รูทคิท

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

รูทคิทคือชุดของซอฟต์แวร์คอมพิวเตอร์ซึ่งโดยทั่วไปแล้วจะเป็นอันตราย ออกแบบมาเพื่อให้สามารถเข้าถึงคอมพิวเตอร์หรือพื้นที่ของซอฟต์แวร์ที่ไม่ได้รับอนุญาตเป็นอย่างอื่น (เช่น สำหรับผู้ใช้ที่ไม่ได้รับอนุญาต) และมักจะปิดบังการมีอยู่หรือการมีอยู่ของซอฟต์แวร์อื่น . [1]คำว่าrootkitเป็นคำประสม ของ " root " (ชื่อดั้งเดิมของบัญชีที่มีสิทธิพิเศษบนระบบปฏิบัติการแบบ Unix ) และคำว่า "kit" (ซึ่งหมายถึงส่วนประกอบซอฟต์แวร์ที่ใช้เครื่องมือ) [2]คำว่า "รูทคิท" มีความหมายเชิงลบผ่านการเชื่อมโยงกับมัลแวร์ [1]

การติดตั้งรูทคิตสามารถทำได้โดยอัตโนมัติ หรือผู้โจมตีสามารถติดตั้งได้หลังจากได้รับสิทธิ์การเข้าถึงรูทหรือผู้ดูแลระบบ การได้รับการเข้าถึงนี้เป็นผลมาจากการโจมตีระบบโดยตรง เช่น การใช้ประโยชน์จากช่องโหว่ที่ทราบ (เช่น การยกระดับสิทธิ์ ) หรือรหัสผ่าน (ได้มาจากการแคร็กหรือกลวิธีทางวิศวกรรมสังคมเช่น " ฟิชชิ่ง ") เมื่อติดตั้งแล้ว จะสามารถซ่อนการบุกรุกและคงสิทธิ์การเข้าถึงไว้ได้ การควบคุมระบบอย่างสมบูรณ์หมายความว่าซอฟต์แวร์ที่มีอยู่สามารถแก้ไขได้ ซึ่งรวมถึงซอฟต์แวร์ที่อาจใช้เพื่อตรวจจับหรือหลีกเลี่ยง

การตรวจหารูทคิตทำได้ยากเนื่องจากรูทคิตอาจทำลายซอฟต์แวร์ที่มุ่งหมายให้ค้นหาได้ วิธีการตรวจจับรวมถึงการใช้ระบบปฏิบัติการทางเลือกและเชื่อถือได้วิธีการตามพฤติกรรม การสแกนลายเซ็น การสแกนความแตกต่าง และการวิเคราะห์การถ่ายโอนข้อมูลหน่วยความจำ กำจัดจะมีความซับซ้อนหรือเป็นไปไม่ได้ในทางปฏิบัติโดยเฉพาะอย่างยิ่งในกรณีที่อยู่ rootkit ในเคอร์เนล ; การติดตั้งระบบปฏิบัติการใหม่อาจเป็นวิธีแก้ปัญหาเดียวที่มี เมื่อต้องรับมือกับรูทคิตของเฟิร์มแวร์การลบอาจต้องมีการเปลี่ยนฮาร์ดแวร์หรืออุปกรณ์พิเศษ

ประวัติ

คำrootkitหรือชุดรากแต่เดิมเรียกว่าเป็นชุดที่มีเจตนาร้ายของเครื่องมือในการบริหารสำหรับUnix เหมือน ระบบปฏิบัติการที่ได้รับ " รากเข้าถึง" [3]ถ้าผู้บุกรุกสามารถใช้ทดแทนเครื่องมือในการดูแลมาตรฐานในระบบที่มี rootkit ที่ผู้บุกรุกจะได้รับการเข้าถึงรากมากกว่าระบบในขณะที่พร้อมกันปกปิดกิจกรรมเหล่านี้ถูกต้องตามกฎหมายจากผู้ดูแลระบบรูทคิทรุ่นแรกเหล่านี้ตรวจจับได้เล็กน้อยโดยใช้เครื่องมือ เช่นTripwireที่ไม่เคยถูกบุกรุกเพื่อเข้าถึงข้อมูลเดียวกัน[4] [5]เลนเดวิสและสตีเว่น Dake เขียน rootkit แรกที่รู้จักในปี 1990 สำหรับSun Microsystems ' SunOSระบบปฏิบัติการยูนิกซ์[6]ในการบรรยายที่เขาได้รับเมื่อได้รับรางวัลทัวริงในปี 1983 เคน ทอมป์สันแห่งเบลล์แล็บส์หนึ่งในผู้สร้างยูนิกซ์ได้ตั้งทฤษฎีเกี่ยวกับการโค่นล้มคอมไพเลอร์ Cในการแจกจ่ายยูนิกซ์และหารือเกี่ยวกับช่องโหว่ คอมไพเลอร์ที่แก้ไขจะตรวจจับความพยายามในการคอมไพล์loginคำสั่งUnix และสร้างโค้ดที่เปลี่ยนแปลงซึ่งจะยอมรับไม่เพียงแต่รหัสผ่านที่ถูกต้องของผู้ใช้เท่านั้น แต่ยังรวมถึง " แบ็คดอร์ " เพิ่มเติมอีกด้วย" รหัสผ่านที่ผู้โจมตีรู้จัก นอกจากนี้ คอมไพเลอร์จะตรวจจับความพยายามที่จะคอมไพล์คอมไพเลอร์เวอร์ชันใหม่ และจะแทรกช่องโหว่เดียวกันลงในคอมไพเลอร์ใหม่ การตรวจสอบซอร์สโค้ดสำหรับloginคำสั่งหรือคอมไพเลอร์ที่อัปเดตจะไม่เปิดเผย รหัสที่เป็นอันตราย[7]ช่องโหว่นี้เทียบเท่ากับรูทคิต

เอกสารไวรัสคอมพิวเตอร์ตัวแรกที่กำหนดเป้าหมายไปยังคอมพิวเตอร์ส่วนบุคคลค้นพบในปี 1986 ใช้เทคนิคการปิดบังเพื่อซ่อนตัวเอง: ไวรัส Brainสกัดกั้นความพยายามในการอ่านบูตเซกเตอร์และเปลี่ยนเส้นทางเหล่านี้ไปยังที่อื่นบนดิสก์ซึ่งมีสำเนาของบูตเซกเตอร์ดั้งเดิม ถูกเก็บไว้[1] เมื่อเวลาผ่านไปวิธีการปิดบังไวรัสDOSมีความซับซ้อนมากขึ้น เทคนิคขั้นสูงรวมhookingระดับต่ำดิสก์INT 13H BIOS ขัดขวางการโทรไปซ่อนปรับเปลี่ยนไม่ได้รับอนุญาตไปยังแฟ้ม[1]

rootkit ที่เป็นอันตรายเป็นครั้งแรกสำหรับWindows NTระบบปฏิบัติการปรากฏในปี 1999: โทรจันที่เรียกว่าNTRootkitสร้างขึ้นโดยเกร็ก Hoglund [8]ตามด้วยHackerDefenderในปี 2546 [1] รูทคิตแรกที่กำหนดเป้าหมายไปยังMac OS Xปรากฏในปี 2552 [9]ในขณะที่เวิร์มStuxnetเป็นคนแรกที่กำหนดเป้าหมายตัวควบคุมลอจิกแบบตั้งโปรแกรมได้ (PLC) [10]

เรื่องอื้อฉาวรูทคิทป้องกันการคัดลอกของ Sony BMG

สกรีนช็อตของRootkitRevealerแสดงไฟล์ที่ซ่อนอยู่โดยExtended Copy Protection rootkit

ในปี 2548 Sony BMG ได้เผยแพร่ซีดีที่มีการป้องกันการคัดลอกและซอฟต์แวร์การจัดการสิทธิ์ดิจิทัลที่เรียกว่าExtended Copy Protectionซึ่งสร้างโดยบริษัทซอฟต์แวร์ First 4 Internet ซอฟต์แวร์รวมเครื่องเล่นเพลงไว้ด้วย แต่ติดตั้งรูทคิตอย่างเงียบๆ ซึ่งจำกัดความสามารถของผู้ใช้ในการเข้าถึงซีดี [11]วิศวกรซอฟต์แวร์Mark Russinovichผู้สร้างเครื่องมือตรวจจับรูทคิตRootkitRevealerค้นพบรูทคิตในคอมพิวเตอร์เครื่องใดเครื่องหนึ่งของเขา [1]เรื่องอื้อฉาวที่ตามมาทำให้สาธารณชนตระหนักถึงรูทคิท (12)ในการปิดบังตัวเอง รูทคิทจะซ่อนไฟล์ใดๆ ที่ขึ้นต้นด้วย "$sys$" จากผู้ใช้ ไม่นานหลังจากรายงานของ Russinovich มัลแวร์ปรากฏขึ้นซึ่งใช้ประโยชน์จากช่องโหว่ของระบบที่ได้รับผลกระทบ [1]นักวิเคราะห์ของBBCคนหนึ่งเรียกมันว่า " ฝันร้ายของการประชาสัมพันธ์ " [13] Sony BMG ได้ออกแพตช์เพื่อถอนการติดตั้งรูทคิต แต่มันทำให้ผู้ใช้เห็นช่องโหว่ที่ร้ายแรงยิ่งขึ้นไปอีก [14]ในที่สุดบริษัทก็เรียกคืนซีดี ในสหรัฐอเมริกา มีการฟ้องร้องดำเนินคดีแบบกลุ่มต่อ Sony BMG [15]

