Hva er rootkits og hvordan du kan oppdage dem
Ordet "rootkit" kommer opprinnelig fra 'Unix' -systemer, der roten er brukeren med flest tilgangsprivilegier til systemet '. Mens Word Kit definerer settet som inneholder et sett med ondsinnede verktøy som KeyLoggers, Banking Credential Stealers, Password Stealers, Antivirus Disabers eller Bots for DDoS Attack, etc. Setter begge disse sammen, får du rootkit.
De er designet på en slik måte at de forblir skjult og gjør ondsinnede ting som å avskjære Internett -trafikk, stjele kredittkort og nettbankinformasjon. Rootkits gir nettkriminelle muligheten til å kontrollere datasystemet ditt med full administrativ tilgang, det hjelper også angriperen til å overvåke nøkkeltakene dine og deaktivere antivirusprogramvaren din, noe som gjør det enda enklere å stjele din hemmelige informasjon.
Hvordan kommer rootkits i systemet?
Rootkits er, i henhold til deres type, ikke i stand til å spre seg av seg selv. Derfor er de spredt av angriperen av slike taktikker at brukeren ikke klarer å legge merke til at noe er galt med systemet. Vanligvis ved å gjemme dem i ujevne programvare som ser legitim ut og kan være funksjonell. Det er som det kan, når du tildeler programvarens samtykke til å bli introdusert på rammen din, sniker rootkit diskret inne der den kan legge seg lavt til angriperen/hackeren aktiverer den. Rootkits er veldig vanskelig å identifisere fordi de kan gjemme seg for brukere, administratorer og de fleste av antivirusproduktene. I utgangspunktet, i tilfelle en kompromiss av et system av Rootkit, er omfanget av ondartet bevegelse veldig høyt.
Sosialteknikk:
Hackeren prøver å få tilgang til rot/administrator ved å utnytte kjente sårbarheter eller ved å bruke sosial ingeniørfag. Cybercriminals ansetter sosialteknikk for å få jobben gjort. De prøver å installere rootkits på brukerens system ved å sende dem i en phishing -lenke, e -post -svindel, omdirigere deg til ondsinnede nettsteder, lappe rootkits i legitim programvare som ser normal ut for det blotte øye. Det er viktig å vite at rootkits ikke alltid ønsker at brukeren skal kjøre en ondsinnet kjørbar å snike seg inn. Noen ganger er alt de ønsker at en bruker skal åpne et PDF- eller Word -dokument å snike seg inn.
Typer rootkits:
For å forstå hvilke typer rootkits ordentlig, først, må vi forestille oss systemet som en sirkel av konsentriske ringer.
- I sentrum er det en kjerne kjent som Ring Zero. Kjernen har det høyeste nivået av privilegier over et datasystem. Den har tilgang til all informasjonen og kan fungere på systemet slik den vil.
- Ring 1 og Ring 2 er forbeholdt mindre privilegerte prosesser. Hvis denne ringen mislykkes, er de eneste prosessene som kommer til å bli påvirket de ringen 3 avhenger av.
- Ring 3 er der brukeren er bosatt. Det er brukermodus som har et hierarki av streng privilegium tilgang.
Kritisk sett kan en prosedyre som kjører i en høyere privilegert ring redusere fordelene og løpe i en ekstern ring, men dette kan ikke fungere omvendt vei uten den utvetydige samtykke fra arbeidsrammenes sikkerhetsinstrumenter. I situasjoner der slike sikkerhetskomponenter kan holde seg borte fra, sies et sårbarhet av privilegier å eksistere å eksistere. Nå er det to mest fremtredende typer rootkits:
Brukermodus rootkits:
Rootkits av denne kategorien fungerer på lavt privilegert eller brukernivå i operativsystemet. Som uttrykt før rootkits får hackere til å holde sin autoritet over systemet ved å gi en sekundær passeringskanal, vil brukermodus rootkit generelt endre de betydelige applikasjonene på brukernivå på denne måten som skjuler seg selv akkurat som å gi bakdøret tilgang. Det er forskjellige rootkits av denne typen for både vinduer og linux.
