Was sind Rootkits? Funktionen, Typen und ihre Ebenen

Diejenigen, die Computerbenutzer nutzen möchten, träumen davon, auf die Computersysteme anderer zugreifen zu können, ohne entdeckt zu werden. Kombinieren Sie das mit erhöhten Berechtigungen und Sie werden die Fantasie eines echten Angreifers haben. Das ist wahrscheinlich der Grund, warum sich so viele Angreifer und Cyberkriminelle auf Rootkits verlassen, um ihre Träume zu verwirklichen.

Dieser Artikel wird detailliert beschreiben, was Rootkits sind, seine Komponenten, Ebenen von Rootkits, wie sich Rootkits verbreiten und was Rootkits auf einem Computersystem tun können, sowie einige der verschiedenen Arten von Rootkits, die heutzutage in Computersystemen zirkulieren. Diejenigen, die sich mit Unix nicht auskennen, erhalten auch eine kleine historische Perspektive auf den Namen.

Sie können auch lesen: Was ist Bloatware? Und wie man es beseitigt

Was sind Rootkits?

Diejenigen, die neu in Malware sind, kratzen sich wahrscheinlich am Kopf und fragen sich, was ein Rootkit ist und warum es wahrscheinlich einen Namen wie „Rootkit“ hat. Ein Rootkit ist eine Software, die zwei Funktionen hat– Privilegierten Zugriff gewähren und nicht erkannt werden. Nicht alle Rootkits sind Malware, aber dieser Artikel konzentriert sich auf diejenigen mit böswilliger Absicht.

Das Wort „RootKit“ stammt ursprünglich aus der Welt der Systeme ‚Unix‚, wobei root der Benutzer mit den meisten Zugriffsrechten auf das System ist‘. Während das Wort Kit das Kit definiert, das eine Reihe bösartiger Tools wie Keylogger, Diebe von Bankanmeldeinformationen, Kennwortdiebe, Antiviren-Deaktivatoren oder Bots für DDos-Angriffe usw. enthält. Wenn Sie beide zusammenfügen, erhalten Sie RootKit.

Die Rootkits sind eines der schlimmsten Dinge, die einem System passieren können und sie sind einer der gefährlichsten Angriffe, gefährlicher als die übliche Malware und Viren, sowohl wegen des Schadens, den sie dem System zufügen, als auch wegen der Schwierigkeit, sie zu finden und zu erkennen. Die Rootkits Sie können lange in Ihrem System bleiben ohne dass der Benutzer dies bemerkt und das System ernsthaft beschädigen kann.

Bekannt für den Diebstahl persönlicher Informationen

Sie sind so konzipiert, dass bleiben Sie verborgen und führen Sie böswillige Aktionen aus wie das Abfangen des Internetverkehrs, das Stehlen von Kreditkarten und Online-Banking-Informationen.

Mit Rootkits können Cyberkriminelle Ihr Computersystem mit vollem Administratorzugriff steuernAußerdem hilft es dem Angreifer, Ihre Tastenanschläge zu überwachen und Deaktivieren Ihrer Antivirensoftware, wodurch es noch einfacher wird, Ihre geheimen Informationen zu stehlen.

Arten von RootKits

Um die Arten von Rootkits richtig zu verstehen, müssen wir uns zunächst vorstellen das System als Kreis konzentrischer Ringe.

• Mitten drin, Es gibt einen Kern, der als Ring Null bekannt ist. Der Kernel verfügt über die höchsten Berechtigungen auf einem Computersystem. Sie haben Zugriff auf alle Informationen und können im System arbeiten, wie Sie möchten.
• Ring 1 und Ring 2 sind reserviert für weniger privilegierte Prozesse. Wenn dieser Ring fehlschlägt, sind nur diejenigen Prozesse betroffen, von denen Ring 3 abhängt.
• In Ring 3 wohnt der Benutzer. Es ist der Benutzermodus, der eine Zugriffshierarchie mit strengen Berechtigungen hat.

Grundsätzlich ist Eine Prozedur, die auf einem privilegierten Ring ausgeführt wird Ein höherer Wert kann die Vorteile verringern und in einem äußeren Ring ausgeführt werden. Dies kann jedoch ohne die eindeutige Zustimmung der Sicherheitsinstrumente des Frameworks nicht umgekehrt funktionieren.

In Situationen, in denen solche Sicherheitskomponenten aus dem Weg geräumt werden können, liegt eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen vor. Jetzt gibt es zwei weitere bekannte Arten von RootKits:

2 herausragendste RootKits-Typen

Grundsätzlich kann ein Verfahren, das in einem oberen privilegierten Ring ausgeführt wird, seine Vorteile verringern und in einem äußeren Ring ausgeführt werden. Dies kann jedoch ohne die eindeutige Zustimmung der Sicherheitsinstrumente des Frameworks nicht umgekehrt funktionieren.