คดีดักฟังโทรศัพท์กรีก 2004–05

กรณีดักฟังโทรศัพท์กรีก 2004-05ยังเรียกเป็นภาษากรีกวอเตอร์เกท[16]เกี่ยวข้องกับการกระทำที่ผิดกฎหมายโทรศัพท์แตะมากกว่า 100  โทรศัพท์มือถือบนVodafone กรีซเครือข่ายที่อยู่ส่วนใหญ่จะเป็นสมาชิกของกรีกของรัฐบาลและการจัดอันดับสุดยอดข้าราชการ ก๊อกเริ่มขึ้นเมื่อใกล้ต้นเดือนสิงหาคม 2547 และถูกลบออกในเดือนมีนาคม 2548 โดยไม่พบตัวตนของผู้กระทำความผิด ผู้บุกรุกติดตั้ง rootkit กำหนดเป้าหมายอีริคสันชุมสายโทรศัพท์ขวานตามIEEE Spectrumนี่เป็น "ครั้งแรกที่มีการสังเกตรูทคิทบนระบบวัตถุประสงค์พิเศษ ในกรณีนี้คือสวิตช์โทรศัพท์ของ Ericsson"[17] รูทคิทได้รับการออกแบบมาเพื่อแก้ไขหน่วยความจำของการแลกเปลี่ยนในขณะที่กำลังทำงาน เปิดใช้งานการดักฟังขณะปิดใช้งานบันทึกการตรวจสอบ แก้ไขคำสั่งที่แสดงรายการกระบวนการที่ใช้งานอยู่และบล็อกข้อมูลที่ใช้งานอยู่ และแก้ไขคำสั่งตรวจสอบการตรวจสอบบล็อกข้อมูล"แบ็คดอร์" อนุญาตให้ผู้ปฏิบัติงานที่มีสถานะดูแลระบบปิดใช้งานบันทึกธุรกรรม การแจ้งเตือน และคำสั่งการเข้าถึงของการแลกเปลี่ยนที่เกี่ยวข้องกับความสามารถในการเฝ้าระวัง [17] รูทคิตถูกค้นพบหลังจากผู้บุกรุกติดตั้งการอัปเดตที่ผิดพลาด ซึ่งทำให้ SMSข้อความที่จะไม่ถูกส่งมอบ นำไปสู่การสร้างรายงานความล้มเหลวโดยอัตโนมัติ วิศวกรของ Ericsson ถูกเรียกให้ตรวจสอบข้อผิดพลาดและค้นพบบล็อคข้อมูลที่ซ่อนอยู่ซึ่งมีรายการหมายเลขโทรศัพท์ที่กำลังตรวจสอบอยู่ พร้อมกับรูทคิตและซอฟต์แวร์ตรวจสอบที่ผิดกฎหมาย

ใช้

รูทคิทสมัยใหม่ไม่ได้ยกระดับการเข้าถึง[3]แต่ถูกใช้เพื่อทำให้ไม่สามารถตรวจจับเพย์โหลดซอฟต์แวร์อื่นได้โดยเพิ่มความสามารถในการซ่อนตัว[8]รูทคิทส่วนใหญ่จัดอยู่ในประเภทมัลแวร์เนื่องจากเพย์โหลดที่รวมเข้าด้วยกันนั้นเป็นอันตราย ยกตัวอย่างเช่นบรรจุซ่อนเร้นอาจขโมยผู้ใช้รหัสผ่าน , บัตรเครดิตข้อมูลทรัพยากรคอมพิวเตอร์หรือทำกิจกรรมอื่น ๆ ที่ไม่ได้รับอนุญาต ผู้ใช้อาจพิจารณารูทคิตจำนวนเล็กน้อยว่าเป็นแอพพลิเคชั่นยูทิลิตี้ ตัวอย่างเช่น รูทคิตอาจปิดบังไดรเวอร์การจำลองซีดีรอมทำให้ผู้ใช้วิดีโอเกมสามารถเอาชนะการต่อต้านการละเมิดลิขสิทธิ์ มาตรการที่จำเป็นต้องใส่สื่อการติดตั้งดั้งเดิมลงในออปติคัลไดรฟ์จริงเพื่อตรวจสอบว่าซอฟต์แวร์ถูกซื้ออย่างถูกกฎหมาย

รูทคิทและเพย์โหลดมีประโยชน์หลายอย่าง:

  • ให้ผู้โจมตีเข้าถึงได้อย่างเต็มที่ผ่านแบ็คดอร์ อนุญาตการเข้าถึงโดยไม่ได้รับอนุญาต เช่น ขโมยหรือปลอมแปลงเอกสาร วิธีหนึ่งในการดำเนินการนี้คือการทำลายกลไกการเข้าสู่ระบบ เช่น โปรแกรม /bin/login บนระบบที่คล้าย UnixหรือGINAบน Windows การแทนที่ดูเหมือนจะทำงานได้ตามปกติ แต่ยังยอมรับการรวมการเข้าสู่ระบบที่เป็นความลับที่ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบโดยตรงด้วยสิทธิ์ของผู้ดูแลระบบ โดยข้ามกลไกการตรวจสอบสิทธิ์และการอนุญาตมาตรฐาน
  • อื่น ๆ ปกปิดมัลแวร์ที่โดดเด่นขโมยรหัสผ่านตัดไม้ที่สำคัญและไวรัสคอมพิวเตอร์ [18]
  • ใช้เครื่องที่ถูกบุกรุกเป็นคอมพิวเตอร์ซอมบี้เพื่อโจมตีคอมพิวเตอร์เครื่องอื่น (การโจมตีเกิดขึ้นจากระบบหรือเครือข่ายที่ถูกบุกรุก แทนที่จะเป็นระบบของผู้โจมตี) คอมพิวเตอร์ "ซอมบี้" มักจะเป็นสมาชิกของบ็อตเน็ตขนาดใหญ่ที่สามารถเรียกใช้การโจมตีแบบปฏิเสธการให้บริการแจกจ่ายอีเมล ขยะและ การดำเนินการโกงคลิก (19)

ในบางกรณี รูทคิทมีฟังก์ชันที่ต้องการ และอาจติดตั้งโดยเจตนาในนามของผู้ใช้คอมพิวเตอร์:

  • ตรวจสอบและป้องกันการโกงในเกมออนไลน์กับซอฟต์แวร์เช่นผู้คุมและเกมส์การ์ด (20)
  • ตรวจจับการโจมตีเช่นในhoneypot [21]
  • ปรับปรุงซอฟต์แวร์จำลองและซอฟต์แวร์ความปลอดภัย[22] แอลกอฮอล์ 120%และภูตเครื่องมือเป็นตัวอย่างในเชิงพาณิชย์ของรูทคิทที่ไม่ใช่ศัตรูที่ใช้ในการพ่ายแพ้กลไกป้องกันการคัดลอกเช่นSafeDiscและSecuROM [23] ซอฟต์แวร์ป้องกันไวรัสของ Kasperskyยังใช้เทคนิคที่คล้ายกับรูทคิทเพื่อป้องกันตัวเองจากการกระทำที่เป็นอันตราย มันโหลดไดรเวอร์ของตัวเองเพื่อสกัดกั้นกิจกรรมของระบบ และป้องกันกระบวนการอื่น ๆ จากการทำร้ายตัวเอง กระบวนการไม่ได้ถูกซ่อนไว้ แต่ไม่สามารถยุติได้ด้วยวิธีการมาตรฐาน
  • การป้องกันการโจรกรรม: แล็ปท็อปอาจมีซอฟต์แวร์รูทคิตที่ใช้ BIOS ซึ่งจะรายงานไปยังหน่วยงานกลางเป็นระยะ เพื่อให้สามารถตรวจสอบ ปิดใช้งาน หรือลบข้อมูลแล็ปท็อปในกรณีที่ถูกขโมย [24]
  • ข้ามการเปิดใช้งานผลิตภัณฑ์ Microsoft [25]

