Rootkit kompüter proqramlarının toplusudur, adətən zərərli, kompüterə və ya onun proqram təminatının başqa cür icazə verilməyən sahəsinə (məsələn, icazəsiz istifadəçiyə) girişi təmin etmək üçün nəzərdə tutulmuşdur və çox vaxt onun mövcudluğunu və ya digər proqram təminatının mövcudluğunu gizlədir. Rootkit termini "root"— "kök" (Unix kimi əməliyyat sistemlərində imtiyazlı hesabın ənənəvi adı) və "kit" sözünün (aləti həyata keçirən proqram komponentlərinə aiddir) birləşməsidir. "Rootkit" termini zərərli proqram təminatı ilə əlaqəsi sayəsində mənfi mənalara malikdir.
Rootkit quraşdırılması avtomatlaşdırıla bilər və ya təcavüzkar root və ya administrator girişi əldə etdikdən sonra onu quraşdıra bilər. Bu girişin əldə edilməsi sistemə birbaşa hücumun nəticəsidir, yəni zəiflikdən (məsələn, imtiyazların artırılması) və ya paroldan (krekinq və ya "fişinq" kimi sosial mühəndislik taktikaları ilə əldə edilir) istifadə edilir. Quraşdırıldıqdan sonra müdaxiləni gizlətmək və imtiyazlı girişi saxlamaq mümkün olur. Sistem üzərində tam nəzarət o deməkdir ki, mövcud proqram təminatı dəyişdirilə bilər, o cümlədən onu aşkar etmək və ya onun qarşısını almaq üçün istifadə oluna bilən proqram təminatı.
Rootkit aşkarlanması çətindir, çünki bir rootkit onu tapmaq üçün nəzərdə tutulmuş proqramı alt-üst edə bilər. Aşkarlama metodlarına alternativ və etibarlı əməliyyat sistemindən istifadə, davranışa əsaslanan metodlar, imza skanı, fərqlərin skan edilməsi və yaddaş boşaltma təhlili daxildir. Silinmə mürəkkəb və ya praktiki olaraq qeyri-mümkün ola bilər, xüsusən də rootkitin nüvədə yerləşdiyi hallarda; əməliyyat sisteminin yenidən qurulması problemin yeganə həlli ola bilər. Firmware rootkitləri ilə işləyərkən silinmə aparatın dəyişdirilməsi və ya xüsusi avadanlıq tələb oluna bilər.
İstifadə edilir
Müasir rootkitlər girişi artırmır, əksinə, gizli imkanlar əlavə etməklə başqa bir proqram yükünü aşkar edilə bilməyən etmək üçün istifadə olunur. Əksər rootkitlər zərərli proqram kimi təsnif edilir, çünki onların birləşdiyi faydalı yüklər zərərlidir. Məsələn, faydalı yük istifadəçi parollarını, kredit kartı məlumatlarını, hesablama resurslarını gizli şəkildə oğurlaya bilər və ya digər icazəsiz fəaliyyətlər həyata keçirə bilər. Az sayda rootkit istifadəçiləri tərəfindən kommunal proqramlar hesab edilə bilər: məsələn, bir rootkit CD-ROM-emulyasiya sürücüsünü gizlədə bilər ki, bu da videooyun istifadəçilərinə pirat əleyhinə mübarizəni məğlub etməyə imkan verir. Proqram təminatının qanuni şəkildə satın alındığını yoxlamaq üçün orijinal quraşdırma mediasının fiziki optik sürücüyə daxil edilməsini tələb edən tədbirlər.
Rootkitlərin və onların faydalı yüklərinin bir çox istifadəsi var:
- Təcavüzkarı arxa qapı (backdoor) vasitəsilə tam girişlə təmin edin, məsələn, sənədləri oğurlamaq və ya saxtalaşdırmaq üçün icazəsiz girişə icazə verin. Bunu həyata keçirməyin yollarından biri, Unix oxşar sistemlərdə /bin/login proqramı və ya Windows-da GINA kimi giriş mexanizmini ləğv etməkdir. Əvəzetmənin normal işləməsi görünür, eyni zamanda, təcavüzkarın standart autentifikasiya və avtorizasiya mexanizmlərini keçərək, inzibati imtiyazlarla sistemə birbaşa daxil olmasına imkan verən gizli giriş kombinasiyasını qəbul edir.
- Digər zərərli proqramları, xüsusən də parol oğurlayan açar qeydçiləri və kompüter viruslarını gizlədin.
- Təhlükə edilmiş maşını digər kompüterlərə hücumlar üçün zombi kompüteri kimi uyğunlaşdırın. (Hücum təcavüzkarın sistemi əvəzinə, təhlükəyə məruz qalmış sistem və ya şəbəkədən qaynaqlanır.) "Zombi" kompüterlər adətən böyük botnetlərin üzvləridir və digər şeylərlə yanaşı, xidmətdən imtina hücumlarını həyata keçirə, e-poçt spamını yaya və klik fırıldaqçılığı.
Quraşdırma və gizlətmə
Rootkitlər sistem üzərində nəzarəti əldə etmək üçün müxtəlif üsullardan istifadə edir; rootkitin növü hücum vektorunun seçiminə təsir göstərir. Ən çox yayılmış texnika gizli imtiyazların artmasına nail olmaq üçün təhlükəsizlik zəifliklərindən istifadə edir . Başqa bir yanaşma, kompüter istifadəçisini aldadaraq, rootkitin quraşdırma proqramına etibar etmək üçün Trojan atından istifadə etməkdir—bu halda sosial mühəndislik istifadəçini rootkitin faydalı olduğuna inandırır. Ən az imtiyaz prinsipi varsa quraşdırma işi asanlaşdırılırtətbiq edilmir, çünki rootkit o zaman yüksək (inzibatçı səviyyəli) imtiyazları açıq şəkildə tələb etmək məcburiyyətində deyil. Rootkitlərin digər sinifləri yalnız hədəf sistemə fiziki girişi olan şəxs tərəfindən quraşdırıla bilər. Bəzi rootkitlər həmçinin sistemin sahibi və ya sahibi tərəfindən icazə verilmiş kimsə tərəfindən qəsdən quraşdırıla bilər, məsələn, işçilərin monitorinqi məqsədi ilə bu cür təxribatçı üsulları lazımsız edir. Bəzi zərərli rootkit quraşdırmaları paylama üçün tipik olan quraşdırma başına ödəmə (PPI) kompensasiya üsulu ilə kommersiya məqsədli idarə olunur.
Həmçinin bax
İstinadlar
- (PDF). . 2006-04-17. 2006-08-23 tarixində (PDF).
- Evancich, N.; Li, J. // Colbert, Edward J. M.; Kott, Alexander (redaktorlar ). SCADA və Digər Sənaye İdarəetmə Sistemlərinin kibertəhlükəsizliyi. Springer. 2016-08-23. səh. 100. ISBN 9783319321257 – Google Books vasitəsilə.
- . www.kaspersky.com (ingilis). 2021-04-09. İstifadə tarixi: 2021-11-13.
- . . Windows IT Pro. June 2005. 2012-09-18 tarixində arxivləşdirilib. İstifadə tarixi: 2010-12-16.
- Marks, Joseph. . The Washington Post. 2021-07-01. 2022-02-07 tarixində . İstifadə tarixi: 2021-07-24.
- Ric Vieler. Professional Rootkits. John Wiley & Sons. 2007. səh. 244. ISBN 9780470149546.
- Matrosov, Aleksandr; Rodionov, Eugene. (PDF). Moscow: . 2010-06-25. səh. 3. 2011-05-13 tarixində (PDF) arxivləşdirilib. İstifadə tarixi: 2010-08-17.
- Matrosov, Aleksandr; Rodionov, Eugene. (PDF). . 2011-06-27. 2015-07-29 tarixində (PDF) arxivləşdirilib. İstifadə tarixi: 2011-08-08.
Xarici keçidlər
- Wikimedia Commons-da Rootkits ilə əlaqəli media