In Situationen, in denen solche Sicherheitskomponenten aus dem Weg geräumt werden können, liegt eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen vor. Jetzt gibt es zwei weitere bekannte Arten von RootKits:

Rootkits im Benutzermodus:

Die Rootkits dieser Kategorie im Betriebssystem auf einer niedrigen Benutzer- oder Berechtigungsstufe arbeiten. Wie bereits erwähnt, sorgen Rootkits dafür, dass Hacker ihre Autorität über das System behalten, indem sie einen sekundären Durchgangskanal bereitstellen, das Rootkit im Benutzermodus.

Im Allgemeinen werden wichtige Anwendungen auf Benutzerebene auf diese Weise geändert, wodurch sich der Zugriff auf die Hintertür verbirgt. existieren verschiedene Rootkits dieses Typs für Windows und Linux.

RootKits im Linux-Benutzermodus:

Viele Linux-Rootkits im Benutzermodus sind heute verfügbar. beispielsweise:

• Fernzugriff auf den ZielcomputerAnmeldedienste wie ‚login‘, ’sshd‘ werden vom Rootkit so geändert, dass sie eine Hintertür enthalten. Angreifer können einfach durch Erreichen einer Hintertür auf die Maschine des Ziels zugreifen. Denken Sie daran, dass der Hacker die Maschine bereits in die Luft gesprengt hat und nur eine Hintertür hinzugefügt hat, um zu einem anderen Zeitpunkt wiederzukommen.
• P.So führen Sie den Angriff zur Eskalation von Berechtigungen durch. Der Angreifer ändert Befehle wie ’su‘, sudo so, dass er, wenn er diese Befehle über eine Hintertür verwendet, Zugriff auf Dienste auf Stammebene erhält.
• Um deine Anwesenheit zu verbergen während eines Angriffs
• Prozess versteckt: Es wurden mehrere Befehle geändert, die Daten zu Prozeduren anzeigen, die auf der Maschine ausgeführt werden, z. B. ‚ps‘, ‚pidof‘, ‚top‘, mit dem Ziel, dass die Angriffsprozedur nicht unter anderen ausgeführten Prozeduren registriert wird. Außerdem wird der Befehl „Alle töten“ normalerweise so geändert, dass der Hackerprozess nicht beendet werden kann, und die Reihenfolge „crontab“ wird geändert, sodass böswillige Prozesse zu einem bestimmten Zeitpunkt ausgeführt werden, ohne die Einstellungen von crontab zu ändern.
• Dateien ausblenden: verstecke seine Anwesenheit vor Befehlen wie ‚ls‘, ’search‘. Außerdem ist es vor dem Befehl ‚du‘ verborgen, der die Festplattennutzung eines von einem Angreifer ausgeführten Prozesses anzeigt.
• Versteckte Ereignisse: Verstecken Sie sich vor den Systemprotokollen, indem Sie die Datei ’syslog.d‘ so ändern, dass sie nicht in diesen Dateien angemeldet werden können.
• Versteckt im Netzwerk: Ausblenden von Befehlen wie ’netstat‘, ‚iftop‘, die aktive Verbindungen anzeigen. Befehle wie ‚ifconfig‘ werden ebenfalls geändert, um ihre Anwesenheit zu beseitigen.

Rootkits im Kernel-Modus:

Bevor Sie zu den Rootkits im Kernelmodus wechseln, müssen Sie zunächst Wir werden sehen, wie der Kernel funktioniert, wie es Anfragen behandelt. Mit dem Kernel können Anwendungen mit Hardwareressourcen ausgeführt werden.

Wie wir besprochen haben das Konzept der RingeRing 3-Anwendungen können nicht auf einen sichereren oder privilegierten Ring zugreifen, dh Ring 0, sie hängen von den Systemaufrufen ab, die sie mithilfe von Subsystembibliotheken verarbeiten. Der Fluss ist also ungefähr so:

Ein Angreifer ändert nun die Systemaufruftabelle mithilfe von insmod und ordnet dann böswillige Anweisungen zu. Dann wird bösartiger Kernel-Code eingefügt und der Fluss wird so sein:

Was wir jetzt sehen werden, ist So ändern Sie diese Systemaufruftabelle und wie bösartiger Code eingefügt werden kann.

