it-swarm-eu.dev

Come si potrebbe sapere se hanno un rootkit?

Sono impossibili da rilevare? Visto che l'attaccante ha i diritti di amministratore e potrebbe modificare un software antivirus che potrebbe altrimenti essere utilizzato per rilevare o aggirare un kit di root. Ci sono alcune bandiere rosse che indicano un kit di root? Possono vedere tutto quello che fai?

24
DBroncos1558

Un "rootkit" normalmente fa di tutto per non essere rilevato. Tuttavia, in teoria, non può essere completamente non rilevabile, poiché il punto del rootkit è mantenere un percorso di accesso per l'attaccante, quindi almeno l'attaccante può sapere se il root kit è in atto o meno.

Molti metodi sono stati usati in passato. Ad esempio, alcuni rootkit si installano nella memoria del kernel e non lasciano alcuna traccia sul disco rigido, quindi sono molto difficili da rilevare, ma scompaiono al successivo riavvio. Più comunemente, i rootkit modificano alcuni file o alcune parti del disco per resistere ai riavvii, ma devono quindi modificare il kernel in modo che le loro modifiche non siano visibili dai processi sulla macchina.

Quindi, fondamentalmente, se il rootkit fa correttamente il suo lavoro, non sarai in grado di rilevarlo dalla macchina stessa. È possibile scoprirlo se si riavvia il dispositivo su un CD live o una chiave USB e da che OS (presunto pulito), ispezionare il disco rigido. Se gli stessi file non sembrano identici, se controllati dall'esterno (il sistema operativo è avviato su un CD live) e dall'interno, questo è un segno piuttosto definito di gioco scorretto.

Tutto ciò presuppone che il rootkit sia bravo in ciò che dovrebbe fare. Esistono numerosi rootkit inesperti (o inesperti attaccanti ) che lasceranno tracce. Ad esempio, file strani nella directory home di root (o amministratore).


A rootkit ha senso in situazioni in cui l'attaccante ha ottenuto il controllo totale della tua macchina; il compito del rootkit è di mantenere questo livello di controllo. L'attaccante può quindi vedere tutto ciò che fai sulla macchina e finché il rootkit è attivo, sarà in grado di continuare a vedere tutto ciò che fai sulla macchina.

(Il termine "rootkit" è stato applicato anche a strumenti di escalation , ovvero strumenti che sfruttano le vulnerabilità locali per trasformare un accesso a livello di utente in un annuncio completo accesso di livello sulla macchina. Stesso risultato: la macchina non è più la tua macchina.)

24
Thomas Pornin

Ci sono alcune bandiere rosse che indicano un kit di root? Possono vedere tutto quello che fai? Sono nuovo di sicurezza, quindi per favore sii facile.

Certo per i rootkit in generale, no. Tuttavia, come ha già notato Thomas, i rootkit devono lasciare una traccia di accesso per un utente malintenzionato, ovvero il codice del codice utente dell'attaccante deve essere in grado di parlare in qualche modo con il rootkit.

Per darti alcuni esempi di come potresti raggiungere questo obiettivo:

  • Implementa un dispositivo /proc Personalizzato con un nome dall'aspetto importante, diciamo /proc/gpuinfo. Va bene, è un po 'ovvio, ma hai avuto l'idea - a un endpoint di comunicazione tramite /proc (Procfs è un meta file system in Linux che ti consente di comunicare con userland) o /sys O /dev Che normalmente non ci sarebbe, ma che un amministratore di sistema sarebbe pensa è normale.

    Se guardi attraverso i registri di rkhunter, lo vedrai cercare questi.

  • Modifica la voce di uno degli elementi sopra per rispondere a qualcosa che normalmente non farebbe. La maggior parte delle voci del dispositivo rispondono a diversi codici dicendo loro di fare qualcosa - questo è particolarmente vero in /dev. Aggiungi un codice oscuro a questo come meccanismo di comunicazione.

    Sui sistemi Windows, puoi ottenere la stessa cosa con i driver di filtro o applicare patch al driver oggetto della destinazione, scegli (ma i driver di filtro sono più stabili).

    Un meccanismo di rilevamento sarebbe quello di provare codici di dispositivi spuri su dispositivi che non (normalmente) rispondono a questi. Se ricevi qualcosa di diverso dal relativo codice di errore "Non implementato" sul tuo sistema, sta succedendo qualcosa di strano.

  • Il montaggio dell'unità di sistema su un PC diverso comporta una dimensione del file system diversa da quella prevista o file che prima non si potevano vedere. Ricorda che le diverse dimensioni del file system non sono di per sé un sintomo di un rootkit, dal momento che alcune edizioni di Windows usano ancora la geometria del disco e ... sì, non farti prendere dal panico immediatamente, ma nel rootkit selvaggio non posso ricordare il nome di un file system crittografato creato alla fine del volume NTFS, riducendo manualmente il disco. Allo stesso modo, un comportamento comune del rootkit è rimuovere le voci di file dalla visualizzazione in FS sul sistema live (per nasconderle).

Sfortunatamente, non ci sono bandiere rosse generiche per i rootkit in generale - la battaglia è più cat-and-mouse. Non appena gli autori di rootkit realizzano che gli scanner sono in grado di rilevare un tipo di canale o hook di comunicazione, cambieranno strategia.

Possono vedere tutto quello che fai?

Rootkit nel termine tendo a pensarlo come un attacco a livello di kernel il cui scopo è di mantenere l'intrusione sul tuo sistema in generale sarà in grado, sì, poiché il kernel gestisce l'intero sistema e il rootkit avrà lo stesso privilegio. Ci sono alcune difese; le moderne finestre e alcune distribuzioni Linux applicano driver/moduli del kernel firmati e possono imporre questo. Questo sposta il vettore di attacco nella sequenza di avvio (prima che il kernel abbia la possibilità di far valere qualsiasi cosa), a cui l'avvio protetto UEFI è progettato per essere indirizzato.

Non me l'hai chiesto, ma lo farò comunque. Di solito, a meno che il criterio di sistema non sia un po 'folle, l'inserimento di moduli/driver del kernel richiede i diritti di amministratore. Pertanto, per installare un rootkit, l'attaccante deve condurre un attacco di escalation di privilegi in primo luogo. Fare del proprio meglio per garantire che ciò non accada è il modo di difendersi dai rootkit.

A parte 1: i rootkit non devono trovarsi nella zona del kernel, né malware simili all'intercettazione. È possibile raggiungere questo obiettivo senza i driver del kernel. Se l'utente in questione non è un amministratore, il danno è generalmente più limitato.

11
user2213