Что такое руткиты в компьютере
Вы включаете компьютер, который загружается слишком долго, а затем появляется рабочий стол с новой нелепой заставкой. Кроме вас компьютером не пользовался никто, так что же случилось? Возможно, нужно провести чистку жесткого диска, чтобы он работал быстрее. Возможно, вы опять ходили во сне, и в приступе лунатизма решили, что вам просто необходимо в качестве заставки установить рисунок вашего маленького племянника.
Но скорее всего, это не так. Видимо, ваш компьютер был поражен руткитом.
Если вы ничего не знаете о руткитах, приготовьтесь к большому сюрпризу.
Ни одна антивирусная программа не способна перехватить внедряющийся в компьютер руткит. Как только он оказывается в компьютере, он прячется там, где вы никогда не найдете его. Вы даже не будете знать, что он здесь. Но к тому моменту, как вам станет о нем известно, он уже похитит чувствительную для вас информацию, уничтожит ваши файлы и превратит ваш компьютер, во что-то совершенно бесполезное.
Методы заражения.
Для начала рассмотрим методы заражения:
Без спроса влезут
2. Через интернет.
С вашего разрешения поселятся
3. При установке программ.
4. Обновляя программное обеспечение с сомнительных источников.
5. При маскировки под правильные программы.
Виды руткитов
1. Использование комплексных решений кибербезопасности
Рекомендуется обеспечить безопасность устройств, установив комплексное продвинутое антивирусное решение. Kaspersky Total Security обеспечивает всеобъемлющую защиту от киберугроз, а также позволяет выполнять проверку на наличие руткитов.
3. Руткиты памяти
Руткиты памяти скрываются в оперативной памяти компьютера и используют ресурсы компьютера для выполнения вредоносных действий в фоновом режиме. Руткиты памяти влияют на производительность оперативной памяти компьютера. Поскольку руткиты этого типа хранятся только в оперативной памяти компьютера и не внедряют постоянный код, они исчезают при перезагрузке системы. Однако чтобы полностью избавиться от них могут потребоваться дополнительные действия. Из-за короткой продолжительности жизни они не воспринимаются как серьезная угроза.
Основы руткитов
С точки зрения обычного человека, руткит представляет собой отвратительную, пугающую и даже опасную форму вредоносных программ. Сегодня это одна из постоянных и наиболее серьезных угроз безопасности. Он попадает в компьютер без разрешения пользователя, незаметно отключает антивирусную защиту и позволяет хакеру стать незаконным администратором, получающим полный виртуальный контроль и доступ к вашей системе. (И уже появляются руткиты для мобильных систем.)
Руткиты не различаются по тому, в какую операционную систему они вторгаются. Будь то Windows , Apple , или Linux , установленный руткит скрытно заменяет части операционной системы тем, что на первый взгляд выглядит нормально. Это позволяет ему оставаться незамеченным и выполнять наносящие ущерб действия. При включении компьютера для запуска системы используется BIOS (базовая система ввода-вывода) , и руткит может также получить контроль и над ней.
Уязвимости системы безопасности (такие, как незакрытые лазейки) , зараженные торренты или загружаемое программное обеспечение позволяют руткиту получить доступ к вашему компьютеру.
Как избавиться от руткита
Удаление руткита – это сложный процесс, который обычно требует специальных инструментов, таких как утилита TDSSKiller от «Лаборатории Касперского», позволяющая обнаруживать и удалять руткит TDSS. Иногда единственным способом полностью удалить тщательно спрятанный руткит является удаление операционной системы компьютера с последующим восстановлением с нуля.
5. Веб-страницы работают некорректно
Из-за чрезмерного сетевого трафика наблюдаются прерывания при отображении или некорректная работа веб-страниц и сетевой активности.
Проверка на наличие руткитов – это лучший способ обнаружить заражение руткитами. Проверку может инициировать ваше антивирусное решение. Если вы подозреваете наличие руткита, один из способов обнаружения заражения – выключить компьютер и выполнить проверку из известной чистой системы.
Поведенческий анализ – это еще один метод обнаружения руткитов, при котором вместо поиска самого руткита выполняется анализ и поиск поведения, характерного для руткита. Целевая проверка работает хорошо, если уже известно, что система ведет себя странно, а поведенческий анализ может предупредить о рутките, прежде чем станет ясно, что устройство подверглось атаке.
2. Необычное поведение веб-браузера
В браузере могут появляться нераспознанные закладки или происходить перенаправление ссылок.
