רוטקיט מניפולציה לוינדוס


עשיתי סריקה לרוטקיט וגיליתי כמה,
האם תוכל להסביר מה זה רוטקיט?
האם ישנה דרך להפטר ממנו, והאם ניתן להתגונן בפניו?

רוטקיט, למי שלא מכיר עדיין, הוא נושא מרתק! למעשה אין יותר מרתק ממנו כשמדובר
בתוכנות ריגול והסיבה היא שהטכנולוגיה שרוטקיט משתמש בה היא מחוכמת ביותר.

"מר" רוטקיט יודע להסתיר קבצים, רשומות רג'יסטרי ואת התקשורת שהוא מבצע לאינטרנט
ע"י כך שהוא משתלט על הבקשות הבאות ממערכת ההפעלה ומחבל בפקודות אשר מנסות לאתר אותו
(intercepts common API calls).אפרופו מערכת ההפעלה ויסטה מחוסנת הרבה יותר מ- xp
כשמדובר ברוטקיט.

המטרה של הרוטקיט הזדוני היא להוריד מהאינטרנט קוד שיאפשר
להאקר גישה עם זכויות מלאות למערכת ההפעלה שלנו וכל זאת מבלי שיהיה לנו מושג שהוא קיים,
לכן סינון אפליקציות ב-Startup לא כל כך יעזור במקרה כזה.

איך הוא עושה את זה
? איך נפטרים מצרה שכזאת ועוד, בהמשך הכתבה ->

911-Help needed
פעולות להסרת רוטקיט: בדרך כלל נחשוד שיש לנו רוטקיט על המערכת כאשר המחשב יתחיל
להגיב בצורה מוזרה, בעיות עם דרייברים והתקני חומרה מצביעות על אותם סימפטומים של
הדבקות ברוטקיט.

  1. סריקת המערכת לרוטקיט- נבצע סריקה כדי לבדוק באם קיים לנו רוטקיט במערכת
    (חוויה מרתקת).
  2. הוראות הסרה-באם תוכנות האנטי-רוטקיט מניבות תוצאות חיוביות, נאסוף פרטים
    על אותם רוטקיטים שנתגלו ונחפש הוראות הסרה.
  3. להתבונן על מערכת ההפעלה מלמעלה- נעלה מ Live-CD ונבצע את פעולות
    ההסרה משם.
  4. פירמוט והתקנה מחדש- למשתמשים בסיסים אני ממליץ לפרמט את המחשב ולהתקין מחדש.
  5. התגוננות-כלי הימנעות מהדבקות ברוטקיט.

כלי סריקה
חיפוש פרוססים, דרייברים, חבויים במערכת
.

קחו בחשבון שבדומה לתוכנות האנטיוירוס והפיירוול גם תוכנות האנטי-רוטקיט מציגות תוצאות
false positives כלומר, נתגלה פרוסס חבוי במערכת kernel-level hooks,
אך זה לא בהכרח רוטקיט. לאלו שלא בטוחים אני ממליץ להתחיל עם ProcessExplorer
כדי לבחון את תגובות המערכת.

  1. Sophos Anti-Rootkit-אנטי רוטקיט אשר דורש התקנה.
  2. Panda Anti-Rootkit-הורדה והפעלה (ללא התקנה ), מדריך.
  3. RootkitRevealer- סורק הרוטקיט של מרק רוסונוביץ.
  4. Malicious Software Removal Tool- מגלה ספייוור ורוטקיט (הרבה false-positives).
  5. Avira Rootkit Detection- חלק מחבילת האנטי וירוס החינמי של Avira

האם תוכנות להסרת רוטקיט מספיקות כדי לעשות את העבודה?

שלא בדומה לתוכנות אנטי וירוס אשר מבצעות סריקה למערכת ולאחר מכן מסירות את הטפילים,
כלי האנטי-רוטקיט מבצעים סריקה ומפנים אותנו לפתרון אשר מצוי באתרים חיצונים.
לאחרונה הכלים מציעים גם פתרון ניקוי אך אני בספק מהי היעילות של פעולה כזו?

-חשוב להיזהר מלהתקין אנטי רוטקיט מזויף, שהוא בעצם רוטקיט זדוני!

על מנת לגלות את הרוטקיט, תוכנות הסריקה רצות על מערכת ההפעלה באופן חשאי,
ומשתמשות בטקטיקות שונות לאיתורם, למשל, במקום לסרוק את הריגסטרי, הן מצלמות אותו
ולאחר מכן משוות רשומה, רשומה מול ה- API של וינדוס, מה שאמור להיות נסתר מהראדר
של הרוטקיט.

שורה תחתונה
רוטקיט הוא שקרן גדול, לא נוכל אף פעם להיות בטוחים שהרוטקיט
לא קיים במערכת.
הבעיה שהרוטקיט של היום הוא לא הרוטקיט שלפני שנה, כותבי הרוטקיט מודעים לקיומם של
תוכנות האנטי-רוטקיט לקחו בחשבון שיבוצעו ניסיונות לאתר אותם.
הרוטקיט של היום הרבה יותר מתוחכם, הוא יודע להסתנן לדרייברים של רכיבי החומרה במחשב
(מעבד, כרטיסים, firmware
), ולשכון שם מבלי שיבחינו בו.
לכן לא קיימת תוכנת אנטי-רוטקיט מושלמת אך למזלנו לא קיים גם רוטקיט מושלם.

להתבונן על מערכת ההפעלה מלמעלה.

תוכנות כגון אנטי ווירוס, ופיירוול מכניסות את עצמם שכבה אחת לפני מערכת ההפעלה
אותה שכבה ש
רוט-קיט שוכן, כאשר הסביבה הזו מקנה להם להתבונן על פעולות המערכת
מלמעלה כך שהם יכולות לבצע מניפולציות שונות על מערכת ההפעלה מבלי שנבחין.
רוטקיט כשלעצמו הוא לא וירוס או תוכנת ריגול אלא טכנולוגיה שבה משתמשים על מנת
להסתיר תוכנות על מערכת ההפעלה, מניפולציה לוינדוס.

דוגמה של ניצול לרעה של רוטקיט:
תוכנות רבות משתמשות בטכנולוגית הרטוקיט על מנת ליצור מנגנון רישוי לתוכנה שלהם.
הבעיה בכל הסיפור היא שמשתמשים לא אוהבים שמרגלים אחריהם ומחשיבים את זה כניצול רע
של התוכנה
. הסיפור המופרסם ביותר הוא על Sony, החברה שחררה דיסק מוזיקה שבתוכו הסתתר לו
רוטקיט זדוני אשר לא איפשר שכפולים והעתקות של הדיסק.
ראה גם: רשימה עדכנית של רוטקיט זדוניים.

במידה ושוכן לו רוטקיט על מערכת ההפעלה (דבר ראשון נבטל את ה- system restore),
לא נצליח לאתר אותו ע"י מנהל המשימות או ע"י סיור בקבצים של וינדוס, במילים אחרות-
הרוטקיט רץ מתחת לראדר של מערכת ההפעלה (
hidden threats) החלק המעניין ביותר הוא,
איך הוא עושה את זה?


תוכנות אלו מתלבשות על שכבה שלפני מערכת ההפעלה כך שהיישומים הרצים במחשב לא מודעים
לקיומם
, אחרת לא הייתה שום משמעות לתוכנות כמו פיירוול או אנטי ווירוס.

היתרון הגדול של כלי ה-Root-Kit, שהוא יודע לשקר ליישומים אשר מחפשים אותו.
לדוגמה, כשאנחנו מחפשים קובץ מסוים על המחשב (Ctrl+F) נשלחת פקודה ע"י מערכת ההפעלה
לחפש קובץ, קובץ, עד שהיא תאתר את הקובץ המבוקש, זה מתבצע ע"י מנגנון "מצא ראשון, מצא שני".
כלומר, "find first , find next", מערכת ההפעלה נוגעת בסקטור על הדיסק ושואלת האם הקובץ
שאני מחפשת מצוי אצלך? התשובה יכולה להיות, כן בבקשה, קבלי או תמשיכי הלאה,
אני לא יודע על מה את מדברת!

-האזנה לפודקאסט-רוטקיט.

Live-CD מאפשר להתבונן על מערכת ההפעלה מלמעלה מבלי שהיא תבחין שאנחנו קיימים
ובכך לאתר ולהסיר את הקבצים החשודים במחשב.

הכנת Live-CD היא הדרך היחידה להיפטר מתוכנות ריגול מהסוג המתקדם, וירוסים אכזריים
במיוחד
ורוטקיט (root-kit).

המטרה המרכזית בלהכין דיסק Live-CD היא כדי להציל את מערכת ההפעלה
ממקרי כשל שונים, נושא "איתור של תוכנות ריגול כגון רות-קיט" היא פונקציה נוספת שנוכל לנצל
כאשר נכין Live-cd



כלי הימנעות
מהדבקות ברוטקיט:

  1. Processguard
    מאפשר הגנה בפני תוכנות ריגול פולשניות במיוחד ע"י מניעת
    process injection
  2. Hypersight Rootkit Detector
    מגן על מערכת ההפעלה ברמות הנמוכות ביותר.
  3. Online Armor- פיירוול המאפשר הגנה מקיפה על מערכת ההפעלה ודואג שיישומים זדונים
    לא ירוצו על המערכת.


סורקי אנטי רוטקיט נוספים

  1. Catchme- בדיקה לכל סוגי הרוטקיט מ- kernel mode rootkits.
  2. GMER- שייך לאותה משפחה כמו catchme עובד על xp וויסטה.
    כדי להסיר רוטקיט שנמצע על המערכת, קליק ימני, מחק.
  3. Helios- מזהה סוגים רבים של רוטקיט, כולל kernel mode rootkits (וידאו).
  4. Hook Analyzer -מחפש "הוקים" במערכת ("הוקיים" נחשבים הקשים ביותר לאיתור).


קישורים נוספים
תוכניות פודקאסט מבית Security Now המסבירים לעומק את נושא הרוטקיט:

  1. Security Now! Episode Episode 9
  2. Security Now! Episode Episode 12
  3. Security Now! Episode Episode 127

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

תודה רבה, כתבה מעניינת מאוד.

התחלתי עם ProcessExplorer
כדי לבחון את תגובות המערכת.

הופיעה לי רשימה עם שורות בצבעי ורוד סגול וכחול
רובם וורודים
אבל מה זה אומר?

מה עוד עושים עם התוכנה הזאת?

יאיר,
התוכנה מציגה את הפרוססים שרצים על מערכת ההפעלה, אתה אמור לבדוק את הפרוססים שאתה לא מכיר ולחסל אותם.
מבידה ואתה לא שולט בפרוססים, ישנה תוכנה במאמר שפרסמתי היום- עזרים חכמים לוינדוס. שמוסיפה איקון אינפורמציה ליד כל פרוסס.

כדי לבחון את תגובות המערכת, הייתי מתחיל דווקא עם המאמר "המדריך המהיר לשיפור ביצועי המחשב".

הראל

תודה
בקשר ל" המדריך המהיר לשיפור ביצועי המחשב" נראה לי שאני לא צריך כי תודה לאל ביצועי המחשב שלי טובים HP630 מחשב בן שבוע
אז אין לי כרגע מה לשפר
אני רק רוצה להיות רגוע שלא נכנסו לי למחשב כל מיני זבים ומצורעים שאני לא רוצה שיתחברו אלי.

זה עד כאן

מה עלי לעשות בקצרה ובקטנה על קצה המזלג? ובלי להכנס לקריאות חומר וחפירות של שמונים קליקים לדקה ואישור וכו'
אני רק רוצהלעשות במחשב את מה שאני צריך באמת לעשות.
ואם אפשר להיות גם רגוע מאיומי רוטקיט כאלו

אתה בטח מבין אותי

מה אתה מציע לי?
תודה

שלום,

ניתן בסוף המאמר קישור אל האתר שבו החדשות האחרונות בעניני רוטקיט,עכשיו הם מציעים תוכנה להורדה שם שנגד רוטקיט..

