Что нужно знать о руткитах

Неприятная мысль: прямо сейчас ваш компьютер может быть полон вирусов и вредоносных программ, или даже быть частью сети ботов, осуществляющих мошенничество с кликами или кибер-атаки в больших масштабах! Если бы это действительно было так, вы бы, скорее всего, ничего об этом не знали. Ведь в большинстве случаев руткит создает у пользователя ложное ощущение, что все работает правильно. Он работает как виртуальный плащ-невидимка, который скрывает преступную хакерскую деятельность, происходящую в фоновом режиме. Но если вы понимаете риски и принцип работы руткитов, вы можете защитить себя более эффективно. Итак, читайте далее важную информацию о руткитах.

Под руткитом понимается не одна часть вредоносного ПО. Это целая коллекция различных вредоносных программ, которые, используя уязвимость в системе безопасности, внедряются в компьютер и предоставляют хакерам постоянный удаленный доступ к нему. Ключевой особенностью руткитов является то, что они могут скрывать себя и другие вредоносные программы от вирусных сканеров и решений безопасности, то есть пользователь даже не подозревает об их присутствии.

В зависимости от уровня авторизации, на котором распространился руткит, он может даже предоставить хакеру широкие административные права (это называется руткит режима ядра), что дает ему неограниченный контроль над компьютером.

Первые руткиты появились в начале 1990-х годов, когда они еще были нацелены только на Unix-подобные операционные системы, такие как Linux. Они обычно состояли из модифицированных версий стандартных программ, таких как «ps» (команда Unix, открывающая список всех текущих процессов) и «passwd» (для изменения пароля пользователя). В это время также был придуман термин: «Root» обозначает администратора систем Unix, а «kit» представляет собой «набор инструментов», который он содержит. Таким образом, объединенный термин «руткит» описывает репертуар программных инструментов, позволяющих хакеру получить права root на компьютере (для руткитов режима ядра в явном виде).

Тем временем, однако, руткиты существуют для самых разных операционных систем. Название «руткит» все еще имеет смысл для Windows и других операционных систем, поскольку многие руткиты проникают в ядро или корень системы, где они затем становятся активными.

Хотя существует множество различных руткитов, общий принцип их работы всегда одинаков. Даже процесс проникновения в систему происходит по одной и той же схеме.

Заражению руткитом обычно предшествует определенная форма социальной инженерии. Киберпреступники используют самое слабое место любой системы безопасности — человеческий фактор. Влияя на своих жертв или намеренно вводя их в заблуждение, хакеры часто могут завладеть данными доступа и паролями. С их помощью они проникают на компьютер и устанавливают руткит.

Однако существуют и другие способы внедрения руткита — например, с помощью «попутных» загрузок с зараженного веб-сайта, при загрузке программного обеспечения из небезопасного источника или при нажатии на ссылку или вложение в фишинговом письме.

Еще один метод — киберпреступник оставляет USB-накопитель с руткитом в общественном месте. Ничего не подозревающий человек может взять накопитель домой, из любопытства подключить его к своему компьютеру — и вот он, руткит внедрен. Так называемые атаки «злой горничной» действуют аналогичным образом. В этом случае хакер сам устанавливает руткит на компьютер без присмотра. Этот подход получил свое название благодаря возможному сценарию, когда уборщица может таким образом заразить ноутбуки многих постояльцев отеля.

Попав в систему, руткит скрывает свое существование. Для этого он манипулирует процессами, которые выполняют программы и системные функции для обмена данными. Так, например, во время сканирования антивирусная программа получает только фальсифицированную информацию, в которой удаляются все признаки руткита. По этой причине зачастую даже профессиональным антивирусным программам не удается обнаружить вредоносное ПО с помощью своих сигнатур или эвристики.

Впоследствии руткит создает так называемый «бэкдор», который позволяет хакеру использовать открытый пароль или оболочку для получения удаленного доступа к компьютеру в будущем. Затем перед руткитом ставится задача скрыть каждый вход хакера в систему, а также любую подозрительную активность.

Это позволяет злоумышленнику установить дополнительное программное обеспечение, например, кейлоггер, обнаружить вводы с клавиатуры с помощью шпионских программ, украсть данные или (в зависимости от уровня авторизации) изменить настройки системы. Руткиты часто используются для объединения зараженных компьютеров в сети ботов, которые мобилизуются для фишинговых или DDoS-атак.

По понятной причине руткиты также известны как «стелс-вирусы», хотя они и не подходят под определение вируса. Но чем именно руткиты отличаются от других типов вредоносного ПО?

• Вирус: Вирус прикрепляется к исполняемому файлу или программе (и отличается форматом .exe). Хотя он воспроизводит себя автономно, он не способен распространяться дальше самостоятельно, а обычно только с помощью людей или других программ.
• Червь: Этот термин относится к особому подклассу компьютерных вирусов, которые могут распространяться самостоятельно, используя функции передачи данных системы.
• Троянский конь: Это не вирус, а вредоносное ПО, то есть вредоносная программа, которая маскируется под полезное приложение. Хакеры используют троянских коней для создания черного хода в системе.
• Руткиты: Руткит считается разновидностью троянского коня. Многие троянские кони обладают характеристиками руткита. Основное отличие заключается в том, что руткиты активно скрываются в системе, а также обычно предоставляют хакеру права администратора.