Что можно делать
В настоящее время средств лечения от руткита не существует. Однако можно назвать меры профилактики.
1. Регулярно проводите обновление компьютера. Имеется в виду обновление всего компьютера, а не только Windows или сигнатур вредоносных программ, или драйверов графических карт. Обновлять нужно все - с должным фанатизмом.
2. Заходите только на проверенные сайты. Никто не делает покупки в тех районах города, где воруют автомобили со стоянок, и точно так же не следует заходить в "плохие" области Интернета. Установите дополнение к браузеру, называемое блокировщиком рекламы. Оно сообщит, когда вы пытаетесь войти на "плохой" сайт.
3. Регулярно обновляйте систему безопасности, состоящую из сетевого экрана и антивирусной программы. К счастью, обеспечение компьютера первоклассным программным обеспечением для его защиты требует относительно небольших затрат (или выполняется совсем бесплатно) . Выберите вариант, лучше всего отвечающий вашим потребностям.
4. Следите за тем, что вы загружаете. Сегодня многие программы устанавливаются с программным обеспечением, или дополнениями (например, панелью инструментов) , которые несут в себе вредоносные части, такие как руткиты. При установке программ обращайте внимание на то, что происходит, а не просто проходите процесс установки. Убедитесь, что не устанавливается ничего дополнительного, чтобы не пожалеть об этом.
5. Никогда ничего не открывайте, если вы не ожидаете или не узнаете этого, даже если вам прислал программу знакомый! Шпионское программное обеспечения является частью арсенала руткита, и оно использует технику социальной инженерии, чтобы заставить пользователя непреднамеренно установить его.
В конечном счете, прибегайте к здравому смыслу. Относитесь к компьютеру так же, как вы относитесь к дому. Недостаточно повесить табличку "Осторожно, злая собака!", нужно завести такую собаку.
Руткит – это тип вредоносных программ, предназначенных для предоставления злоумышленникам доступа к целевому устройству и контроля над ним. Хотя большинство руткитов влияют на работу программного обеспечения и операционную систему, некоторые из них могут также поразить оборудование и прошивку компьютера. Руткиты способны скрывать свое присутствие, но даже в этот период они активны.
Получив несанкционированный доступ к компьютерам, руткиты позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносные программы и использовать компьютеры как часть ботнета для рассылки спама и участия в DDoS-атаках (атаках распределенного отказа в обслуживании).
Название «руткит» происходит из операционных систем Unix и Linux, где администратор учетной записи с самыми высокими привилегиями называется «root». Группа приложений, разрешающих несанкционированный доступ к устройству на уровне root или администратора, называется "kit" («набор»).
Что такое руткит – определение и описание
Что такое руткит? Руткит – это вредоносная программа, позволяющая злоумышленникам контролировать целевые компьютеры. В этой статье описано, как обнаруживать и предотвращать руткиты, а также как избавиться от руткитов.
Руткиты — наиболее сложная в обнаружении и удалении разновидность компьютерной заразы. Предупрежден — значит вооружен!
Руткиты существуют уже около 20 лет, помогая атакующим действовать на компьютерах своих жертв, подолгу оставаясь незамеченными. Термин нередко применяется к тем вредоносным программам, которые специально созданы так, чтобы действовать на зараженном компьютере скрытно и при этом позволять удаленно контролировать ПК. Поскольку руткиты относятся к наиболее неприятным разновидностям вредоносных приложений, мы решили кратко объяснить, каков принцип действия руткита и как поступать, если вы подозреваете, что компьютер заражен подобной гадостью.
Подробней о терминах
Первоначально термин rootkit означал набор вредоносных приложений, скрывающих свое присутствие на компьютере и позволяющих хакеру делать свои дела незаметно. Слово root в названии явно указывает, что слово зародилось в мире Unix-компьютеров, но сегодня когда мы говорим о руткитах, как правило речь ведется о Windows-компьютерах, и в понятие «руткит» включаются не только средства обеспечения скрытности, но и весь набор функций вредоносного приложения. Оно обычно прячется глубоко в недрах операционной системы и специально написано таким образом, чтобы избегать обнаружения антивирусами и другими средствами безопасности. Руткит может содержать различные вредоносные инструменты, такие как клавиатурный шпион, вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусов. Руткит обычно имеет также функции бэкдора, то есть он позволяет атакующему дистанционно подключаться к зараженному компьютеру, устанавливать или удалять дополнительные модули и таким образом делать с машиной все, что подскажет фантазия. Некоторые примеры актуальных сегодня руткитов для Windows это TDSS, ZeroAccess, Alureon and Necurs.