Linux brukermodus rootkits:
Mange Linux brukermodus rootkits er tilgjengelige i dag for eksempel:
- For å få ekstern tilgang til målets maskin, er påloggingstjenester som 'Logg inn', 'SSHD' alle modifisert av Rootkit for å inkludere en bakdør. Angripere kan ha tilgang til målets maskin bare ved å komme til bakdøren. Husk at hackeren allerede utnyttet maskinen, han la nettopp til en bakdør for å komme tilbake en annen gang.
- For å utføre privilegiumsopptrappingsangrepet. Angriperen endrer kommandoer som 'Su', sudo slik at når han bruker disse kommandoene gjennom en bakdør, vil han få tilgang til rotnivå til tjenester.
- Å skjule deres tilstedeværelse under et angrep ved
- Prosess skjul: Ulike kommandoer som viser data om prosedyrer som kjører på den maskinlignende 'PS', 'Pidof', 'Top' er endret med målet at overfallsmannsprosedyren ikke er registrert blant andre løpsprosedyrer. I tillegg endres kommandoen 'Kill All' vanligvis med målet om at hackerens prosess ikke kan drepes, og ordre 'crontab' endres slik at ondsinnede prosesser kjøres på et bestemt tidspunkt uten å endre i crontabs konfigurasjon.
- File Hiding: skjuler deres tilstedeværelse for kommandoer som 'ls', 'finn'. Også gjemmer deg for 'du' kommando som viser diskbruk av en prosess som drives av en angriper.
- Arrangements skjul: gjemmer seg for systemlogger ved å endre 'syslog.d 'fil slik at de ikke kan logget inn disse filene.
- Nettverks skjul: gjemmer seg for kommandoer som 'netstat', 'iftop' som viser aktive tilkoblinger. Kommandoer som 'ifconfig' er også endret for å utrydde deres tilstedeværelse.
Kernel-modus rootkits:
Før vi går over på Kernel-Mode Rootkits, vil vi først se hvordan kjernen fungerer, hvordan kjernen håndterer forespørsler. Kjernen lar applikasjoner kjøre ved hjelp av maskinvareressurser. Som vi har diskutert Rings -konseptet, kan ikke Ring 3 -applikasjonene få tilgang til en sikrere eller høy privilegert ring i.e ring 0, de er avhengige av systemanrop som de behandler ved hjelp av delsystembiblioteker. Så strømmen er noe slikt:
Brukermodus >> Systembiblioteker >> Systemanropstabell >> Kjerne
Nå hva en angriper vil gjøre er at han vil endre systemanropstabellen ved å bruke Insmod og deretter kartlegge ondsinnede instruksjoner. Så vil han sette inn ondsinnet kjernekode og flyt være slik:
Brukermodus >> Systembiblioteker >> Endret systemanrop Tabell >>
Ondsinnet kjernekode
Det vi vil se nå er hvordan denne systemanropstabellen endres og hvordan den ondsinnede koden kan settes inn.
- Kernelmoduler: Linux -kjernen er designet på en slik måte å laste inn en ekstern kjernemodul for å støtte dens funksjonalitet og sette inn litt kode på kjernenivå. Dette alternativet gir angripere stor luksus å injisere ondsinnet kode i kjernen direkte.
- Endring av kjernefil: Når Linux -kjernen ikke er konfigurert til å laste inn eksterne moduler, kan endring av kjernefil gjøres i minnet eller harddisken.
- Kjernefilen som holder minnebildet på harddisken er /dev /kmem. Live Running Code på kjernen eksisterer også på den filen. Det krever ikke en gang en systemstart på nytt.
