже тогда, когда он использует устройство.

Исторически руткиты были ограничены миром Unix и Linux, но в конечном итоге перешли и к операционной системе Windows благодаря появлению NTRootkit – инструмента, ориентированного на Windows NT, который был впервые обнаружен еще в 1999 году. С тех пор руткиты быстро обрели популярность в системах Windows, и даже сегодня сохраняется необычайная распространённость этих живучих паразитов цифрового мира.

По какому принципу работают руткиты?

Руткиты не могут распространяться сами по себе и вместо этого полагаются на некоторые тактические хитрости, чтобы заразить ваш компьютер. Как правило, для прикрытия они используют с виду вполне обычные приложения, которые могут быть вполне рабочими. Однако когда вы разрешаете установку такого ПО на ваш компьютер, руткит незаметно пробирается внутрь системы, где он может находиться в состоянии покоя, пока хакер не активирует его. Руткиты, как известно, трудно обнаружить и удалить из-за их способности скрывать себя от пользователей, администраторов и многих типов антивирусов. Проще говоря, если на вашем компьютере есть руткит, то с большей долей вероятности он будет помогать хакерам.

Другие пути распространения руткитов – это мошенничество с фишингом электронной почты, их загрузка с небезопасных сайтов и подключение к взломанным общим хранилищам. Важно отметить, что руткиты не всегда требуют, чтобы вы запускали исполняемый файл - иногда достаточно одного простого действия, такого как открытие документа PDF или Word (где содержится вредоносный код), чтобы заразить компьютер.

Существует четыре основных типа руткитов:

Руткиты уровня ядра разработаны для изменения функциональности вашей операционной системы. Они обычно добавляют свой собственный код (а иногда и собственные структуры данных) к частям ядра операционной системы. Создать корректный руткит ядра довольно сложно и, если это сделано неправильно, то он может оказать заметное влияние на производительность системы. Хорошей новостью является то, что большинство руткитов уровня ядра легче обнаружить, чем другие типы.

SmartService - отличный пример такого руткита. Вплоть до середины 2017 года SmartService не давал запускать на зараженной машине антивирусные средства, что позволяло рекламному ПО и троянам спокойно существовать на данном компьютере.

Руткиты пользовательского режима либо запускаются как обычная программа автозапуска, либо через троян. Такой руткит может вводиться в систему совершенно разными способами, которые в основном зависят от используемой ОС. Руткиты Windows, как правило, сосредоточены на управлении основными функциями, которые исполняют DLL файлы Windows, а в системах Unix они обычно полностью заменяют целое системное приложение.

Руткиты пользовательского режима часто используются при заражении компьютера банковским трояном. Один из самых распространенных вирусов такого типа под названием Carberp использует данный руткит. Его исходный код попал в сеть несколько лет назад, поэтому компонент руткита пользовательского режима из Carberp постоянно модернизируется хакерами и может быть найден во многих семействах банковских троянов даже сегодня.

Загрузочные руткиты или буткиты нацелены на заражение главной загрузочной записи (основного сектора, который позволяет компьютеру загружать операционную систему). Данный типа руткитов уничтожить сложнее всего, так как если главная загрузочная запись была повреждена, то его удаление может привести к повреждению машины.

Наиболее современные операционные системы, такие как Windows 10, практически полностью невосприимчивы к такому типу руткитам ввиду внедрения Secure Boot. В результате буткиты почти вымерли. Самая известная семья вирусов, использующих буткиты – это Alureon / TDL-4, которая была активной с 2007 по 2012 год. Вредоносное ПО Alureon смогло создать второй в мире по активности ботнет, пока его создателей не арестовали в конце 2011 года.

Такие руткиты работают только в оперативной памяти (ОЗУ). В отличие от других типов руткитов, которые могут долгое время спокойно существовать на вашем компьютере, руткиты оперативной памяти стираются при перезагрузке компьютера из-за того, что ОЗУ очищается при следующем включении.

Хотя существует много различных типов руткитов оперативной памяти, большинство из них выполняют одну и ту же задачу: устранение следов собственной работу или вируса в операционной системе. Они могут делать это самыми различными способами. Например, Windows имеет встроенную функцию, ответственную за отображение содержимого папок. Руткит может изменить эти данные так, чтобы имя файла, содержащего вирус, никогда не отображалось для обычного пользователя. Путем манипуляции с другими API-интерфейсами Windows могут быть скрыты не только файлы и папки, но также активные программы, открытые порты сетевой связи, которые используются, или ключи реестра. Конечно, это лишь малая часть того, на что способны руткиты.

Должны ли руткиты считаться вредоносными программами?

Как мы уже говорили ранее, руткиты обычно используются для распространения вредоносных программ, но разве они опасны сами по себе?

Одним словом: Нет. По сути своей руткиты не могут оказать негативное влияние на ваш компьютер. Их единственная цель – скрыть другое (зачастую вирусное, однако так бывает не всегда) программное обеспечение и его следы, оставшиеся в операционной системе.

На протяжении многих лет руткиты использовались для защиты лицензионного ПО и вполне законного материала. Один из самых известных примеров – это система защиты от копирования компакт-дисков Sony BMG. В 2005 году специалист по Windows Марк Руссинович обнаружил, что использование Sony BMG CD приводило к установке части программного обеспечения, но на это не требовалось одобрение пользователя, а также данная операция не появлялась в списке процессов и ПО было невозможно удалить (то есть оно скрывалось от пользователя). Изначально руткиты создавались как программное обеспечение для защиты данных, которое должно было не позволить покупателю компакт-диска с музыкой скопировать с него аудиоданные, чтобы потом незаконно продавать их.

Хотя руткиты и могут служить во благо, все-таки киберпреступники больше всего выиграли от их использования. Руткиты способны легко скрыть процессы, файлы или папки, а это значит, что они легко скроют от пользователя проникший на его компьютер вирус. Причем они могут сделать это настолько хорошо, что ни сам пользователь, ни антивирус не сумеют найти и уничтожить вирусное ПО.

Руткиты очень часто используются для того, чтобы скрыть в системе клавиатурных червей, которые считывают каждое нажатие клавиши на клавиатуре. Хакеры внедряли руткиты для создания огромных бот-сетей, состоящих из миллионов машин, которые они запускали для сбора криптовалюты, проведения DDoS-атак и других масштабных незаконных кампаний.

Как бороться с руткитами?

Многие руткиты способны успешно скрываться от антивирусных сканеров, однако производители антивирусного программного обеспечения тоже не стоят на месте и активно работают в направлении обнаружения руткитов и обезвреживания их потенциально опасной деятельности. В частности Avast Pro Antivirus, ESET Internet Security, Emsisoft Anti-Malware или 360 Total Security Премиум уже имеют в своем составе эффективные средства по борьбе с руткитами, что позволяет пользователям выбрать наиболее оптимальное средство для того чтобы обезопасить свои устройства от угроз, кражи информации и превращения их во вредоносную сеть «ботнет».