Вариции руткитов
Руткиты делятся на две категории: уровня пользователя и уровня ядра. Первые получают те же права, что обычное приложение, запущенное на компьютере. Они внедряются в другие запущенные процессы и используют их память. Это более распространенный вариант. Что касается руткитов уровня ядра, то они работают на самом глубинном уровне ОС, получая максимальный уровень доступа на компьютере. После инсталляции такого руткита, возможности атакующего практически безграничны. Руткиты уровня ядра обычно более сложны в создании, поэтому встречаются реже. Также их гораздо сложней обнаружить и удалить.
Есть и еще более экзотические вариации, такие как буткиты (bootkit), которые модифицируют загрузчик компьютера и получают управление еще даже до запуска операционной системы. В последние годы появились также мобильные руткиты, атакующие смартфоны под управлением Android.
Метод инфицирования
Первично руткиты попадают на компьютер так же, как другие вредоносные приложения. Обычно используется уязвимость в браузере или плагине, также популярный способ заражения – через USB-флешки. Атакующие иногда даже оставляют зараженные флешки в общественных местах, где их может подобрать подходящая жертва. Затем руткит использует уязвимости ОС чтобы получить привилегированное положение в системе и устанавливает дополнительные компоненты, обеспечивающие удаленный доступ к компьютеру и другую вредоносную функциональность.
Основная сложность борьбы с руткитами в том, что они активно противодействуют своему обнаружению, пряча свои файлы и ключи реестра от сканирующих программ, а также применяя другие методики. Существуют утилиты, специально созданные для поиска известных и неизвестных руткитов разными узкоспециальными методами, а также с помощью сигнатурного и поведенческого анализа. Удаление руткита – тоже сложный и многоэтапный процесс, который редко сводится к удалению пары файлов. Обычно приходится применять специальную программу, такую как TDSSkiller, созданную для борьбы с руткитом TDSS. В некоторых случаях жертве даже приходится переустанавливать операционную систему, если в результате заражения компьютерные файлы повреждены слишком глубоко. Для менее сложных и вредоносных руткитов удаление может быть осуществлено с помощью обычной функции лечения в Kaspersky Internet Security.
В современном мире ни один компьютер, подключенный к интернету или работающий с флешкой не застрахован от вирусов.
В статье написаны методы профилактики и лечения еще живого компьютера. Если компьютер не загружается, то обращайтесь в сервис или к специалистам - самостоятельное лечение может вызвать потерю как оборудования, так и денег.
P.S. Никогда не отправляйте СМС и не звоните по телефонам указанных на сайтах для получения доступа к чему-либо, если Вы точно не уверены в надежности сайта.
Что они делают
Руткит почти всегда пишется для одной конкретной цели: противоправного получения денег. Если он ускользает от обнаружения, то он прячется там, где никто не может обнаружить его, и предоставляет нападающему доступ в компьютер "через черный вход". В этот момент преступник получает все права, которые может иметь администратор системы и программист. Имея полный контроль, хакер может просмотреть компьютер дистанционно, похищая персональную информацию (например, данные для доступа к банковскому счету) , и переписывая программное обеспечение под свои цели.
После того, как руткит установлен, он будет оставаться скрытым, но существует ряд признаков, что компьютер был заражен:
1. Антивирусная программа прекращает работу и/или ее не удается переустановить.
2. Некоторые программы не удается открыть.
3. Перестает работать мышь.
4. Не удается открыть браузер, и/или доступ в интернет заблокирован.
5. Скринсейвер или обои рабочего стола изменились, и их не удается поменять.
6. Сеть неожиданно становится очень загруженной, очень медленной, или вовсе отключается.
7. Вы не видите панели задач
8. Компьютер не загружается и/или зависает.
Опять же, кроме руткита никакой другой тип вредоносного программного обеспечения не может ускользнуть от обнаружения со стороны антивирусной программы или сетевого экрана, и успешно остаться необнаруженным после проникновения в компьютер.
Stuxnet
Одним из самых известных руткитов в истории является Stuxnet – вредоносный компьютерный червь, обнаруженный в 2010 году и, предположительно, разрабатываемый, начиная с 2005 года. Stuxnet нанес значительный ущерб ядерной программе Ирана. Хотя ни одна из стран не взяла на себя ответственность, считается, что это кибероружие было разработано совместно США и Израилем в рамках совместного проекта, известного как Олимпийские игры.