- Hvis minnet ikke kan endres, kan kjernefilen på harddisken være. Filen som holder kjernen på harddisken er vmlinuz. Denne filen kan bare leses og endres av root. Husk at for en ny kode som skal utføres, kreves det en systemstart i dette tilfellet. Endring av kjernefilen trenger ikke å gå fra ring 3 til ring 0. Det trenger bare rottillatelser.
Et utmerket eksempel på kjerne rootkits er smartservice rootkit. Det forhindrer brukere i å starte en hvilken som helst antivirusprogramvare og fungerer derfor som en livvakt for all annen skadelig programvare og virus. Det var en kjent ødeleggende rootkit opp til midten av 2017.
Chkrootkit:
Denne typen skadelig programvare kan holde seg på systemet ditt i lang tid uten at brukeren engang legger merke til, og det kan forårsake noen alvorlige skader, ettersom rootkit er oppdaget at det ikke er noen annen måte, men å installere hele systemet på nytt, og noen ganger kan det til og med forårsake maskinvarefeil.
Heldigvis er det noen verktøy som hjelper til med å oppdage en rekke kjente rootkits på Linux -systemer som Lynis, Clam Av, LMD (Linux Malware Detect). Du kan sjekke systemet ditt for kjente rootkits ved å bruke kommandoene nedenfor:
Først av alt må vi installere Chkrootkit ved å bruke kommandoen:
ubuntu@ubuntu: ~ $ sudo apt install chkrootkit
Dette vil installere chkrootkit -verktøyet, og du kan bruke det til å sjekke for rootkits ved å bruke:
ubuntu@ubuntu: ~ $ sudo chkrootkitRootdir er '/'
Sjekker 'AMD' ... ikke funnet
Sjekker 'CHSH' ... ikke infisert
Sjekker 'Cron' ... ikke smittet
Sjekker 'crontab' ... ikke smittet
Kontroller 'Dato' ... ikke infisert
Sjekker 'du' ... ikke smittet
Sjekker 'Dirname' ... ikke smittet
Sjekker 'Su' ... ikke infisert
Sjekker 'ifconfig' ... ikke infisert
Sjekker 'inetd' ... ikke infisert
Sjekke 'inetdconf' ... ikke funnet
Sjekker 'identd' ... ikke funnet
Sjekker 'init' ... ikke infisert
Sjekker 'Killall' ... ikke smittet
Kontrollere 'pålogging' ... ikke infisert
Kontrollere 'LS' ... ikke infisert
Sjekker 'LSOF' ... ikke smittet
Sjekker 'passwd' ... ikke smittet
Sjekker 'Pidof' ... ikke infisert
Sjekker 'PS' ... ikke infisert
Sjekker 'Pstree' ... ikke smittet
Sjekke 'rpcinfo' ... ikke funnet
Sjekker 'rlogind' ... ikke funnet
Sjekke 'rshd' ... ikke funnet
Sjekker 'Slogin' ... ikke infisert
Sjekker 'sendmail' ... ikke funnet
Sjekke 'sshd' ... ikke funnet
Sjekker 'syslogd' ... ikke testet
Sjekker 'Aliens' ... ingen mistenkte filer
Søker etter Sniffer's logger, det kan ta en stund ... ingenting funnet
Søker etter rootkit hidrootkits standardfiler ... ingenting funnet
Søker etter Rootkit T0RNs standardfiler ... ingenting funnet
Søker etter T0RNs V8 -standardverdier ... ingenting funnet
Søker etter Rootkit Lion's standardfiler ... ingenting funnet
Søker etter rootkit Rsha's standardfiler ... ingenting funnet
Søker etter Rootkit Rh-Sharpe's standardfiler ... ingenting funnet
Søker etter Ambient's Rootkit (ARK) standardfiler og dirs ... ingenting funnet
Å søke etter mistenkelige filer og dirs, det kan ta en stund ..