ประเภท

มีอย่างน้อยห้าประเภทของ rootkit ตั้งแต่ผู้ที่อยู่ในระดับต่ำสุดในเฟิร์ม (ที่มีสิทธิ์สูงสุด) ผ่านไปอย่างน้อยสายพันธุ์ตามผู้ใช้ที่มีสิทธิพิเศษที่ดำเนินงานในแหวน 3 การผสมแบบไฮบริดของสิ่งเหล่านี้อาจเกิดขึ้นโดยขยายออกไป ตัวอย่างเช่น โหมดผู้ใช้และโหมดเคอร์เนล (26)

โหมดผู้ใช้

วงแหวนความปลอดภัยของคอมพิวเตอร์ (โปรดทราบว่าRing -1ไม่แสดง)

รูทคิทโหมดผู้ใช้ทำงานในRing 3ร่วมกับแอปพลิเคชันอื่นๆ ในฐานะผู้ใช้ แทนที่จะเป็นกระบวนการของระบบระดับต่ำ [27]พวกเขามีเวกเตอร์การติดตั้งที่เป็นไปได้จำนวนหนึ่งเพื่อสกัดกั้นและแก้ไขพฤติกรรมมาตรฐานของ Application Programming Interface (API) บางคนใส่ไลบรารีที่เชื่อมโยงแบบไดนามิก (เช่นไฟล์.DLLบน Windows หรือไฟล์ .dylib บนMac OS X ) ลงในกระบวนการอื่นๆ และสามารถดำเนินการภายในกระบวนการเป้าหมายใดๆ เพื่อปลอมแปลงได้ อื่น ๆ ที่มีสิทธิ์เพียงพอเพียงเขียนทับหน่วยความจำของแอปพลิเคชันเป้าหมาย กลไกการฉีดประกอบด้วย: [27]

  • การใช้ส่วนขยายแอปพลิเคชันที่ผู้ขายจัดหาให้ ตัวอย่างเช่นWindows Explorerมีอินเทอร์เฟซสาธารณะที่อนุญาตให้บุคคลที่สามขยายฟังก์ชันการทำงานได้
  • การสกัดกั้นของข้อความ
  • แก้จุดบกพร่อง
  • การใช้ประโยชน์จากช่องโหว่ความปลอดภัย
  • ฟังก์ชันhookingหรือ patching ของ API ที่ใช้กันทั่วไป เช่น เพื่อซ่อนกระบวนการที่ทำงานอยู่หรือไฟล์ที่อยู่ในระบบไฟล์ (28)

...เนื่องจากแอปพลิเคชันโหมดผู้ใช้ทั้งหมดทำงานในพื้นที่หน่วยความจำของตนเอง รูทคิตจำเป็นต้องทำการแพตช์นี้ในพื้นที่หน่วยความจำของทุกแอปพลิเคชันที่ทำงานอยู่ นอกจากนี้ รูทคิตจำเป็นต้องตรวจสอบระบบสำหรับแอปพลิเคชันใหม่ใดๆ ที่ดำเนินการและแก้ไขพื้นที่หน่วยความจำของโปรแกรมเหล่านั้นก่อนที่จะดำเนินการอย่างสมบูรณ์

—  ภาพรวม Windows Rootkit, ไซแมนเทค[3]

โหมดเคอร์เนล

rootkits โหมดเคอร์เนลทำงานกับสิทธิประโยชน์ระบบปฏิบัติการสูงสุด ( แหวน 0 ) โดยการเพิ่มรหัสหรือเปลี่ยนบางส่วนของระบบปฏิบัติการหลักรวมทั้งทั้งเคอร์เนลและเกี่ยวข้องไดรเวอร์อุปกรณ์ [ ต้องการการอ้างอิง ]ระบบปฏิบัติการส่วนใหญ่สนับสนุนไดรเวอร์อุปกรณ์โหมดเคอร์เนล ซึ่งดำเนินการด้วยสิทธิ์เดียวกันกับระบบปฏิบัติการเอง เป็นเช่นนี้หลาย rootkits โหมดเคอร์เนลมีการพัฒนาโปรแกรมควบคุมอุปกรณ์หรือโมดูลที่ใส่ได้เช่นโมดูลเคอร์เนลที่ใส่ได้ในลินุกซ์หรือไดรเวอร์อุปกรณ์ในMicrosoft Windows รูทคิตคลาสนี้มีการเข้าถึงความปลอดภัยไม่จำกัด แต่เขียนยากกว่า[29]ความซับซ้อนทำให้เกิดข้อผิดพลาดทั่วไป และข้อบกพร่องใดๆ ในโค้ดที่ทำงานในระดับเคอร์เนลอาจส่งผลกระทบอย่างร้ายแรงต่อความเสถียรของระบบ นำไปสู่การค้นพบรูทคิต [29]หนึ่งที่รู้จักกันอย่างกว้างขวางครั้งแรก rootkits เคอร์เนลรับการพัฒนาสำหรับ Windows NT 4.0และเปิดตัวใน Phrackนิตยสารในปี 1999 โดยเกร็ก Hoglund [30] [31]รูทคิตของเคอร์เนลอาจตรวจจับและเอาออกได้ยากเป็นพิเศษ เนื่องจากทำงานในระดับความปลอดภัยเดียวกันกับระบบปฏิบัติการ จึงสามารถสกัดกั้นหรือทำลายการดำเนินงานของระบบปฏิบัติการที่น่าเชื่อถือที่สุดได้ ซอฟต์แวร์ใดๆ เช่นซอฟต์แวร์ป้องกันไวรัสการทำงานบนระบบที่ถูกบุกรุกนั้นมีความเสี่ยงเท่ากัน[32]ในสถานการณ์นี้ ไม่มีส่วนใดของระบบที่เชื่อถือได้

รูทคิตสามารถแก้ไขโครงสร้างข้อมูลในเคอร์เนลของ Windows โดยใช้วิธีการที่เรียกว่าการจัดการวัตถุเคอร์เนลโดยตรง (DKOM) [33]วิธีนี้สามารถใช้เพื่อซ่อนกระบวนการ รูทคิตโหมดเคอร์เนลยังสามารถขอSystem Service Descriptor Table (SSDT) ​​หรือแก้ไขเกตระหว่างโหมดผู้ใช้และโหมดเคอร์เนลเพื่อปิดบังตัวเอง[3]ในทำนองเดียวกันสำหรับระบบปฏิบัติการลีนุกซ์รูทคิตสามารถแก้ไขตารางการเรียกของระบบเพื่อล้มล้างการทำงานของเคอร์เนล[34] [35]เป็นเรื่องปกติที่รูทคิตจะสร้างระบบไฟล์ที่เข้ารหัสลับซึ่งซ่อนไว้ ซึ่งสามารถซ่อนมัลแวร์อื่น ๆ หรือสำเนาต้นฉบับของไฟล์ที่ติดไวรัสได้(36)ระบบปฏิบัติการกำลังพัฒนาเพื่อตอบโต้ภัยคุกคามของรูทคิตในโหมดเคอร์เนล ตัวอย่างเช่น ขณะนี้ Microsoft Windows รุ่น 64 บิตใช้การลงนามบังคับของไดรเวอร์ระดับเคอร์เนลทั้งหมด เพื่อทำให้โค้ดที่ไม่น่าเชื่อถือดำเนินการด้วยสิทธิ์สูงสุดในระบบได้ยากขึ้น [37]