Другие известные примеры руткитов:
1. Аппаратные руткиты и руткиты для прошивки
Аппаратные руткиты и руткиты для прошивки могут повлиять на работу жесткого диска, маршрутизатора или BIOS'а системы, то есть на программное обеспечение, установленное на небольшом чипе памяти на материнской плате компьютера. Они нацелены не на операционную систему, а на прошивку устройства, с целью установки вредоносных программ, которые трудно обнаружить. Поскольку руткиты затрагивают работу оборудования, они позволяют злоумышленникам регистрировать нажатия клавиш, а также отслеживать онлайн-активность. Аппаратные руткиты и руткиты для прошивки менее распространены, чем другие типы руткитов, однако они представляют серьезную угрозу сетевой безопасности.
Лечение.
Лечение не замысловатое, но нужно четко придерживаться следующих правил.
1. Компьютер НЕ выключать и НЕ перезагружать.
2. НЕ ставить дополнительные антивирусы.
3. НЕ отправлять СМС.
4. НЕ открывать сайты.
Теперь поэтапно. Нам нужно скачать лучущую утилиту. Желательно это сделать с другого компьютера и, записав на флешку, запустить на зараженном.
- Отключаем интернет . Физически. Выдергиваем кабель или отклбчаем вайфай.
- Утилиту запускаем с рекомендуемыми настройками.
- При обнаружениии вирусов и руткитов обязательно удаляем зараженные файлы. Лечить файлы, по опыту, бесполезно.
- После очистки проверяем (не выключая и не перезагружая компьютер) работоспособность антивируса (должен быть включен и работать) и основных функций системы.
- Проверяем утилитой компьютер еще раз. Очень важно. Часто остаются "хвосты" и они убиваются только со второго прохода, когда основной вирус уничтожен.
В запущенных случаях, когда компьютер заблокирован и не знаете что предпринять - обращайтесь к специалисту. Самостоятельные действия могут навредить компьютеру и семейному бюджету.
Привет, Хабровчане!
В конце августа в OTUS запускается 2 мощных курса по обратной разработке кода (реверс-инжиниринг). В связи с этим приглашаем вас на День Открытых дверей, где Артур Пакулов (Ex-вирусный аналитик в Kaspersky Lab.) расскажет подробнее о программах, особенностях онлайн-формата, навыках, компетенциях и перспективах, которые ждут выпускников после обучения. А также приглашаем вас принять участие в бесплатных открытых уроках: «Анализ буткита» и «Анализ банковского трояна».
Как удалить руткит из Mac
Следите за выходом новых выпусков обновлений для устройств с операционной системой Mac. Обновления для Mac не только добавляют новые функции, но также удаляют вредоносные программы, включая руткиты. В Apple имеются встроенные функции безопасности для защиты от вредоносных программ. Однако в macOS нет известных средств обнаружения руткитов, поэтому, если вы подозреваете наличие руткита на устройстве, необходимо переустановить macOS. Это приведет к удалению большинства приложений и руткитов с устройства. Как описано выше, при поражении руткитом BIOS'а потребуется ремонт, а если руткит останется на устройстве, может потребоваться новое устройство.
Примеры руткитов
6. Виртуальные руткиты
Виртуальные руткиты загружаются под операционную систему компьютера. Затем они размещают целевые операционные системы как виртуальную машину, что позволяет перехватывать аппаратные вызовы, выполняемые исходной операционной системой. Этот тип руткита не меняет ядро для нарушения работы операционной системы. Его может быть очень сложно обнаружить.
Вы не можете обнаружить их
Вредоносные руткиты прошли значительное развитие. Первый созданный руткит (в начале 1990-х годов) уже был достаточно эффективен, но хакеры продолжают развиваться, и поэтому руткиты становятся все более совершенными. Они более изощренны, и их почти невозможно обнаружить. Они написаны специально таким образом, чтобы защищаться от обычных программ безопасности, и, в конечном счете, обходить любые барьеры, которые могли бы блокировать их проникновение в компьютер.
Вы можете попытаться найти руткиты, используя такие бесплатные инструменты, как chkrootkit (для Linux и Mac) , или Rootkit Revealer (для Windows) , но только если вы своевременно обновляете эти программы. Нужно отметить, что не существует гарантии, что таким способом удастся обнаружить руткит, они более развиты, чем любые способности инструментов по их обнаружению.
Одним из проверенных способов поиска руткита является полное выключение компьютера с последующей его загрузкой с не зараженного флэш-диска. Руткит не может скрыться, когда он не получает управления.