Følgende mistenkelige filer og kataloger ble funnet:
/usr/lib/debug/.build-id/lib/moduler/5.3.0-45-generisk/VDSO/.build-id/lib/moduler/
5.3.0-46-generisk/VDSO/.build-id
/usr/lib/debug/.build-id/lib/moduler/5.3.0-45-generisk/VDSO/.build-id/lib/moduler/
5.3.0-46-generisk/VDSO/.build-id
Søker etter LPD -ormefiler og dirs ... ingenting funnet
Søker etter ramen ormefiler og dirs ... ingenting funnet
Søker etter galningsfiler og dirs ... ingenting funnet
Søker etter RK17 -filer og dirs ... ingenting funnet
CHKProc: Advarsel: Mulig LKM Trojan installert
chkdirs: ingenting oppdaget
Sjekke 'rexedcs' ... ikke funnet
Kontroller 'Sniffer' ... Lo: Ikke promisc og ingen pakkesnifferkontakter
VMNET1: Ikke promisc og ingen pakkesnifferakler
VMNET2: Ikke promisc og ingen pakkesniffersteder
VMNET8: Ikke promisc og ingen pakkesnifferkontakter
BNEP0: Packet Sniffer (/SBIN/DHCLIENT [432])
Sjekker 'W55808' ... ikke infisert
Sjekker 'WTED'… CHK WTMP: Ingenting slettet
Kontrollere 'Scalper' ... ikke infisert
Sjekker 'slapper' ... ikke infisert
Sjekker 'Z2' ... chk lastlog: ingenting slettet
Sjekk 'Chkutmp' ... TTY for følgende brukerprosess (ES) ble ikke funnet
i/var/run/UTMP !
! Ruid pid tty cmd
! 101 0 ES = V8_CONTEXT_SNAPSHOT_DATA: 100, V8101-MSTEAMS-PROCESS-TYPE = NotificationSManager
! Ess-type = pluginhost 0 ta: 100, v8_natives_data: 101
! ROOT 3936 PTS/0/BIN/SH/USR/SBIN/CHKROOTKIT
! rot 4668 punkter/0 ./chkutmp
! ROOT 4670 PTS/0 PS AXK TTY, RUSER, ARGS -O TTY, PID, bruker, args
! root 4669 pts/0 sh -c ps axk "tty, ruser, args" -o "tty, pid, bruker, args"
! ROOT 3934 PTS/0 SUDO CHKROOTKIT
! Usman 3891 pts/0 bash
chkutmp: ingenting slettet
Chkrootkit -programmet er et skallskript som sjekker systembinærene i systemveien for ondsinnet modifisering. Det inkluderer også noen programmer som sjekker forskjellige sikkerhetsproblemer. I det ovennevnte tilfellet sjekket det for et tegn på rootkit på systemet og fant ingen, vel, det er et godt tegn.
RKHUNTER (Rootkithunter):
Nok et fantastisk verktøy for å jakte på en rekke rootkits og lokale utnyttelser i et operativsystem er RKHUNTER.
Først av alt må vi installere RKHUNTER ved å bruke kommandoen:
ubuntu@ubuntu: ~ $ sudo apt install rkhunter
Dette vil installere Rkhunter -verktøyet, og du kan bruke det til å sjekke for Rootkits ved å bruke:
ubuntu@ubuntu: ~ $ sudo rkhunter --check | rootkitsSjekk for rootkits ..