Руткиты различаются главным образом по методу, используемому для сокрытия процессов вредоносного ПО и действий хакера. Чаще всего используются руткиты в режиме ядра и в режиме пользователя. Опасные программные инструменты постоянно совершенствуются киберпреступниками, в результате чего пользователям становится все труднее защитить себя.

Когда люди говорят о руткитах, они обычно имеют в виду именно этот тип. Руткиты в режиме ядра внедряются в ядро операционной системы. Эту часть системы часто называют «кольцом 0», и она обладает самым высоким уровнем авторизации компьютера, что позволяет получить глубокий доступ ко всем аппаратным компонентам и любым изменениям в настройках системы. Это означает, что хакер получает полный контроль над всей системой, если ему удается поместить сюда руткит.

Эти руткиты заменяют части ядра собственным кодом. В случае Unix-подобных операционных систем это обычно происходит с помощью загружаемых модулей ядра — сокращенно LKM-руткиты. В системах Windows, напротив, манипуляции с ядром осуществляются напрямую, путем установки новых системных драйверов. Независимо от метода: Руткит режима ядра может использовать эту отправную точку для подачи фальсифицированной информации антивирусной защите компьютера снизу вверх. Поэтому этот вид руткитов особенно трудно обнаружить и удалить. Из-за своей сложности эти руткиты также встречаются сравнительно редко.

В отличие от руткитов режима ядра, этот тип работает только на пользовательском уровне компьютера, где также находятся все исполняемые программы. Поскольку эта область имеет самый низкий уровень авторизации для процессора (Ring 3), руткиты пользовательского режима могут предоставить хакеру лишь ограниченный доступ к компьютеру. Однако это означает, что они также менее сложны и используются чаще, чем руткиты режима ядра, особенно в системах Windows.

Руткиты пользовательского режима скрывают себя, перехватывая и манипулируя обменом данными между операционной системой и установленными вирусными и защитными программами. Для этого они используют методы DLL-инъекции и API hooking, когда специальная библиотека кода (dynamic link library, или DLL) вмешивается в обмен данными и перенаправляет функции определенных интерфейсов прикладного программирования (API) на руткит. Таким образом, он может удалять свои следы из списков процессов, таких как Windows Task Manager.

Кроме этих двух типов, существуют еще два вида руткитов — но считается, что они представляют относительно небольшую опасность:

• Прикладной руткит: Оригинальный и наиболее примитивный тип руткита. Он заменяет системные программы своими модифицированными версиями, что делает его очень легким для обнаружения. По этой причине он редко используется хакерами.
• Руткит памяти: Эти руткиты могут существовать только в оперативной памяти и поэтому удаляются сразу после перезагрузки системы.

Как и многие другие виды вредоносного ПО, руткиты постоянно совершенствуются. Так, например, появились «буткиты» — разновидность руткита режима ядра, специализирующаяся на замене загрузчика компьютера с целью деактивации защитных механизмов операционной системы. Все чаще заражаются и смартфоны (особенно с операционной системой Android) — как правило, после загрузки небезопасного приложения. Такие программы называются «мобильными руткитами».

В 2006 году исследовательская группа из Мичиганского университета оказалась в центре внимания, когда представила свой проект Project SubVirt — руткит, основанный на виртуальной машине и получивший название VMBR (virtual machine-based rootkit). Такие машины обычно используются для запуска нескольких различных операционных систем на одном компьютере (например, Linux и Windows). С помощью этой технологии VMBR способен перемещать операционную систему в виртуальную среду и таким образом действовать скрытно. Однако всего год спустя исследователи из Стэнфордского университета заявили, что они могут без проблем обнаруживать такие VMBR.

Похоже, что с тех пор не появилось новых революционных руткитов, но это отнюдь не означает, что риски уменьшились. Например, в 2018 году набор эксплойтов RIG пополнился дополнительным руткитом под названием CEIDPageLock. Он проникает в операционные системы Windows через системные драйверы и берет под контроль интернет-браузер. Затем он перенаправляет пользователя на поддельные веб-сайты, где данные похищаются для различных преступных целей. В настоящее время (по состоянию на август 2018 года) поражены компьютеры преимущественно в Китае. Но эксперты предполагают, что в будущем вредоносная программа распространится за пределы страны.

К настоящему времени существуют руткиты для широкого спектра операционных систем. Ниже приведены два примера руткитов, представляющих угрозу для систем Windows:

• TDSS aka Alureon (обнаружен в 2007 году) — также классифицируется как троянский конь, что иллюстрирует, насколько подвижны границы между этими двумя типами вредоносных программ. Руткит манипулирует реестром Windows, например, чтобы отключить диспетчер задач и функцию обновления, а также все существующие антивирусные программы, и впоследствии создает сеть ботов.
• ZeroAccess (обнаружен в 2011 году) — еще один троянский конь с атрибутами руткита. Он заражает главную загрузочную запись (MBR), а также случайный системный драйвер, после чего деактивирует Центр безопасности Windows, Windows Defender и брандмауэр. После этого компьютер используется в сети ботов для майнинга биткоинов и кликового мошенничества.

Но такие крайне преступные намерения не всегда стоят за руткитами. Например, эмуляторы компакт-дисков используют эту технологию для того, чтобы обмануть антипиратские меры. Является ли это законным или уголовно наказуемым, часто зависит от цели и масштаба использования.

Когда речь заходит об антипиратстве, не только потребители переступают черту юридически допустимого с помощью руткитов. Японская электронная корпорация Sony была вовлечена в скандал в октябре 2005 года, когда выяснилось, что расширенная защита от копирования (XCP) была скрыта на различных музыкальных компакт-дисках производителя с помощью руткита. Корпорация хотела таким образом предотвратить незаконное копирование дисков, но вредоносная программа также передавала информацию о частном прослушивании клиентов Sony, что представляло собой нарушение общепринятых законов о конфиденциальности данных. Корпорация подверглась особенно резкой критике еще и потому, что руткит скрывался от антивирусных программ и создавал возможности для использования хакерами в своих целях.

Подобные случаи — такие как дело Settec или компьютерная игра «Spore» от EA в 2008 году — вызывают опасения среди IT-экспертов, что руткиты в будущем будут использоваться не только хакерами, но и все чаще крупными корпорациями.

Поскольку руткиты специализируются на скрытности, обнаружить и удалить вредоносное ПО обычно сложно или почти невозможно. Тем не менее, есть некоторые меры, которые вы можете предпринять для своей защиты:

Меры безопасности против руткитов в основном такие же, как и для других распространенных типов вредоносного программного обеспечения:

• Используйте защитные программы на своем компьютере.
• Регулярно обновляйте систему.
• Ознакомьтесь с распространенными формами мошенничества в Интернете, например, фишингом.
• Используйте надежные пароли.

Кроме того, есть несколько более конкретных советов о том, как предотвратить заражение руткитами:

• Советы для случайных пользователей компьютеров: Как можно реже используйте учетную запись администратора — особенно при работе в Интернете. Это связано с тем, что она имеет гораздо меньше защитных мер, чем обычные учетные записи пользователей. Поскольку учетная запись пользователя также имеет ограниченные права, ущерб в случае заражения руткитом будет ограничен.
• Совет для профессионалов: Чтобы предотвратить заражение BIOS руткитом и, соответственно, невозможность его удаления, можно установить на материнскую плату физическую защиту от записи, например, перемычку.

Большинство антивирусных программ ищут известные руткиты на основе их сигнатур или анализируют необычные события, такие как удаление файлов, для выявления неизвестных вредоносных программ. Проблема в следующем: если только плохо запрограммированный руткит режима ядра не привлекает к себе внимание постоянными синими экранами, руткиты, как правило, вообще не дают никаких признаков того, что они проникли в систему.

А поскольку разрабатываются все более совершенные руткиты, то и обнаружить их становится все труднее. Однако сейчас существуют технические средства, специально предназначенные для руткитов, например, сканирование руткитов. Эта функция уже включена в некоторые программы безопасности, а также доступна в виде специальных программ. К ним относятся Sophos Anti Rootkit и Rootkit Remover от Bitdefender, которые можно получить бесплатно.

Проверка на наличие руткитов также может быть выполнена с помощью загрузочного компакт-диска. При этом компьютер запускается вне установленной операционной системы, а значит, руткит остается неактивным и — если повезет — может быть обнаружен сканером вирусов на компакт-диске.

К сожалению, до сих пор не существует 100% надежного способа удалить руткит с компьютера. Даже показатели профессиональных программ для сканирования, таких как AntiVir, Kaspersky и Microsoft, в многочисленных отчетах о тестировании оставляют желать лучшего. По этой причине немецкий журнал Computerbild рекомендует использовать, например, не менее трех таких программ в комбинации.

Однако, поскольку некоторые руткиты могут прятаться глубоко в BIOS, даже этот метод не может дать абсолютной уверенности. Поэтому часто не остается другого выбора, кроме как очистить носитель данных и полностью переустановить операционную систему, чтобы окончательно удалить упрямое вредоносное ПО.

Руткиты — особенно упрямая угроза, которая может дать злоумышленникам полный контроль над вашим компьютером. Но признание угрозы — это первый шаг в правильном направлении. Самой важной мерой предосторожности — как это часто бывает — является предотвращение проникновения в систему. Ведь руткиты можно обнаружить лишь с трудом, а удалить их еще сложнее. Часто не остается другого выхода, кроме как переустановить систему.

Однако на конференции «Black Hat» в январе 2006 года участников предупредили о руткитах, которые могут даже пережить стирание жесткого диска невредимыми — например, манипулируя интерфейсом ACPI (advanced configuration and power interface), отвечающим за управление энергопотреблением компьютера, или внедряясь в BIOS. Пока не найдено надежное решение проблемы, руткиты, скорее всего, будут оставаться угрозой как очень сложные инструменты, используемые киберпреступниками.