Хорошая новость заключается в том, что иногда их удается обнаружить. Но плохим моментом здесь является то, что к моменту их обнаружения руткиты уже успевают разрушить компьютер, файлы данных, и похитить чувствительную информацию.
4. Руткиты приложений
Руткиты приложений заменяют стандартные файлы на компьютере файлами руткитов и даже могут изменить работу стандартных приложений. Эти руткиты поражают приложения Microsoft Office и такие программы как Notepad или Paint. Злоумышленники могут получить доступ к компьютеру при каждом запуске этих приложений. Зараженные приложения по-прежнему работают нормально, поэтому обнаружение руткитов пользователями затруднено. Однако антивирусные программы могут обнаружить руткиты, поскольку они, как и руткиты, работают на прикладном уровне.
Предпосылки
Все описанное здесь основано на проекте, который я завершил в начале 2011 года, спустя аж несколько лет после его начала. Принимая участие в CanSecWest в 2009 году, Анибал Сакко и Альфредо Ортега из Core Security провели презентацию «Persistent BIOS Infection», где продемонстрировали, как можно пропатчить BIOS, чтобы совершить некоторые неприятные/удивительные вещи. Можете ознакомится с их докладом здесь. На то время это действительно впечатляло, но мне так и не выпал шанс попробовать это на практике. Год спустя мне нужно было подготовить групповой проект для учебы, поэтому я решил вернуться к взлому BIOS и самостоятельно реализовать что-нибудь из этого.
За последние несколько лет в мире BIOS для ПК многое изменилось, и теперь подписанный встроенный BIOS является стандартом, а архитектура UEFI внесла множество изменений по сравнению с традиционным дизайном BIOS. Менее чем через год после того, как я завершил этот проект, были обнаружены первые признаки того, что вредоносные программы действительно заражают BIOS в несколько похожей манере (ссылка). Простые меры, такие как подпись обновлений BIOS, легко предотвратили бы модификации BIOS такого типа. Также уже были проведены некоторые исследования для поиска путей решения этой проблемы (например, презентация «Attacking Intel BIOS» Рафаля Войчука и Александра Терешкина). Поэтому стоит отметить, что ничего из того, что описано здесь, не предназначено для представления миру какой-либо новой уязвимости, а скорее является демонстрацией концепции, которую можно легко проверить и изменить.
Моя первоначальная цель в этом проекте состояла в том, чтобы оценить реальную возможность атак и существования программ нацеленных на BIOS, и продемонстрировать их, если я что-нибудь обнаружу. Я думаю, что эта тема все еще актуальна и по сей день, несмотря на то, что новые технологии неуклонно делают этот тип атак менее релевантным. Но даже абстрагировавшись от цели, знание того, как делать интересные модификации BIOS в ассемблере, само по себе уже чего-то стоит, так что я решил опубликовать этот проект в интернете, чтобы другие тоже могли его оценить!
Если вы не горите желанием читать все это, а просто хотите поработать с результатами, жмите сюда, чтобы перейти в заключительную часть статьи, где вы найдете ссылку на образец BIOS и некоторые краткие инструкции.
1. Синий экран
4. Изменение параметров Windows без разрешения
Это может быть изменение заставки, скрытие панели задач или некорректное отображение даты и времени, при том, что вы ничего не меняли.
Necurs
В 2012 году появился руткит Necurs и, как сообщалось, в том году было обнаружено 83 000 случая заражения этим руткитом. Компания Necurs связана с элитными киберпреступниками в Восточной Европе. Ей присущи техническая сложность и способностью к эволюционированию.
Что такое руткит?
Руткит – это программа, используемая киберпреступниками для получения контроля над целевым компьютером или сетью. Иногда руткиты представляют собой единую программу, но чаще состоят из набора инструментов, позволяющих злоумышленникам управлять целевым устройством на уровне администратора.
Руткиты устанавливаются на целевые машины несколькими способами:
- Чаще всего это происходит с помощью фишинга или другого типа атак с применением социальной инженерии. Жертвы атак неосознанно загружают и устанавливают вредоносные программы, скрытые внутри других процессов, запущенных на их машинах, что дает злоумышленникам контроль почти над всей операционной системой.
- Другой способ – использование уязвимостей (слабых мест в программном обеспечении или операционной системе, если они не обновлялись) для принудительной установки руткита на компьютер.
- Вредоносные программы также могут быть связаны с другими файлами, такими как зараженные файлы PDF, пиратские носители или приложения из подозрительных сторонних магазинов.