• Kernelmodule: Der Linux-Kernel ist so konzipiert, dass er ein externes Kernelmodul lädt, um seine Funktionalität zu unterstützen und Code auf Kernelebene einzufügen. Diese Option bietet Angreifern einen großen Luxus, um schädlichen Code direkt in den Kernel einzufügen.
• Ändern der Kerneldatei: Wenn der Linux-Kernel nicht zum Laden externer Module konfiguriert ist, kann die Kerneldatei im Speicher oder auf der Festplatte geändert werden.
• Die KerndateiDas Speicherabbild auf der Festplatte ist / dev / kmem. Live-Laufcode im Kernel ist auch in dieser Datei vorhanden. Es ist nicht einmal ein Neustart erforderlich.
• Wenn der Speicher nicht geändert werden kannkann die Kerneldatei auf der Festplatte sein. Die Datei, die den Kernel auf der Festplatte enthält, ist vmlinuz. Diese Datei kann nur von root gelesen und geändert werden. Denken Sie daran, dass Sie in diesem Fall einen Neustart durchführen müssen, damit neuer Code ausgeführt werden kann. Um die Kernel-Datei zu ändern, müssen Sie nicht von Ring 3 zu Ring 0 wechseln. Sie benötigen nur Root-Berechtigungen.

Ein hervorragendes Beispiel für Kernel-Rootkits ist das SmartService-Rootkit. Verhindern Sie, dass Benutzer Antivirensoftware starten und dient somit als Leibwächter für alle anderen Malware und Viren. Es war bis Mitte 2017 ein bekanntermaßen verheerendes Rootkit.

Rootkit-Levels

Vor ein paar Sätzen bezog ich mich auf Rootkit-Levels. Was ich sagen wollte, ist die Ebene, auf der das Rootkit tatsächlich auf dem Computer ruht. Dann Eine Liste dieser Ebenen wird angezeigt. auf einer Skala zunehmender Privilegien:

• Stufe 3 – Anwendungen
• Stufe 2: Gerätetreiber
• Stufe 1: Gerätetreiber
• Level 0 – Kernel

Infektionen Auf diesen Ebenen nimmt der Schweregrad zu, bis sie die Kernel-Ebene erreichen, was einige vielleicht als den heiligen Gral der Rootkit-Levels betrachten. Sobald Level 0 erreicht ist, ist die Rootkit-Infektion am schwierigsten zu entfernen. Hinzu kommt, dass die meisten, wenn nicht alle Antivirenlösungen keinen vollständigen Zugriff auf Stufe 1 und darunter haben.

Wie Rootkits funktionieren

Malware hinterlässt verräterische Zeichen Ihrer Anwesenheit, einschließlich:

• Prozessgenerierung
• Vorhandensein seltsamer Begleitdateien
• Das Auftreten bestimmter verdächtiger Registrierungsschlüssel
• Änderungen in der CPU- und Speicherplatzauslastung

Ein Teil der Arbeit des Rootkits ist Überwachen Sie infizierte Computer auf diese verräterischen Anzeichen. Wenn sie auf dem infizierten Computer vorhanden sind, ändert das Rootkit die Teile des Computersystems, die diese Zeichen aufweisen, um die Malware für den Computerbenutzer unsichtbar zu halten.

Fazit

Die Rootkits kann das Betriebssystem ernsthaft irreversibel beschädigen. Es enthält eine Vielzahl von schädlichen Tools wie Keylogger, Stealer von Bankanmeldeinformationen, Stealer von Passwörtern, Antiviren-Deaktivatoren oder Bots für DDos-Angriffe usw.

Die Software bleibt in einem Computersystem verborgen und erledigt weiterhin ihre Arbeit für einen Angreifer, da sie remote auf das System des Opfers zugreifen kann. Unsere Priorität nach dem Erkennen eines Rootkits sollte darin bestehen, alle Kennwörter auf dem System zu ändern. Kann alle schwachen Glieder patchenEs ist jedoch am besten, das Laufwerk vollständig zu löschen und neu zu formatieren, da Sie nie wissen, was sich im System befindet.

Rootkits stellen zwei Dinge dar: eine Nebelwand für Angreifer, um dauerhafte Angriffskampagnen aufrechtzuerhalten, und einen Albtraum für den Computerbenutzer.. Diese Art von Malware verbirgt die Aktionen der Malware in den Augen der Vorgesetzten und kann Angreifern hohe Privilegien gewähren, um ihre Kampagnen zu fördern.

Trotz seiner Gefahr Rootkits sind nicht das Ende der Welt. Diejenigen, die über die Infektion besorgt sind, sollten ihre Sicherheit stärken und eine „paranoidere“ oder defensivere Haltung gegenüber Ihrer Aktivität am Computer einnehmen. Dies ist der beste Weg, um sicherzustellen, dass Ihr Computer nicht Rootkits zum Opfer fällt und zu einer weiteren Statistik über Cyberkriminalität wird.

Sie können auch lesen: So erzielen Sie mehr Leistung vom Prozessor