Bootkits

ตัวแปรรูทคิตในโหมดเคอร์เนลที่เรียกว่าbootkitสามารถติดโค้ดเริ่มต้น เช่นMaster Boot Record (MBR), Volume Boot Record (VBR) หรือบูตเซกเตอร์และด้วยวิธีนี้ สามารถใช้เพื่อโจมตีระบบเข้ารหัสดิสก์ทั้งหมดได้[38] ตัวอย่างของการโจมตีดังกล่าวในการเข้ารหัสดิสก์คือ " evil maid attack " ซึ่งผู้โจมตีติดตั้ง bootkit บนคอมพิวเตอร์แบบไม่ต้องใส่ข้อมูล สถานการณ์สมมติคือสาวใช้แอบเข้าไปในห้องพักในโรงแรมที่เหยื่อทิ้งฮาร์ดแวร์ไว้[39] bootkit แทนที่boot loader ที่ถูกต้องตามกฎหมายด้วยอันที่อยู่ภายใต้การควบคุมของพวกเขา โดยทั่วไปแล้ว ตัวโหลดมัลแวร์จะยังคงอยู่ผ่านการเปลี่ยนไปใช้โหมดป้องกันเมื่อโหลดเคอร์เนล และสามารถล้มล้างเคอร์เนลได้[40] [41] [42]ตัวอย่างเช่น "Stoned Bootkit" ทำลายระบบโดยใช้บูตโหลดเดอร์ที่ถูกบุกรุกเพื่อสกัดกั้นคีย์การเข้ารหัสและรหัสผ่าน[43] [ แหล่งเผยแพร่ด้วยตนเอง? ]ในปี 2010, rootkit Alureon ได้ล้มเลิกไปประสบความสำเร็จในความต้องการสำหรับ 64 บิตโหมดเคอร์เนลลงนามไดรเวอร์ในWindows 7โดยการปรับเปลี่ยนมาสเตอร์บูตเรคคอร์ด [44]แม้ว่าจะไม่ใช่มัลแวร์ในแง่ของการทำบางสิ่งที่ผู้ใช้ไม่ต้องการ แต่ซอฟต์แวร์ "Vista Loader" หรือ "Windows Loader" บางตัวทำงานในลักษณะเดียวกันโดยการฉีดACPISLIC (ระบบรับใบอนุญาตรหัสภายใน) ตารางในรุ่น RAM แคชของ BIOS ในระหว่างการบูตเพื่อที่จะเอาชนะWindows Vista และ Windows 7 ขั้นตอนการเปิดใช้งาน [ อ้างอิงจำเป็น ]เวกเตอร์การโจมตีนี้ไร้ประโยชน์ในWindows 8รุ่น (ที่ไม่ใช่เซิร์ฟเวอร์) ซึ่งใช้คีย์เฉพาะเครื่องเฉพาะสำหรับแต่ละระบบ ซึ่งสามารถใช้ได้โดยเครื่องเดียวเท่านั้น [45]บริษัทแอนติไวรัสหลายแห่งจัดให้มีโปรแกรมอรรถประโยชน์และโปรแกรมฟรีสำหรับลบ bootkits

ระดับไฮเปอร์ไวเซอร์

Rootkits ถูกสร้างขึ้นเป็น Type II Hypervisorsในแวดวงวิชาการเพื่อเป็นเครื่องพิสูจน์แนวคิด ด้วยการใช้ประโยชน์จากคุณสมบัติการจำลองเสมือนของฮาร์ดแวร์ เช่นIntel VTหรือAMD-Vรูทคิทประเภทนี้ทำงานใน Ring -1 และโฮสต์ระบบปฏิบัติการเป้าหมายเป็นเครื่องเสมือนซึ่งช่วยให้รูทคิตสามารถสกัดกั้นการเรียกฮาร์ดแวร์ที่ทำโดยระบบปฏิบัติการดั้งเดิมได้[5]ไม่เหมือนกับไฮเปอร์ไวเซอร์ทั่วไป พวกเขาไม่ต้องโหลดก่อนระบบปฏิบัติการ แต่สามารถโหลดเข้าสู่ระบบปฏิบัติการก่อนที่จะโปรโมตลงในเครื่องเสมือน[5]รูทคิตไฮเปอร์ไวเซอร์ไม่จำเป็นต้องทำการแก้ไขใด ๆ กับเคอร์เนลของเป้าหมายเพื่อล้มล้าง อย่างไรก็ตามนั่นไม่ได้หมายความว่าระบบปฏิบัติการของแขกไม่สามารถตรวจพบได้ ตัวอย่างเช่น ความแตกต่างของเวลาอาจตรวจพบได้ในคำสั่งCPU [5]รูทคิตสำหรับห้องปฏิบัติการ "SubVirt" ซึ่งพัฒนาโดยนักวิจัยของMicrosoftและมหาวิทยาลัยมิชิแกนเป็นตัวอย่างทางวิชาการของรูทคิตบนเครื่องเสมือน (VMBR) [46] ในขณะที่ซอฟต์แวร์Blue Pillเป็นอีกซอฟต์แวร์หนึ่ง ในปี 2009 นักวิจัยจาก Microsoft และNorth Carolina State University ได้สาธิตไฮเปอร์ไวเซอร์-เลเยอร์ anti-rootkit ที่เรียกว่าHooksafeซึ่งให้การป้องกันทั่วไปสำหรับรูทคิตในโหมดเคอร์เนล [47] Windows 10เปิดตัวคุณลักษณะใหม่ที่เรียกว่า "Device Guard" ซึ่งใช้ประโยชน์จากการจำลองเสมือนเพื่อให้การป้องกันภายนอกที่เป็นอิสระของระบบปฏิบัติการจากมัลแวร์ประเภทรูทคิต [48]

เฟิร์มแวร์และฮาร์ดแวร์

เฟิร์มแว rootkit ใช้อุปกรณ์หรือแพลตฟอร์มเฟิร์มเพื่อสร้างภาพมัลแวร์แบบถาวรในฮาร์ดแวร์เช่นเราเตอร์ , การ์ดเครือข่าย , [49] ฮาร์ดไดรฟ์หรือระบบBIOS [27] [50]ซ่อน rootkit ในเฟิร์มเพราะเฟิร์มไม่ได้มักจะตรวจสอบความสมบูรณ์ของรหัสจอห์น Heasman แสดงให้เห็นถึงศักยภาพของรูทคิทเฟิร์มทั้งในACPIกิจวัตรเฟิร์ม[51]และในPCIการ์ดขยายตัวรอม [52]ในเดือนตุลาคม 2551 อาชญากรปลอมแปลงบัตรเครดิตของยุโรป-เครื่องอ่านก่อนติดตั้ง อุปกรณ์ดักจับและส่งรายละเอียดบัตรเครดิตผ่านเครือข่ายโทรศัพท์มือถือ[53]ในเดือนมีนาคม 2009 นักวิจัย Alfredo Ortega และAnibal Sacco ได้เผยแพร่รายละเอียดของรูทคิต Windows ระดับBIOSที่สามารถเอาตัวรอดจากการเปลี่ยนดิสก์และการติดตั้งระบบปฏิบัติการใหม่[54] [55] [56]ไม่กี่เดือนต่อมาพวกเขาได้เรียนรู้ว่าแล็ปท็อปบางเครื่องขายพร้อมกับรูทคิทที่ถูกต้องตามกฎหมาย ซึ่งรู้จักกันในชื่อ Absolute CompuTraceหรือ Absolute LoJack สำหรับแล็ปท็อปซึ่งติดตั้งไว้ล่วงหน้าในอิมเมจ BIOS จำนวนมาก นี่คือระบบเทคโนโลยีป้องกันการโจรกรรมที่นักวิจัยพบว่าสามารถเปลี่ยนเป็นวัตถุประสงค์ที่เป็นอันตรายได้[24]

อินเทลเทคโนโลยีการจัดการที่ใช้งานอยู่เป็นส่วนหนึ่งของIntel vProการดำเนินการออกจากวงของการจัดการให้ผู้ดูแลระบบการบริหารระยะไกล , การจัดการระยะไกลและการควบคุมระยะไกลของพีซีที่ไม่เกี่ยวข้องกับโฮสต์โปรเซสเซอร์หรือ BIOS แม้ว่าระบบจะปิดอยู่ การดูแลระบบระยะไกลรวมถึงการเปิดเครื่องและปิดเครื่องจากระยะไกล การรีเซ็ตจากระยะไกล การบูตแบบเปลี่ยนเส้นทาง การเปลี่ยนเส้นทางคอนโซล การเข้าถึงการตั้งค่า BIOS ก่อนบูต การกรองแบบตั้งโปรแกรมได้สำหรับการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก การตรวจสอบสถานะของตัวแทน ตามนโยบายนอกแถบความถี่ การแจ้งเตือน การเข้าถึงข้อมูลระบบ เช่น ข้อมูลสินทรัพย์ฮาร์ดแวร์ บันทึกเหตุการณ์ถาวร และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในหน่วยความจำเฉพาะ (ไม่ใช่ในฮาร์ดไดรฟ์) ซึ่งสามารถเข้าถึงได้แม้ว่าระบบปฏิบัติการจะปิดอยู่หรือพีซีปิดอยู่ ฟังก์ชันบางอย่างเหล่านี้ต้องการรูทคิตในระดับที่ลึกที่สุด ซึ่งเป็นคอมพิวเตอร์สายลับที่ถอดไม่ได้เครื่องที่สองซึ่งสร้างขึ้นจากคอมพิวเตอร์หลัก Sandy Bridge และชิปเซ็ตในอนาคตมี "ความสามารถในการฆ่าและกู้คืนพีซีที่สูญหายหรือถูกขโมยจากระยะไกลผ่าน 3G"รูทคิทของฮาร์ดแวร์ที่สร้างขึ้นในชิปเซ็ตสามารถช่วยกู้คืนคอมพิวเตอร์ที่ถูกขโมย ลบข้อมูล หรือทำให้พวกเขาไร้ประโยชน์ แต่ยังนำเสนอข้อกังวลด้านความเป็นส่วนตัวและความปลอดภัยจากการสอดแนมและการเปลี่ยนเส้นทางที่ตรวจไม่พบโดยผู้บริหารหรือแฮกเกอร์ที่อาจเข้าควบคุม