Руткиты работают поблизости или внутри ядра операционной системы, что дает им возможность отправлять команды компьютеру. Все объекты, использующие операционную систему, являются потенциальной целью для руткитов. С распространением Интернета вещей они могут включать такие объекты, как холодильник или терморегулятор.
Руткиты могут скрывать кейлоггеры, записывающие нажатия клавиш без согласия пользователей. Это позволяет злоумышленникам украсть личную информацию, например, данные кредитной карты или интернет-банка. Руткиты также позволяют злоумышленникам использовать ваш компьютер для запуска DDoS-атак или рассылки спама. Они даже могут отключить или удалить программы безопасности.
Некоторые руткиты используются в законных целях, например, для предоставления удаленной ИТ-поддержки или помощи правоохранительным органам. Однако в основном они используются в злонамеренных целях. Основная опасность руткитов состоит в том, что они могут доставлять на компьютер жертвы различные формы вредоносных программ, позволяющие управлять операционной системой и предоставлять удаленным пользователям права администратора.
3. Низкая производительность устройства
Запуск устройства может занять некоторое время, также наблюдается замедление работы или частое зависание. Устройство также может не реагировать на ввод с помощью мыши или клавиатуры.
5. Внимательность к поведению или производительности компьютера
Проблемы с поведением компьютера могут указывать на наличие руткитов. Рекомендуется обращать внимание на неожиданные изменения и постараться выяснить их причину.
Руткиты – самые сложные для поиска и удаления вредоносные программы. В связи со сложностью их обнаружения, профилактика является лучшей защитой. Чтобы обеспечить постоянную защиту, держитесь в курсе последних угроз кибербезопасности.
Статьи по теме:
Flame
В 2012 году был обнаружен руткит Flame, используемый, в основном, для кибершпионажа на Ближнем Востоке. Flame, также известный как Flamer, sKyWIper и Skywiper, атакует операционную систему компьютера целиком, что позволяет злоумышленникам отслеживать трафик, делать снимки экрана и записывать аудио, а также регистрировать нажатия клавиш на устройстве. Злоумышленников, стоящих за атакой руткита Flame, обнаружить не удалось, но исследования показывают, что для доступа к зараженным компьютерам они использовали 80 серверов на трех континентах.
Воссоздание готовых наработок — модификация VMware BIOS
Как уже отмечалось, Сакко и Ортега провели две презентации по модификации BIOS, наряду с презентацией Войчука и Терешкина. Из этих трех презентаций только Сакко и Ортега включили какой-либо исходный код или пример, демонстрирующий описанные ими методы. Поскольку это был единственный доступный пример, он использовался в качестве отправной точки для этого проекта.
Работа Сакко и Ортега довольно подробно описывает их сетап и методы тестирования. Установка VMware была завершена, как описано выше, и следующим шагом было внедрение кода модификации BIOS, который они предоставили. Предоставленный код требовал извлечения BIOS ROM в отдельные модули. BIOS ROM, входящий в комплект VMware, является Phoenix BIOS. Исследование говорит, что существует два основных инструмента для работы с этим типом BIOS, инструмент с открытым исходным кодом «phxdeco», и коммерческий «Phoenix BIOS Editor», который предоставляется непосредственно Phoenix. В работе Сакко и Ортега рекомендовано использовать приложение Phoenix BIOS Editor — они разрабатывали свой код для использования под ним. Пробная версия была загружена мной из интернета, и, похоже, она обладает всеми функциями, необходимыми для этого проекта. Разыскивая ссылку для скачивания снова, я не могу найти ничего, что кажется даже наполовину легитимным, но Google предлагает большой список вариантов. Я просто предположу, что найти какую-нибудь легитимную пробную версию не составит труда. После того, как инструменты установлены, следующим шагом будет создание пользовательского BIOS.
Тестирование буткита
2. Руткиты загрузчика
Механизм загрузчика отвечает за загрузку операционной системы компьютера. При атаке на систему руткиты загрузчика заменяют подлинный загрузчик взломанным. Это активирует руткит еще до полной загрузки операционной системы компьютера.
Как предотвратить заражение руткитом
Поскольку руткиты могут оказаться опасными и труднообнаружимыми, важно сохранять бдительность при просмотре веб-страниц или загрузке программ. Для минимизации риска заражения руткитами применимы многие меры, используемые для защиты от компьютерных вирусов.
