Što su to rootkiti?

Rootkiti su posebna grupa mailicioznih programa ili, preciznije rečeno, to su programi čija je namjena skrivanje drugih malicioznih programa (npr. virusa, spyware-a, trojanskih konja) od korisnika. Cilj rootkita najčešće je preuzimanje kontrole nad računalom uz istovremo skrivanje datoteka, procesa, zapisa u registrima pomoću kojih se navedeno preuzimanje kontrole ostvaruje. Spomenutim tehnikama „skrivanja“ od korisnika, maliciozni programi na taj način ostaju nevidljivi i neuklonjivi antivirusnim programima, blokatorima spyware-a i sl.

Iako pojam rootkit originalno potječe iz Unix svijeta, danas postoje rootkiti za sve vrste operativnih sustava uključujući Microsoft Windows sustave, Linux, Solaris i druge. Naime, rootkiti često funkcioniraju na način da mijenjaju dijelove operativnih sustava ili se pak instaliraju kao driveri.

Treba istaknuti da prvenstveno radi obrane od raznih malicioznih programa poput rootkita, novi Microsoft-ov operativni sustav, Windows Vista, ima ugrađenu novu i bolju kontrolu korisničkih računa (engl. User Account Control). Navedena kontrola zahtijeva da se većina uobičajenih operacija na računalu izvodi pod standardnim korisničkim računom (Standard User Mode), dok se ovlasti Administrator korisničkog računa traže i koriste samo i jedino kada je to nužno potrebno (npr. prilikom instalacije novih programa na računalo).


Kako rade rootkiti?

Rootkiti nemaju osobine samoumnažanja i samoizvršavanja poput virusa i crva. Umjesto toga, napadači najčešće uočavaju i iskorištavaju trenutne ranjivosti operativnog sistema (npr. otvorene pristupe, računala bez sigurnosnih nadogradnji ili sa slabim administratorskim lozinkama) kako bi dobili pristup računalu. Jednom kada je pristup osiguran, napadač ručno instalira rootkit. Takvu vrstu „skrivenog“ napada vrlo često teško otkrivaju firewall-i te antivirusni i antispyware programi za zaštitu računala. Osim navedenog načina, rootkit se može proširiti i peer-to-peer mrežom, zatim email porukama s malicioznim privitcima ili URL adresama koje vode na malicioznu web stranicu te sličnim metodama socijalnog inženjeringa tipičnim za širenje virusa.

Kao što je već rečeno, jednom instalirani rootkit koristi se za skrivanje raznih malicioznih programa. Najčešća primjena je skrivanje trojanskih konja, programa koji stvaraju tzv. „stražnja vrata“ (engl. backdoor) pomoću kojih napadač u potpunosti kontrolira zaraženo računalo. Kontrolirano računalo (popularno: zombie) se potom koristi za razne abuse radnje poput Dos napada, spam napada i sl. Nadalje, rootkiti se često koriste i za otkrivanje kombinacija korisničkih imena i lozinki potrebnih za pristup web stranicama što ih čini vrlo opasnima za neopreznog korisnika.


Kategorije rootkita

Nekoliko je kategorija rootkita ovisno o tome da li se izvršavaju u korisničkom načinu (engl. user mode) ili jezgrenom načinu (engl. kernel mode) te da li ostaju u računalu i nakon ponovnog pokretanja:

Persistent Rootkits
Ova kategorija rootkita je trajne prirode i aktiviraju se prilikom svakog novog pokretanja računala. S obzirom na tu karakteristiku, izvršni kod takvih programa mora biti trajno pohranjen – najčešće u Registry-u ili datotečnom sustavu.
Memory-Based Rootkits
Za razliku od prije navedene, ova kategorija rootkita nastanjuje se u radnoj memoriji računala i time ne može opstati nakon njegovog ponovnog pokretanja.

User-mode Rootkits
Ova kategorija rootkita skriva se od korisnika presijecanjem funkcija za pretraživanje datotečnog sustava (koriste ih Windows Explorer/command prompt). Dakle prilikom korisničkog pretraživanja direktorija i ispisa datoteka, rootkiti mijenjaju konačan ispis na način da izostave sve podatke vezanje uz njih same.
Kernel-mode Rootkits
Navedena kategorija još je moćnija od prethodno navedene, jer osim presijecanja odgovora jezgre operacijskog sustava, oni čak mogu mijenjati neke podatkovne strukture same jezgre. Primjerice, tipičan način njihova skrivanja od korisnika je brisanje vlastitih procesa iz ukupne liste aktivnih procesa. Na taj način kroz Task Manager rootkit procesi neće biti vidljivi niti korisniku niti većini antivirusnih i antispyware alata.


Zaštita od rootkita

Prevencija od rootkita identična je prevenciji od većine malicioznih programa. Preporuča se korištenje i redovno ažuiranje antivirusnog i antispyware programa, redovno ažuriranje operativnog sustava, korištenje firewall-a te odabir jakih lozinki (npr. korištenjem brojki, slova različite veličine i specijalnih znakova). Također, već spomenuto korištenje korisničkog računa bez administrativnih ovlasti svakako će umanjiti rizik.

S obzirom da neka su neka istraživanja pokazala kako 20% ukupnih infekcija na MS Windowsima SP2 drže upravo rootkiti, Microsoft se odlučio ozbiljno pozabaviti problemom. N


Kako ukloniti rootkit?

Nažalost, sama identifikacija rootkita zbog njihovog načina rada ponekad je vrlo teška i ne postoji „kuharica“ za otkrivanje ove vrste malicioznih programa. No mjesta za sumnju ima ukoliko se računalo neobično ponaša usprkos ažuriranom antivirusnom i antispyware programu. Neobično ponašanje odnosi se na rušenje i smrzavanje sustava, netipično ponašanje raznih programa (pa čak i antivirusnih), netipično korištenje mrežnih resursa te pokretanje sumnjivih procesa prilikom ponovnog pokretanja računala.

Detekciju rootkita danas omogućuje velika količina dostupnih alata. Navedeni alati dijele se u više kategorija ovisno o načinu svog rada, a uspjeh u detekciji varira ovisno o vrsti rootkita koji je zarazio računalo. Jedan od popularnijih alata za detekciju je Rootkit Revealer, a alat F-Secure BlackLight nudi i otklanjanje. Popis ostalih dostupnih alata na tržištu dostupan je ovdje.

Ukoliko spomenuti alati ne pomažu, krajnje i najsigurnije rješenje je ponovna instalacija cijelog operativnog sustava uz opciju formatiranja cijelog tvrdog diska.

Izvor: tvz.hr