Utføre sjekk av kjente rootkit -filer og kataloger
55808 Trojan - Variant A [ikke funnet]
Adm orm [ikke funnet]
Ajakit rootkit [ikke funnet]
Elsker rootkit [ikke funnet]
APA Kit [ikke funnet]
Apache Worm [ikke funnet]
Ambient (ark) rootkit [ikke funnet]
Balaur rootkit [ikke funnet]
Beastkit rootkit [ikke funnet]
bex2 rootkit [ikke funnet]
Bobkit rootkit [ikke funnet]
CB rootkit [ikke funnet]
Cinik Worm (slapper.B variant) [ikke funnet]
Danny-Boys overgrepssett [ikke funnet]
Devil rootkit [ikke funnet]
Diamorphine LKM [ikke funnet]
DICA-KIT ROOTKIT [ikke funnet]
Drømmer rootkit [ikke funnet]
Duarawkz rootkit [ikke funnet]
Ebury Backdoor [ikke funnet]
Enye LKM [ikke funnet]
Flea Linux Rootkit [ikke funnet]
Fu rootkit [ikke funnet]
Fuck'it rootkit [ikke funnet]
Gaskit rootkit [ikke funnet]
Heroin LKM [ikke funnet]
HJC Kit [ikke funnet]
Ignokit rootkit [ikke funnet]
BERSONIA-NG ROOTKIT [ikke funnet]
Irix rootkit [ikke funnet]
Jynx rootkit [ikke funnet]
Jynx2 rootkit [ikke funnet]
Kbeast rootkit [ikke funnet]
Kitko Rootkit [ikke funnet]
Knark rootkit [ikke funnet]
Ld-Linuxv.så rootkit [ikke funnet]
Li0n orm [ikke funnet]
Lockit / LJK2 rootkit [ikke funnet]
MOKES Bakdør [ikke funnet]
MOOD-nt rootkit [ikke funnet]
Mrk rootkit [ikke funnet]
Ni0 rootkit [ikke funnet]
Ohhara rootkit [ikke funnet]
Optic Kit (TUX) Worm [ikke funnet]
Oz rootkit [ikke funnet]
Phalanx rootkit [ikke funnet]
Phalanx2 rootkit [ikke funnet]
Phalanx rootkit (utvidede tester) [ikke funnet]
Portacelo rootkit [ikke funnet]
R3D Storm Toolkit [ikke funnet]
Rh-Sharpe's Rootkit [ikke funnet]
Rsha's rootkit [ikke funnet]
Skalperorm [ikke funnet]
SEBEK LKM [ikke funnet]
Shutdown rootkit [ikke funnet]
Shv4 rootkit [ikke funnet]
Shv5 rootkit [ikke funnet]
Sin Rootkit [ikke funnet]
Slapper orm [ikke funnet]
Sneakin rootkit [ikke funnet]
'Spansk' rootkit [ikke funnet]
Suger rootkit [ikke funnet]
Superkit rootkit [ikke funnet]
TBD (Telnet bakdør) [ikke funnet]
Telekit rootkit [ikke funnet]
T0rn rootkit [ikke funnet]
trnkit rootkit [ikke funnet]
Trojanit Kit [ikke funnet]
Tuxtendo rootkit [ikke funnet]
Urk rootkit [ikke funnet]
Vampire rootkit [ikke funnet]
Vckit rootkit [ikke funnet]
Volc rootkit [ikke funnet]
Xzibit rootkit [ikke funnet]
Zarwt.Kit rootkit [ikke funnet]
ZK rootkit [ikke funnet]
Dette vil se etter et stort antall kjente rootkits i systemet ditt. For å se etter systemkommandoer og alle typer ondsinnede filer i systemet ditt, skriv inn følgende kommando:
ubuntu@ubuntu: ~ $ sudo rkhunter - -c -aktivert all --table ingen
Hvis det oppstår en feil, kommenter feillinjene i /etc /rkhunter.Conf -fil og den vil fungere jevnt.
Konklusjon:
Rootkits kan gjøre noen alvorlige irreversible skade på operativsystemet. Den inneholder en rekke ondsinnede verktøy som KeyLoggers, Banking Credential Stealers, Password Stealers, Antivirus Disablers eller Bots for DDoS Attack, etc. Programvaren forblir skjult i et datasystem og fortsetter å gjøre sitt arbeid for en angriper, da han kan få tilgang til offerets system. Vår prioritet etter å ha oppdaget en rootkit bør være å endre alle systemets passord. Du kan lappe alle de svake koblingene, men det beste er å tørke og formatere stasjonen helt, da du aldri vet hva som fremdeles er inne i systemet.