3. Внимательность к фишинговым атакам
Фишинг – это один из видов атаки социальной инженерии, при которой злоумышленники используют электронную почту, чтобы обманом заставить пользователей предоставить им финансовую информацию или загрузить вредоносные программы, например, руткиты. Чтобы предотвратить проникновение руткитов на компьютер, рекомендуется не открывать подозрительные электронные письма, особенно от неизвестных отправителей. Не следует переходить по ссылкам, доверенность которых вызывает сомнения.
От них нельзя избавиться
Теперь вы знаете, что если ваша антивирусная программа перестает работать, или браузер не открывается, или ваш скринсейвер неожиданно изменился, то, скорее всего в вашем компьютере появился руткит.
В такой момент руткит придает совершенно новый смысл вашей жизни, когда ваш компьютер "идет в разнос", а вы понимаете, что давно не делали резервной копии.
Если руткит обнаружен, то чаще всего удалить его нельзя. Многие программы заявляют о предоставлении возможности удалить руткит, но в лучшем случае, такая возможность довольно незначительна. Как говорилось ранее, хакер, получивший права администратора, может делать с компьютером что угодно. Проверить каждую программу, каждый файл операционной системы на предмет остатков заражения, может оказаться почти невозможным.
Использование антивирусной программы и ручная очистка компьютера не являются вариантами решения проблемы. Можно заметить, что вариантом решения также не является операция восстановления системы. Руткит проникает в само ядро системы компьютера, так что любая точка восстановления, скорее всего, будет инфицирована им.
Единственный способ избавиться от проникшего в систему руткита заключается в стирании всей информации с жесткого диска с последующей установкой новой чистой копии операционной системы. Так как никогда неизвестно, удалось ли избавиться от руткита, то это единственный способ гарантировать устранение заражения.
Подход
В настоящее время существует весьма ограниченное количество примеров кода, подходящих для создания BIOS-руткитов. В публичном доступе можно найти только один из них, представленный миру на первой демонстрации BIOS-руткитов в марте 2009 года (насколько я знаю). Моей изначальной целью было воспроизвести находки, сделанные Core Security в 2009 году, а затем выяснить, как я могу их модифицировать. Моей конечной целью было создание своего рода BIOS-руткита, который можно было бы легко развернуть.
В 2009 году было проведено исследование в смежной области безопасности, которая занимается руткитами загрузочного сектора. В отличие от BIOS-руткитов, разработки в этой области развивались очень быстрыми темпами, что привело к созданию и выпуску ряда различных MBR(master boot record)-руткитов. Этот тип руткитов был назван «Bootkit», и, подобно BIOS-руткиту, он стремится загрузить себя до загрузки ОС. Это сходство побудило многих разработчиков буткитов отметить, что данная атака должна быть осуществимой непосредственно из BIOS, а не из MBR. Несмотря на комментарии и предложения о том, что код буткита можно было перенести для выполнения в BIOS, пока не было опубликовано ни одного примера такого кода.
Первым этапом реализации этого проекта было создание среды тестирования и разработки, в которой можно было бы вносить и отлаживать модификации BIOS. В своей статье об устойчивом заражении BIOS Сакко и Ортега подробно описывают, что они обнаружили, что VMware содержит BIOS ROM, а также GDB сервер, который можно использовать для отладки приложений, начиная с самого BIOS. После успешной работы в VMware была проделана работа по переносу модификаций BIOS VMware на другие подобные BIOS — это будет описано во второй половине этой статьи.
Симптомы заражения вирусом или руткитом.
- Не открываются некоторые или все сайты, при наличии интернета.
- Слишком много рекламы вылазит на сайтах.
- Открываются страницы, которые вы не посещали.
- Заменена стартовая страница браузера.
- Просьбы выслать СМС для разблокировки. Статья моя "как удалить вируст требующий СМС".
Как удалить руткит из Windows
В Windows при удалении обычно запускается проверка. Если имеет место глубокое заражение, единственным способом удаления руткита является переустановка Windows. Лучше сделать это с использованием внешнего носителя, а не средствами встроенного установщика Windows. Некоторые руткиты заражают BIOS; для исправления такого заражения требуется ремонт. Если после ремонта руткит все еще не удален, возможно, потребуется новый компьютер.
ZeroAccess
В 2011 году эксперты по кибербезопасности обнаружили руткит ZeroAccess – руткит режима ядра, заразивший более 2 миллионов компьютеров по всему миру. Вместо того чтобы напрямую влиять на работу зараженного компьютера, этот руткит загружает и устанавливает на него вредоносные программы, делая его частью всемирного ботнета, используемого для проведения кибератак. Руткит ZeroAccess активно используется в настоящее время.
