Come si potrebbe sapere se hanno un rootkit?

24

Sono impossibili da rilevare? Visto che l'autore dell'attacco ha i diritti di amministratore e potrebbe modificare il software antivirus che potrebbe altrimenti essere utilizzato per rilevare o aggirare un kit di root. Ci sono alcune bandiere rosse che indicano un kit di root? Possono vedere tutto ciò che fai?

    
posta DBroncos1558 21.10.2013 - 19:08
fonte

2 risposte

24

Un "rootkit" normalmente cerca davvero di non essere rilevato. Tuttavia, non può, in teoria, essere completamente inosservabile, dal momento che il punto del rootkit è di mantenere un percorso di accesso per l'attaccante, quindi almeno l'attaccante può sapere se il root kit è installato o meno.

In passato sono stati utilizzati molti metodi. Ad esempio, alcuni rootkit si installano nella memoria del kernel e non lasciano traccia sul disco rigido, quindi sono molto difficili da rilevare, ma scompariranno al prossimo riavvio. Più comunemente, i rootkit modificano alcuni file o alcune parti del disco per resistere ai riavvii, ma devono quindi modificare il kernel in modo che le loro modifiche non siano visibili dai processi sulla macchina.

Quindi, fondamentalmente, se il rootkit fa il suo lavoro correttamente, non sarà possibile rilevarlo dalla macchina stessa. Potresti trovarlo se riavvii il tuo computer su un CD live o su una chiave USB, e da quel OS (presumibilmente pulito), ispeziona il disco rigido. Se gli stessi file non sembrano identici, se ispezionati dall'esterno (il sistema operativo viene avviato su un CD live) e dall'interno, allora questo è un segno piuttosto preciso di gioco scorretto.

Tutto ciò presuppone che il rootkit sia valido per ciò che è destinato a fare. Ci sono un certo numero di rootkit inesperti (o inesperti attaccanti ) che lasceranno tracce. Ad esempio, file strani nella home directory di root (o Administrator).

Un rootkit ha senso in situazioni in cui l'attaccante ha ottenuto il controllo totale della tua macchina; il compito del rootkit è di mantenere questo livello di controllo. L'attaccante può quindi vedere tutto ciò che fai sulla macchina, e finché il rootkit è attivo, sarà in grado di continuare a vedere tutto ciò che fai sulla macchina.

(Il termine "rootkit" è stato anche applicato a strumenti di escalation , ovvero strumenti che sfruttano le vulnerabilità locali per trasformare un accesso a livello di utente in un accesso a livello di adin completo sulla macchina. : la macchina non è più la tua macchina.)

    
risposta data 21.10.2013 - 19:19
fonte
11

Are there certain red flags that point to a root kit? Can they see everything you do? I am new to security so please be easy.

Alcuni per i rootkit in generale, no. Tuttavia, come Thomas ha già notato, i rootkit devono lasciare una traccia di accesso per un utente malintenzionato, cioè il codice usermode dell'attaccante deve essere in grado di parlare al rootkit in qualche modo.

Per darti alcuni esempi di come potresti ottenere ciò:

  • Implementa un dispositivo /proc personalizzato con un nome dall'aspetto importante, diciamo /proc/gpuinfo . Ok, questo è un po 'ovvio, ma tu hai l'idea - a un endpoint di comunicazione tramite /proc (procfs è un meta file system in Linux che ti permette di comunicare con userland) o /sys o /dev che normalmente non essere lì, ma che un sysadmin pensare è normale.

    Se dai un'occhiata ai log di rkhunter, lo vedrai alla ricerca di questi.

  • Modifica la voce di uno degli elementi precedenti per rispondere a qualcosa che normalmente non farebbe. La maggior parte delle voci del dispositivo risponde a diversi codici che dicono loro di fare qualcosa - questo è particolarmente vero in /dev . Aggiungi un codice oscuro a questo come meccanismo di comunicazione.

    Sui sistemi Windows, puoi ottenere lo stesso risultato con i driver dei filtri, o applicare le patch all'oggetto driver del target, fai la tua scelta (ma i driver dei filtri sono più stabili).

    Un meccanismo di rilevamento potrebbe essere quello di provare codici spuri sui dispositivi che non rispondono (normalmente) a questi. Se ottieni qualcosa di diverso dal relativo codice di errore "Non implementato" sul tuo sistema, sta succedendo qualcosa di strano.

  • Il montaggio dell'unità di sistema su un PC diverso genera dimensioni del filesystem diverse rispetto a quelle previste o file che non si potevano vedere prima. Essere consapevoli del fatto che le diverse dimensioni del file system non sono di per sé un sintomo di un rootkit, dal momento che alcune edizioni di Windows utilizzano ancora la geometria del disco e ... sì non fatevi prendere dal panico subito, ma uno nel rootkit selvaggio non posso ricorda il nome di creato un filesystem crittografato alla fine del tuo volume NTFS, riducendo facilmente il tuo disco per te. Allo stesso modo, un comportamento comune del rootkit è quello di rimuovere le voci del file dall'apparire nella FS sul sistema live (per nasconderle).

Sfortunatamente, non ci sono generici flag rossi per i rootkit in generale - la battaglia è più gatto-e-topo. Non appena gli autori di rootkit si rendono conto che gli scanner sono in grado di rilevare un tipo di canale di comunicazione o hook, cambieranno strategia.

Can they see everything you do?

Rootkit nel termine Tendo a pensarlo come, ad esempio, un attacco a livello di kernel il cui scopo è quello di mantenere l'intrusione nel sistema in generale sarà in grado, sì, come il kernel gestisce l'intero sistema e il rootkit sarà avere lo stesso privilegio. Ci sono alcune difese; Windows moderno e alcune distribuzioni Linux applicano driver / moduli kernel firmati e potrebbero far rispettare questo. Questo sposta il vettore di attacco nella sequenza di avvio (prima che il kernel abbia la possibilità di imporre qualsiasi cosa), che l'avvio sicuro UEFI è progettato per indirizzare.

Questo non l'hai chiesto, ma lo farò comunque. Solitamente, a meno che la politica di sistema non sia un po 'folle, l'inserimento di moduli / driver del kernel richiede diritti di amministratore. Pertanto, per installare un rootkit, l'attaccante deve condurre un attacco di escalation di privilegi in primo luogo. Fare del tuo meglio per assicurarti che ciò non possa accadere è il modo di difenderci dai rootkit.

Parte 1: i rootkit non devono essere nel kernel land, nè il malware di tipo intercettatore. È possibile ottenere ciò senza i driver del kernel. Se l'utente in questione non è un amministratore, il danno è solitamente più limitato.

    
risposta data 21.10.2013 - 21:18
fonte

Leggi altre domande sui tag