การติดตั้งและการปิดบัง

รูทคิทใช้เทคนิคที่หลากหลายเพื่อควบคุมระบบ ประเภทของรูทคิตมีอิทธิพลต่อการเลือกเวกเตอร์โจมตี เทคนิคที่พบมากที่สุดใช้ประโยชน์จากช่องโหว่ความปลอดภัยเพื่อให้บรรลุซ่อนเร้นเพิ่มสิทธิอีกวิธีหนึ่งคือการใช้ม้าโทรจันหลอกลวงผู้ใช้คอมพิวเตอร์ให้เชื่อถือโปรแกรมติดตั้งของรูทคิตว่าไม่เป็นอันตราย ในกรณีนี้วิศวกรรมสังคมจะหลอกล่อผู้ใช้ว่ารูทคิตมีประโยชน์[29]งานติดตั้งทำได้ง่ายขึ้นหากหลักการของสิทธิพิเศษน้อยที่สุดไม่ถูกนำไปใช้ เนื่องจากรูทคิตไม่จำเป็นต้องร้องขอสิทธิ์ระดับสูง (ระดับผู้ดูแลระบบ) อย่างชัดเจน รูทคิตคลาสอื่นๆ สามารถติดตั้งได้โดยผู้ที่มีสิทธิ์เข้าถึงระบบเป้าหมายทางกายภาพเท่านั้น รูทคิทบางตัวอาจถูกติดตั้งโดยเจตนาโดยเจ้าของระบบหรือผู้ที่ได้รับอนุญาตจากเจ้าของ เช่น เพื่อวัตถุประสงค์ในการตรวจสอบพนักงานทำให้เทคนิคที่โค่นล้มนั้นไม่จำเป็น[57]การติดตั้งรูทคิตที่เป็นอันตรายบางอย่างได้รับการขับเคลื่อนในเชิงพาณิชย์ โดยใช้วิธีชดเชยแบบจ่ายต่อการติดตั้ง (PPI) ตามปกติสำหรับการแจกจ่าย[58] [59]

เมื่อติดตั้งแล้ว รูทคิตจะใช้มาตรการเชิงรุกเพื่อปิดบังการมีอยู่ภายในระบบโฮสต์ผ่านการโค่นล้มหรือการหลีกเลี่ยงเครื่องมือความปลอดภัยของระบบปฏิบัติการมาตรฐานและApplication Programming Interface (API) ที่ใช้สำหรับการวินิจฉัย การสแกน และการตรวจสอบ[60] Rootkits บรรลุนี้โดยการปรับเปลี่ยนลักษณะการทำงานของชิ้นส่วนหลักของระบบปฏิบัติการผ่านรหัสโหลดเข้าสู่กระบวนการอื่น ๆ การติดตั้งหรือการปรับเปลี่ยนของไดรเวอร์หรือเคอร์เนลโมดูลเทคนิคการสร้างความสับสนรวมถึงการปกปิดกระบวนการที่ทำงานอยู่จากกลไกการตรวจสอบระบบและการซ่อนไฟล์ระบบและข้อมูลการกำหนดค่าอื่นๆ[61]ไม่ใช่เรื่องแปลกที่รูทคิตจะปิดการใช้งานความสามารถในการบันทึกเหตุการณ์ของระบบปฏิบัติการ เพื่อพยายามซ่อนหลักฐานการโจมตี ในทางทฤษฎี รูทคิทสามารถล้มล้างกิจกรรมของระบบปฏิบัติการใดๆ ก็ได้[62] "รูทคิทที่สมบูรณ์แบบ" สามารถคิดได้ว่าคล้ายกับ " อาชญากรรมที่สมบูรณ์แบบ ": อาชญากรรมที่ไม่มีใครรู้ว่าเกิดขึ้นแล้ว รูทคิทยังใช้มาตรการหลายอย่างเพื่อให้แน่ใจว่าพวกเขาจะอยู่รอดต่อการตรวจจับและ "ทำความสะอาด" โดยซอฟต์แวร์ป้องกันไวรัส นอกเหนือจากการติดตั้งโดยทั่วไปใน Ring 0 (โหมดเคอร์เนล) ซึ่งพวกเขาสามารถเข้าถึงระบบได้อย่างสมบูรณ์ สิ่งเหล่านี้รวมถึงความหลากหลาย (เปลี่ยนเพื่อให้ "ลายเซ็น" ของพวกเขายากต่อการตรวจจับ) เทคนิคการซ่อนตัว การสร้างใหม่ ปิดการใช้งานหรือปิดซอฟต์แวร์ป้องกันมัลแวร์[63]และไม่ได้ติดตั้งบนเครื่องเสมือนที่นักวิจัยสามารถค้นพบและวิเคราะห์ได้ง่ายขึ้น

การตรวจจับ

ปัญหาพื้นฐานของการตรวจจับรูทคิตคือ หากระบบปฏิบัติการถูกโค่นล้ม โดยเฉพาะอย่างยิ่งโดยรูทคิตระดับเคอร์เนล จะไม่สามารถเชื่อถือได้ในการค้นหาการแก้ไขที่ไม่ได้รับอนุญาตสำหรับตัวมันเองหรือส่วนประกอบ[62] การดำเนินการต่างๆ เช่น การขอรายการกระบวนการที่ทำงานอยู่ หรือรายการไฟล์ในไดเร็กทอรี เชื่อถือไม่ได้ให้ทำงานตามที่คาดไว้ กล่าวอีกนัยหนึ่ง ตัวตรวจจับรูทคิตที่ทำงานขณะทำงานบนระบบที่ติดไวรัสนั้นมีผลเฉพาะกับรูทคิตที่มีข้อบกพร่องบางประการในการพรางตัว หรือทำงานโดยมีสิทธิ์โหมดผู้ใช้ต่ำกว่าซอฟต์แวร์ตรวจจับในเคอร์เนล[29]เช่นเดียวกับไวรัสคอมพิวเตอร์การตรวจจับและกำจัดรูทคิทเป็นการต่อสู้อย่างต่อเนื่องระหว่างทั้งสองฝ่ายของความขัดแย้งนี้[62]การตรวจจับสามารถทำได้หลายวิธี รวมถึงการมองหา "ลายเซ็น" ของไวรัส (เช่น ซอฟต์แวร์ป้องกันไวรัส) การตรวจสอบความสมบูรณ์ (เช่นลายเซ็นดิจิทัล ) การตรวจจับตามความแตกต่าง (การเปรียบเทียบผลลัพธ์ที่คาดหวังกับผลลัพธ์จริง) และการตรวจจับพฤติกรรม (เช่น การตรวจสอบ) การใช้ CPU หรือการรับส่งข้อมูลเครือข่าย)

สำหรับ rootkits โหมดเคอร์เนลการตรวจสอบเป็นอย่างมากที่ซับซ้อนมากขึ้นต้องตรวจสอบข้อเท็จจริงอย่างระมัดระวังของโทรตารางระบบที่จะมองหาฟังก์ชั่นติดยาเสพติดที่มัลแวร์อาจจะบ่อนทำลายพฤติกรรมของระบบ, [64]เช่นเดียวกับทางนิติเวชสแกนหน่วยความจำสำหรับรูปแบบที่บ่งบอกถึงกระบวนการซ่อน . Unix ข้อเสนอ rootkit ตรวจสอบรวมถึง Zeppoo, [65] chkrootkit , rkhunter สำหรับแพลตฟอร์มวินโดวส์และOSSECสำหรับ Windows เครื่องมือตรวจจับได้แก่ Microsoft Sysinternals RootkitRevealer , [66] Avast Antivirus , [67] Sophos Anti-Rootkit, [68] F-Secure , [69] Radix, [70] GMER , [71]และWindowsSCOPE ตัวตรวจจับรูทคิตใดๆ ก็ตามที่พิสูจน์แล้วว่ามีประสิทธิภาพในท้ายที่สุดมีส่วนทำให้ความไร้ประสิทธิภาพของตนเองในท้ายที่สุด เนื่องจากผู้เขียนมัลแวร์ปรับและทดสอบโค้ดของตนเพื่อหลีกเลี่ยงการตรวจจับด้วยเครื่องมือที่ใช้อย่างดี [หมายเหตุ 1] การตรวจจับโดยการตรวจสอบพื้นที่เก็บข้อมูลในขณะที่ระบบปฏิบัติการต้องสงสัยไม่ทำงาน อาจพลาดรูทคิตที่ซอฟต์แวร์ตรวจสอบไม่รู้จัก เนื่องจากรูทคิตไม่ทำงานและพฤติกรรมที่น่าสงสัยจะถูกระงับ ซอฟต์แวร์ป้องกันมัลแวร์ทั่วไปที่ทำงานด้วยการทำงานของรูทคิตอาจล้มเหลวหากรูทคิตซ่อนตัวเองอย่างมีประสิทธิภาพ