В 2008 году был впервые обнаружен руткит TDSS. Он похож на руткиты загрузчика, поскольку загружается и запускается на ранних этапах загрузки операционной системы, что затрудняет его обнаружение и удаление.
2. Постоянное обновление системы
Постоянные обновления программного обеспечения необходимы для безопасности и предотвращения заражения вредоносными программами. Рекомендуется регулярно обновлять программы и операционную систему, чтобы избежать атак руткитов, использующих уязвимости.
Как обнаружить руткиты
Обнаружить руткит на компьютере может оказаться непросто, поскольку этот вид вредоносных программ специально разработан для того, чтобы оставаться скрытым. Руткиты также могут отключать программы безопасности, что еще сильнее усложняет их обнаружение. В результате вредоносные программы-руткиты могут оставаться на компьютере в течение длительного времени и нанести значительный ущерб.
Возможные признаки руткитов:
5. Руткиты режима ядра
Руткиты режима ядра представляют самую серьезную угрозу, поскольку нацелены на ядро операционной системы. Злоумышленники используют их не только для доступа к файлам на компьютере, но и для изменения функций операционной системы, путем добавления собственного кода.
Профилактика.
- Аккуратно относимся к тому что запускаем на компьютере.
- Ставим любой бесплатный антивирус. Я привык к Авасту. Единственно нужно сразу отключать его говоруна, а то вечно не вовремя "вирусные базы обновлены". Для базовой защиты вполне хвататет бесплатной версии.
- Флешку отключаем с автозапуска. Читать как это сделать.
- Регулярно проводить (раз в 2 недели) проверку на вирусы полным сканированием.
- При подозрении на заражение проверить компьютер более тщательно.
Список бесплатный антивирусов можно посмотреть тут .
4. Загрузка файлов только из надежных источников
Чтобы предотвратить проникновение руткита на компьютер, рекомендуется соблюдать осторожность при открытии вложений и избегать открытия вложений от неизвестных отправителей. Рекомендуется загружать программное обеспечение только с доверенных сайтов. Не следует игнорировать предупреждения веб-браузера о том, что открываемый веб-сайт небезопасен.
Конфигурация VMware BIOS
Ладно, достаточно предыстории, займемся!
Первый необходимый шаг — извлечь BIOS из самой VMware. В Windows это можно сделать, открыв исполняемый файл vmware-vmx.exe с помощью любого экстрактора ресурсов, например, Resource Hacker. В этом приложении объединено несколько различных двоичных ресурсов, и BIOS хранится в ресурсе с идентификатором 6006 (по крайней мере, в VMware 7). Это может разниться от версии к версии, но ключевым моментом является размер файла ресурса 512 КБ. На следующем изображении показано, как это выглядит в Resource Hacker:
Хотя этот BIOS-образ связан с приложением vmware-vmx.exe, его также можно использовать отдельно, без необходимости вносить правки в исполняемый файл VMware после каждого изменения. VMware позволяет указывать ряд «скрытых» параметров в файле настроек образа VMX. В какой-то момент я планирую документировать некоторые их них на вкладке Tools этого сайта, потому что они действительно очень полезны! Вот те, которые пригодятся для модификации и отладки BIOS:
Первая настройка позволяет BIOS ROM загружаться не из приложения vmware-vmx, а из файла. Следующие две строки подключают встроенный GDB сервер. Этот сервер прослушивает соединения через порт 8832, когда образ работает. Последняя строка указывает VMware остановить выполнение кода в первой строке гостевого образа BIOS. Это очень полезно, так как позволяет определять точки останова и проверять память до того, как произойдет какое-либо выполнение BIOS. Тестирование было выполнено с использованием IDA Pro в качестве GDB клиента. Пример гостевого образа VMware, остановленного на первой инструкции BIOS, можно увидеть на скриншоте ниже:
При первом использовании этой тестовой среды у меня были значительные проблемы с подключением IDA к GDB серверу. После долгих проб, ошибок и тестирования с различными GDB клиентами было выявлено, что виновата моя версия VMware. Версии 6 и 6.5, похоже, не очень хорошо работают с IDA, поэтому для большинства испытаний мной использовалась VMware 7. BIOS состоит из 16-битного кода, а не 32-битного кода по умолчанию для IDA, поэтому было необходимо определить «Manual Memory Regions» в параметрах отладки IDA. Это позволило адресам памяти быть определенным как 16-битный код, чтобы они правильно декомпилировались.
Читайте также: