Rootkit или руткит (от англ. root kit, „набор от средства за получаване на пълни права на администратор – root права“) – (малуер) представлява зловреден код, който се разпространява като инфекция чрез мрежи за обмен на данни от типа „равен към равен“ (peer-to-peer) или от повредени уебсайтове, които са инфектирани с такъв зловреден код.

Обикновено този тип малуер работи с някаква технология за покриване, което прави неговото откриване и отстраняване значително усложнено. Руткитът е проектиран да скрива съществуването на определени процеси и програми от нормалните методи за детектиране на процеси в системата, като разрешава на противника (хипотетичен математически алгоритъм за тестване на информационни системи за киберсигурност) продължителен привилегирован достъп до дадена компютърна система или информационна среда.

Руткитът може да се разпространява също от Tor сървъри, които са инфектирани резидентно в мрежата и активират малуера при констатиране на кибернередности като например нарушени авторски права, пиратско съдържание и други. Някои от разновидностите на руткитовете работят със стелт технология, което прави тяхното откриване и отстраняване изключително трудно.

ПроизходРедактиране

Терминът произлиза от UNIX средите, където потребителят с най-големите права, аналогичен на „Администратор“ в Windows, се нарича „root“. Там са били разработени първите набори такива програми, които хакерът е инсталирал след първоначалното проникване в системата. Освен да дават достъп на хакера като root (суперпотребител), тези набори се грижат за укриване на собственото си съществуване и действия. Освен като отделни програми руткитът може да е във вид на злонамерено променени програмни файлове на системата, с които са подменени оригиналните ѝ. Към руткита влизат и останалите хакерски програми, работещи на превзетия компютър – снифъри, скенери, троянски коне. Обикновено изпълнението на такива програми на чуждия компютър е целта на превземането.

ДействиеРедактиране

В операционната система Windows под Rootkit се разбира внедрена в системата програма, която прихваща системните функции. Така достатъчно качествено маскира присъствието им в системата. Работещият руткит прави невидими някои процеси и услуги, както и файлове, и цели директории по диска. Някои Rootkit качват в системата свои драйвери и услуги (services), като естествено и това е невидимо.

В UNIX/Linux rootkit-ът обикновено е комплект от системни програми, модифицирани така, че да скриват присъствието на натрапника и модули за ядрото на операционната система, целящи същото.

Добре работещият руткит може да бъде неоткриваем. Той не оставя следи по логовете. Показва фалшифицирани конфигурационни файлове и/или ключове в регистратурата, от които не личи неговото стартиране. Показва фалшиви данни за работещите процеси и натоварването на процесора. Не дава да се видят, променят или трият неговите файлове. Накратко: работещият на този компютър вижда не истинското положение, а това, което му показва руткитът. За работещ руткит може да възникне съмнение само по усет – „тази система не е натоварена, а работи бавно“ или по логове на мрежовата активност на засегнатия компютър, но направени от друг компютър, за да се избегне вероятността руткитът да фалшифицира и тях.

През септември 2018 г. беше засечен първият случай на кибератака с руткит, който атакува UEFI на компютъра. Предполага се, че собственик на руткита е хакерската група Sednit, за която се твърди, че има връзки с руското разузнаване.[1]

От Rootkit се възползват не само хакери. Например Sony BMG използваше такъв за защита на музикални дискове с авторски права. Руткитът се качва без знанието (да не говорим за съгласието!) на потребителя, ако той ползва функцията AUTORUN на Windows.

Откриване и премахванеРедактиране

Съществуват инструменти както за UNIX и UNIX-подобните операционни системи, така и за версиите на Microsoft Windows, предназначени за откриване и премахване на руткитове. Два от най-популярните такива инструменти са chkrootkit за UNIX, RootkitRevealer и Gmer за Windows.

ИзточнициРедактиране