สื่อทางเลือกอื่นที่เชื่อถือได้

วิธีที่ดีที่สุดและน่าเชื่อถือที่สุดสำหรับการตรวจหารูทคิตระดับระบบปฏิบัติการคือการปิดเครื่องคอมพิวเตอร์ที่ต้องสงสัยว่าติดไวรัส จากนั้นจึงตรวจสอบที่เก็บข้อมูลโดยบูตจากสื่ออื่นที่เชื่อถือได้ (เช่นซีดีรอม "กู้ภัย" หรือแฟลชไดรฟ์ USB ). [72]เทคนิคนี้ใช้ได้ผลเพราะรูทคิตไม่สามารถซ่อนการแสดงตนได้หากไม่ได้ทำงาน

ตามพฤติกรรม

วิธีการตามพฤติกรรมในการตรวจหารูทคิตพยายามอนุมานว่ามีรูทคิตโดยมองหาพฤติกรรมที่คล้ายกับรูทคิต ตัวอย่างเช่น โดยการทำโปรไฟล์ระบบ ความแตกต่างของเวลาและความถี่ของการเรียก API หรือการใช้งาน CPU โดยรวมสามารถนำมาประกอบกับรูทคิตได้ วิธีการนี้ซับซ้อนและถูกขัดขวางโดยอุบัติการณ์ของผลบวกลวงสูง รูทคิทที่บกพร่องในบางครั้งอาจแนะนำการเปลี่ยนแปลงที่ชัดเจนมากให้กับระบบ: รูทคิตAlureonขัดข้องระบบ Windows หลังจากการอัปเดตความปลอดภัยเปิดเผยข้อบกพร่องในการออกแบบในโค้ด[73] [74]บันทึกจากการวิเคราะห์แพ็คเก็ต , ไฟร์วอลล์หรือระบบป้องกันการบุกรุกอาจแสดงหลักฐานพฤติกรรมของรูทคิตในสภาพแวดล้อมเครือข่าย (26)

ตามลายเซ็น

ผลิตภัณฑ์ป้องกันไวรัสไม่ค่อยตรวจจับไวรัสทั้งหมดในการทดสอบสาธารณะ (ขึ้นอยู่กับสิ่งที่ใช้และขอบเขต) แม้ว่าผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยจะรวมการตรวจจับรูทคิตไว้ในผลิตภัณฑ์ของตน หากรูทคิตพยายามซ่อนระหว่างการสแกนไวรัส ตัวตรวจจับการลักลอบอาจสังเกตเห็น หากรูทคิตพยายามยกเลิกการโหลดตัวเองจากระบบชั่วคราว การตรวจจับลายเซ็น (หรือ "ลายนิ้วมือ") ยังคงสามารถค้นหาได้ [75]วิธีการแบบผสมผสานนี้บังคับให้ผู้โจมตีใช้กลไกการตอบโต้ หรือกิจวัตร "ย้อนยุค" ที่พยายามยุติโปรแกรมป้องกันไวรัส วิธีการตรวจจับแบบใช้ลายเซ็นจะได้ผลกับรูทคิตที่ได้รับการเผยแพร่อย่างดี แต่น้อยกว่านั้นเมื่อเทียบกับรูทคิตแบบกำหนดเองที่ออกแบบมาเป็นพิเศษ [62]

ตามความแตกต่าง

วิธีการที่สามารถตรวจพบรูทคิทอีกเปรียบเทียบ "เชื่อถือได้" ข้อมูลดิบกับ "ปนเปื้อน" เนื้อหากลับโดยAPIตัวอย่างเช่นไบนารีบนดิสก์สามารถเปรียบเทียบกับสำเนาภายในหน่วยความจำปฏิบัติการ (ในระบบปฏิบัติการบางระบบ อิมเมจในหน่วยความจำควรเหมือนกันกับอิมเมจบนดิสก์) หรือผลลัพธ์ที่ส่งคืนจากระบบไฟล์หรือWindows Registry API ได้ ถูกตรวจสอบเทียบกับโครงสร้างดิบบนฟิสิคัลดิสก์พื้นฐาน[62] [76] —อย่างไรก็ตาม ในกรณีของอดีต ความแตกต่างที่ถูกต้องบางประการสามารถนำมาใช้โดยกลไกของระบบปฏิบัติการ เช่น การย้ายตำแหน่งหน่วยความจำ หรือการชิม. รูทคิตอาจตรวจพบการมีอยู่ของเครื่องสแกนตามความแตกต่างหรือเครื่องเสมือน (ส่วนหลังที่ใช้กันทั่วไปในการวิเคราะห์ทางนิติวิทยาศาสตร์) และปรับพฤติกรรมเพื่อไม่ให้ตรวจพบความแตกต่าง เครื่องมือRootkitRevealerของRussinovichใช้เครื่องมือตรวจจับตามความแตกต่างเพื่อค้นหารูทคิต Sony DRM [1]

การตรวจสอบความถูกต้อง

rkhunter สำหรับแพลตฟอร์มวินโดวส์ยูทิลิตี้ใช้SHA-1 hashes เพื่อตรวจสอบความสมบูรณ์ของระบบไฟล์

การลงนามรหัสใช้โครงสร้างพื้นฐานคีย์สาธารณะเพื่อตรวจสอบว่าไฟล์ได้รับการแก้ไขหรือไม่นับตั้งแต่มีการเซ็นชื่อแบบดิจิทัลโดยผู้เผยแพร่ หรืออีกทางหนึ่ง เจ้าของระบบหรือผู้ดูแลระบบสามารถใช้ฟังก์ชันแฮชเข้ารหัสเพื่อคำนวณ "ลายนิ้วมือ" ในขณะติดตั้ง ซึ่งจะช่วยตรวจจับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตในภายหลังในไลบรารีโค้ดบนดิสก์[77]อย่างไรก็ตาม รูปแบบที่ไม่ซับซ้อนจะตรวจสอบเฉพาะว่ารหัสนั้นได้รับการแก้ไขตั้งแต่เวลาติดตั้งหรือไม่ การโค่นล้มก่อนเวลานั้นไม่สามารถตรวจพบได้ ลายนิ้วมือจะต้องได้รับการสร้างขึ้นใหม่ในแต่ละครั้งที่มีการเปลี่ยนแปลงระบบ: ยกตัวอย่างเช่นหลังจากติดตั้งโปรแกรมปรับปรุงความปลอดภัยหรือเซอร์วิสแพ็คฟังก์ชันแฮชสร้างไดเจสต์ข้อความซึ่งเป็นโค้ดสั้นๆ ที่คำนวณจากแต่ละบิตในไฟล์โดยใช้อัลกอริธึมที่สร้างการเปลี่ยนแปลงครั้งใหญ่ในไดเจสต์ข้อความโดยมีการเปลี่ยนแปลงในไฟล์ต้นฉบับเพียงเล็กน้อย ด้วยการคำนวณใหม่และเปรียบเทียบไดเจสต์ข้อความของไฟล์ที่ติดตั้งในช่วงเวลาปกติกับรายการไดเจสต์ข้อความที่เชื่อถือได้ การเปลี่ยนแปลงในระบบสามารถตรวจพบและตรวจสอบได้ ตราบใดที่บรรทัดฐานเดิมถูกสร้างขึ้นก่อนที่จะมีการเพิ่มมัลแวร์

รูทคิทที่มีความซับซ้อนมากขึ้นสามารถล้มล้างกระบวนการตรวจสอบโดยนำเสนอสำเนาไฟล์ที่ไม่ได้แก้ไขสำหรับการตรวจสอบ หรือโดยการแก้ไขโค้ดในหน่วยความจำเท่านั้น การลงทะเบียนการกำหนดค่าใหม่ ซึ่งในภายหลังจะเปรียบเทียบกับรายการค่าสีขาวที่คาดหวัง [78]โค้ดที่ดำเนินการแฮช เปรียบเทียบ หรือขยายต้องได้รับการปกป้องด้วย ในบริบทนี้ แนวคิดของรากแห่งความเชื่อถือที่ไม่เปลี่ยนรูปแบบถือได้ว่าโค้ดแรกสุดในการวัดคุณสมบัติความปลอดภัยของระบบต้องเชื่อถือได้ เพื่อให้แน่ใจว่ารูทคิตหรือบูตคิตจะไม่กระทบต่อระบบในระดับพื้นฐานที่สุด [79]