אך אני שואל האם ניתן לסמוך על אתר זה..ולהוריד בביטחה את התוכנה הזו??

יואב,
לא! אל תסמוך על התוכנה באתר זה אלא בתוכנות שציינתי בתחילת המאמר.

הראל

מדוע לא לסמוך על התוכנות באתר זה??

סרקתי אגב ואני רואה שאין וירוס אחד בתוכנה..

http://www.virustotal.com/analisis/7e01b3da8b844c45b69ce1f3615fc0350d26c56b93afe82e2f1756a318266011-1245583780

http://virusscan.jotti.org/en/scanresult/21ecfa898cb9057ddbccf055615790dfe3b9a4b9

יואב,
אכן עשית בחוכמה שסרקת את הקובץ עם VirusTotal
אך לפי בדיקות שונות שנעשו ע"י WOT על מצב הפרטיות באתר rootkit.com,
הדירוג שלו נמוך ואף נחשב מסוכן. לעומת זאת הוא נמצא נקי ע"י unmaskparasites
בכל אופן, הקישור לאתר rootkit.com הוסר מהכתבה!
מה שם תוכנת האנטירוטקיד שהורדת, האם מדובר ב Kernel Detective?
שים לב שישנן גרסאות מלאות בקוד זדוני (virustotal) ולכן טוב שביצעת את הסריקה לפני!

הראל

קודם כל תודה רבה על עזרתך!!,

אכן הורדתי את התוכנה הזו Kernel Detective וגם סרקתי אותה..

פעלתי בהתחלה את התוכנה על Returnil וראיתי שהיא אינה גורמת לשום בעיה במחשב,לכן הפעלתי אותה גם כרגיל,אך אני רוצה להיות בטוח שאכן התוכנה נקיה..

תודה רבה על עזרתך לי,

הראל,
קודם כל אני חייב להגיד לך שכמו עוד הרבה כתבות פה, מאוד נהנתי לקרוא.
חיפשתי חודשים ארוכים אחר מידע בנושא.
האם אתה חושב שפיתרון לניקיון מוחלט של המערכת יכול להיות מורכב מ:
תיקון לכל רכיב במערכת שעשוי להחיל רוטקיט, בן אם נמצא כזה או לא.
+ פירמוט רגיל של הדיסק הקשיח?

דבר שני שמתי לב שהרבה תוכנות פה, הם פחות מוכרות.
הכוונה פירוול ואנטי וירוס שהומלצו פה, פעם ראשונה ששמעתי את השמות האלה. אולי המקום לחלק הזה אולי המקום של החןלק הזה של התגובה הוא במקום אחר, אבל מה דעתך על נורטון 2010 לדוגמא?
איך זון אלרם בתור פירוואל חינמי?

דבר נוסף,
הורדתי את התוכנה GMER שהציגה לי חמש תהליכים אך לא אפשרה לי למחוק אף אחד מהם.
מה אני עושה עם זה?

נדב,
במאמר זה מוצעות תוכנות אנטי-רוטקיט ולא פיירוול או אנטיווירוס,
וזאת כנראה הסיבה שאתה לא מכיר אותן.
לשם כך, אני ממליץ לך לעבור על הכתבות: אנטיווירוס לווינדוס ואוסף תוכנות אבטחה\.

בנוגע לאנטירוטקיט, מסתבר ש Gmer לא חינמית לחלוטין, נסה את RootkitRevealer.

בקשר לניקיון המחשב. ובכן, פירמוט בהחלט יעשה את העבודה.
משתמשים שנואשים לנסות ולנקות מערכת המפוצצת בקוד זדוני, יכולים לנסות את Combofix ו SmitfraudFix.

הראל

השארת תגובה

(חובה)

(חובה)