หน่วยความจำทิ้ง

การบังคับให้ดัมพ์หน่วยความจำเสมือนโดยสมบูรณ์จะดักจับรูทคิตที่ใช้งานอยู่ (หรือเคอร์เนลดัมพ์ในกรณีของรูทคิตในโหมดเคอร์เนล) ซึ่งช่วยให้ทำการวิเคราะห์ทางนิติวิทยาศาสตร์แบบออฟไลน์โดยใช้โปรแกรมดีบั๊กกับไฟล์ดัมพ์ที่เป็นผลลัพธ์โดยที่รูทคิตไม่สามารถ ใช้มาตรการใด ๆ เพื่อปิดบังตัวเอง เทคนิคนี้มีความเชี่ยวชาญสูงและอาจจำเป็นต้องมีการเข้าถึงที่ไม่ใช่แบบสาธารณะรหัสที่มาหรือการแก้จุดบกพร่องสัญลักษณ์การถ่ายโอนข้อมูลหน่วยความจำที่เริ่มต้นโดยระบบปฏิบัติการไม่สามารถใช้เพื่อตรวจหารูทคิตที่ใช้ไฮเปอร์ไวเซอร์ได้เสมอ ซึ่งสามารถสกัดกั้นและล้มล้างความพยายามระดับต่ำสุดในการอ่านหน่วยความจำ[5]—อุปกรณ์ฮาร์ดแวร์ เช่น อุปกรณ์ที่ใช้การขัดจังหวะแบบ non-maskableอาจจำเป็นต้องดัมพ์หน่วยความจำในสถานการณ์นี้ [80] [81] เครื่องเสมือนยังช่วยให้วิเคราะห์หน่วยความจำของเครื่องที่ถูกบุกรุกได้ง่ายขึ้นจากไฮเปอร์ไวเซอร์พื้นฐาน ดังนั้นรูทคิตบางตัวจะหลีกเลี่ยงการติดไวรัสเครื่องเสมือนด้วยเหตุนี้

การนำออก

คู่มือการกำจัดของ rootkit มักจะเป็นเรื่องยากมากสำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป[27]แต่จำนวนของผู้ขายการรักษาความปลอดภัยซอฟต์แวร์มีเครื่องมืออัตโนมัติตรวจจับและลบ rootkits บางมักจะเป็นส่วนหนึ่งของชุดโปรแกรมป้องกันไวรัสในปี 2548 เครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตรายของ Windowsรายเดือนของ Microsoft สามารถตรวจจับและลบรูทคิตบางคลาสได้[82] [83] นอกจากนี้ Windows Defender Offline สามารถลบรูทคิตได้ เนื่องจากทำงานจากสภาพแวดล้อมที่เชื่อถือได้ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน[84]เครื่องสแกนไวรัสบางตัวสามารถข้ามระบบไฟล์ได้API ซึ่งเสี่ยงต่อการถูกจัดการโดยรูทคิต แต่จะเข้าถึงโครงสร้างระบบไฟล์ดิบแทนโดยตรง และใช้ข้อมูลนี้เพื่อตรวจสอบผลลัพธ์จาก API ของระบบเพื่อระบุความแตกต่างที่อาจเกิดจากรูทคิต[หมายเหตุ 2] [85] [86] [87] [88]มีผู้เชี่ยวชาญที่เชื่อว่าวิธีเดียวที่เชื่อถือได้ในการลบออกคือการติดตั้งระบบปฏิบัติการใหม่จากสื่อที่เชื่อถือได้[89] [90]เนื่องจากเครื่องมือกำจัดไวรัสและมัลแวร์ที่ทำงานบนระบบที่ไม่น่าเชื่อถืออาจไม่ได้ผลกับรูทคิตในโหมดเคอร์เนลที่เขียนมาอย่างดี การบูตระบบปฏิบัติการทางเลือกจากสื่อที่เชื่อถือได้สามารถช่วยให้สามารถติดตั้งไดรฟ์ข้อมูลระบบที่ติดไวรัส และอาจทำความสะอาดอย่างปลอดภัยและคัดลอกข้อมูลสำคัญออกได้ หรือทำการตรวจสอบทางนิติเวชอีกทางหนึ่ง[26]ระบบปฏิบัติการน้ำหนักเบา เช่นWindows PE , Windows Recovery Console , Windows Recovery Environment , BartPEหรือLive Distrosสามารถใช้เพื่อจุดประสงค์นี้ทำให้ระบบสามารถ "ทำความสะอาด" ได้ แม้จะทราบประเภทและลักษณะของรูทคิต การซ่อมแซมด้วยตนเองอาจทำไม่ได้ ในขณะที่การติดตั้งระบบปฏิบัติการและแอพพลิเคชั่นใหม่นั้นปลอดภัยกว่า ง่ายกว่า และเร็วกว่า [89]

การป้องกัน

การแข็งตัวของระบบแสดงถึงชั้นการป้องกันชั้นแรกจากรูทคิต เพื่อป้องกันไม่ให้รูทคิทติดตั้งได้[91]การใช้แพตช์ความปลอดภัยการใช้หลักการของสิทธิพิเศษน้อยที่สุดการลดพื้นผิวการโจมตีและการติดตั้งซอฟต์แวร์ป้องกันไวรัสเป็นแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยมาตรฐานที่มีผลกับมัลแวร์ทุกประเภท[92]ข้อมูลจำเพาะเกี่ยวกับการบู๊ตที่ปลอดภัยใหม่ เช่นUnified Extensible Firmware Interfaceได้รับการออกแบบมาเพื่อจัดการกับภัยคุกคามของ bootkits แต่ถึงกระนั้นสิ่งเหล่านี้ก็มีความเสี่ยงหากไม่ได้ใช้งานคุณสมบัติความปลอดภัยที่พวกเขาเสนอ[50]สำหรับระบบเซิร์ฟเวอร์ การรับรองเซิร์ฟเวอร์ระยะไกลโดยใช้เทคโนโลยี เช่น Intel Trusted Execution Technology (TXT) เป็นวิธีตรวจสอบว่าเซิร์ฟเวอร์ยังอยู่ในสถานะใช้งานได้ที่ทราบ ตัวอย่างเช่นการเข้ารหัส data-at-rest ของ Microsoft Bitlockerจะตรวจสอบว่าเซิร์ฟเวอร์อยู่ในสถานะ "ดี" เมื่อบูตเครื่อง PrivateCore vCage เป็นซอฟต์แวร์ที่นำเสนอการรักษาความปลอดภัยข้อมูลในการใช้งาน (หน่วยความจำ) เพื่อหลีกเลี่ยง bootkits และ rootkits โดยตรวจสอบว่าเซิร์ฟเวอร์อยู่ในสถานะ "ดี" เมื่อบูตเครื่อง การใช้งาน PrivateCore ทำงานร่วมกับ Intel TXT และล็อกอินเทอร์เฟซระบบเซิร์ฟเวอร์เพื่อหลีกเลี่ยง bootkits และ rootkit ที่อาจเกิดขึ้น

ดูเพิ่มเติม

หมายเหตุ

  1. ^ ชื่อกระบวนการของ Sysinternals RootkitRevealer ตกเป็นเป้าหมายของมัลแวร์ ในความพยายามที่จะตอบโต้มาตรการตอบโต้นี้ ขณะนี้เครื่องมือใช้ชื่อกระบวนการที่สร้างขึ้นแบบสุ่ม
  2. ^ ตามทฤษฎีแล้ว รูทคิตระดับเคอร์เนลที่มีความซับซ้อนเพียงพอสามารถล้มล้างการดำเนินการอ่านกับโครงสร้างข้อมูลระบบไฟล์ดิบได้เช่นกัน เพื่อให้ตรงกับผลลัพธ์ที่ API ส่งคืน

อ้างอิง

  1. ^ เอช "Rootkits, Part 1 of 3: ภัยคุกคามที่กำลังเติบโต" (PDF) แมคอาฟี . 2006-04-17. เก็บถาวรจากต้นฉบับ (PDF)เมื่อ 2006-08-23
  2. ^ Evancich, N .; Li, J. (2016-08-23). "6.2.3 รูทคิท" . ในฌ็อง เอ็ดเวิร์ด JM; คอตต์, อเล็กซานเดอร์ (สหพันธ์). กล้อง Cyber-การรักษาความปลอดภัยของระบบ SCADA และอื่น ๆ ระบบควบคุมอุตสาหกรรม สปริงเกอร์. NS. 100. ISBN 9783319321257- ผ่านทางGoogle หนังสือ
  3. ^ "ภาพรวมของ Windows Rootkit" (PDF) ไซแมนเทค . 2006-03-26. ที่เก็บไว้จากเดิม(PDF)บน 2010/12/14 สืบค้นเมื่อ2010-08-17 .
  4. ^ ประกายไฟ เชอร์รี; บัตเลอร์, เจมี่ (2005-08-01). "ยกระดับการตรวจหารูทคิตของ Windows" แพรก . 0xb (x3d)
  5. อรรถa b c d อี ไมเยอร์ส ไมเคิล; เยินดท์, สตีเฟน (2007-08-07). ข้อมูลเบื้องต้นเกี่ยวกับรูทคิทเครื่องเสมือนช่วยฮาร์ดแวร์ (HVM) (รายงาน) ความปลอดภัยที่สำคัญ CiteSeerX : 10.1.1.90.8832 .
  6. ^ แอนดรูว์ เฮย์; แดเนียล ซิด; รอรี่ เบรย์ (2008) คู่มือการตรวจจับการบุกรุก OSSEC โฮสต์-Based ซิงโครนัส NS. 276. ISBN 978-1-59749-240-9- ผ่านทางGoogle หนังสือ
  7. ทอมป์สัน, เคน (สิงหาคม 1984). "ผลสะท้อนจากความไว้วางใจ" (PDF) . การติดต่อสื่อสารของพลอากาศเอก 27 (8): 761. ดอย : 10.1145/358198.358210 .
  8. ^ Greg Hoglund; เจมส์ บัตเลอร์ (2006). rootkits: บ่อนทำลายเคอร์เนลของ แอดดิสัน-เวสลีย์. NS. 4. ISBN 978-0-321-29431-9- ผ่านทางGoogle หนังสือ
  9. ^ Dai Zovi, Dino (2009/07/26) ขั้นสูง Mac OS X Rootkits (PDF) หมวกดำ . ระบบฤทธิ์ สืบค้นเมื่อ2010-11-23 .
  10. ^ "Stuxnet เปิดตัวครั้งแรกที่รู้จักกัน Rootkit สำหรับระบบควบคุมอุตสาหกรรม" ไซแมนเทค . 2010-08-06 . สืบค้นเมื่อ2010-12-04 .
  11. ^ "รายละเอียดสปายแวร์: XCP.Sony.Rootkit" . สมาคมคอมพิวเตอร์ . 2548-11-05. เก็บถาวรจากต้นฉบับเมื่อ 2010-08-18 . สืบค้นเมื่อ2010-08-19 .
  12. ^ Russinovich มาร์ค (2005-10-31) "โซนี่รูทคิทและการจัดการลิขสิทธิ์ดิจิทัลไปไกลเกินไป" TechNet บล็อก ไมโครซอฟต์. สืบค้นเมื่อ2010-08-16 .
  13. ^ "โซนี่ระยะยาว woes rootkit ซีดี" ข่าวบีบีซี 2548-11-21 . สืบค้นเมื่อ2008-09-15 .
  14. ^ เฟลตัน เอ็ด (2548-11-15) "โซนี่ Web-Based Uninstaller เปิดบิ๊กรักษาความปลอดภัยหลุม; โซนี่เรียกคืนแผ่น"
  15. ^ ไนท์, วิลล์ (2548-11-11) "โซนี่บีเอ็มจีฟ้องมากกว่าการปิดบังซอฟต์แวร์บนซีดีเพลง" นักวิทยาศาสตร์ใหม่ . สืบค้นเมื่อ2010-11-21 .
  16. ^ Kyriakidou ดีน่า (2 มีนาคม 2006) " "กรีกวอเตอร์เกท "Scandal ส่ง Shockwaves ทางการเมือง" สำนักข่าวรอยเตอร์ สืบค้นเมื่อ2007-11-24 .[ ลิงค์เสีย ]
  17. ^ วา Prevelakis; Diomidis Spinellis (กรกฎาคม 2550) "เรื่องเอเธนส์" .
  18. ^ Russinovich มาร์ค (มิถุนายน 2005) "ขุดพบรูทคิท" . ของ Windows IT Pro เก็บถาวรจากต้นฉบับเมื่อ 2012-09-18 . สืบค้นเมื่อ2010-12-16 .
  19. ^ Marks โจเซฟ (1 กรกฎาคม 2021) "การ Cybersecurity 202: อนาคต DOJ อยู่ในรบกวนแฮกเกอร์ไม่ได้เป็นเพียงฟ้องพวกเขา" เดอะวอชิงตันโพสต์ . ที่ดึงกรกฏาคมตลอด 24, 2021
  20. ^ "World of Warcraft แฮกเกอร์ใช้โซนี่บีเอ็มจี Rootkit" ทะเบียน . 2548-11-04 . สืบค้นเมื่อ2010-08-23 .
  21. ^ สตีฟ ฮันนา (กันยายน 2550) "การใช้เทคโนโลยี Rootkit สำหรับ Honeypot ตามการตรวจจับมัลแวร์" (PDF) การประชุม CCEID
  22. ^ Russinovich มาร์ค (6 กุมภาพันธ์ 2006) "การใช้ rootkits เพื่อความพ่ายแพ้ของระบบจัดการลิขสิทธิ์ดิจิทัล" วินเทอร์นัลส์ . SysInternals. เก็บถาวรจากต้นฉบับเมื่อ 14 สิงหาคม 2549 . สืบค้นเมื่อ2006-08-13 .
  23. ^ "ไซแมนเทคประชาสัมพันธ์การปรับปรุงสำหรับ Rootkit ของตัวเอง" HWM (มีนาคม): 89 2006 - ผ่านทางGoogle หนังสือ
  24. อรรถเป็น ออร์เทกา อัลเฟรโด; ซัคโค, อานิบาล (2009-07-24). ยกเลิกการใช้งาน Rootkit นี้: การโจมตีเกี่ยวกับเทคโนโลยี BIOS ป้องกันการโจรกรรม (PDF) แบล็กแฮท ยูเอสเอ 2009 (PDF). บอสตัน: หลักความปลอดภัยเทคโนโลยี สืบค้นเมื่อ2014-06-12 .
  25. ^ Kleissner ปีเตอร์ (2009/09/02) "Stoned bootkit: Rise ของ MBR Rootkits และ Bootkits ในป่า" (PDF) เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2011-07-16 . สืบค้นเมื่อ2010-11-23 .
  26. อรรถเป็น c แอนสัน สตีฟ; ธง, สตีฟ (2007). Mastering เครือข่ายของ Windows นิติและสอบสวน จอห์น ไวลีย์ แอนด์ ซันส์. หน้า 73–74. ISBN 978-0-470-09762-5.
  27. ^ a b c d "Rootkits Part 2: A Technical Primer" (PDF) . แมคอาฟี . 2007-04-03. ที่เก็บไว้จากเดิม(PDF)บน 2008/12/05 สืบค้นเมื่อ2010-08-17 .
  28. ^ ก.ม. "NTIllusion: การพกพา Win32 userland rootkit" แพรก . 62 (12).
  29. a b c d "Understanding Anti-Malware Technologies" (PDF) . ไมโครซอฟต์ . 2007-02-21. ที่เก็บไว้จากเดิม(PDF)บน 2010/09/11 สืบค้นเมื่อ2010-08-17 .
  30. ^ โฮกลุนด์, เกร็ก (1999-09-09). "A * จริง * NT Rootkit, ปะโครงการ NT kernel" แพรก . 9 (55) . สืบค้นเมื่อ2010-11-21 .
  31. ^ Chuvakin แอนตัน (2003/02/02) ภาพรวมของ Unix Rootkits (PDF) (รายงาน) แชนทิลลี เวอร์จิเนีย: iDEFENSE เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2011-07-25 . สืบค้นเมื่อ2010-11-21 .
  32. ^ บัตเลอร์ เจมส์; สปาร์กส์, เชอร์รี (2548-11-16). "รูทคิทของ Windows ปี 2548 ตอนที่สอง" . ไซแมนเทคเชื่อมต่อ ไซแมนเทค. สืบค้นเมื่อ2010-11-13 .
  33. ^ บัตเลอร์ เจมส์; สปาร์กส์, เชอร์รี (2548-11-03). "รูทคิทของ Windows ปี 2548 ส่วนที่หนึ่ง" . ไซแมนเทคเชื่อมต่อ ไซแมนเทค. สืบค้นเมื่อ2010-11-12 .
  34. ^ Burdach, Mariusz (2004/11/17) "การตรวจสอบ Rootkits และเคอร์เนลระดับประนีประนอมในลินุกซ์" ไซแมนเทค. สืบค้นเมื่อ2010-11-23 .
  35. ออสบอร์น, ชาร์ลี (17 กันยายน 2019). "Skidmap มัลแวร์ฝังเข้าไปใน kernel เพื่อซ่อนการทำเหมืองแร่ที่ผิดกฎหมาย cryptocurrency" ซีดีเน็ต . ที่ดึงกรกฏาคมตลอด 24, 2021
  36. มาร์โก จูเลียนี (11 เมษายน 2554). "ZeroAccess - ขั้นสูงโหมดเคอร์เนล Rootkit" (PDF) ซอฟท์แว Webroot สืบค้นเมื่อ10 สิงหาคม 2554 .
  37. ^ "ข้อกำหนดการลงชื่อไดรเวอร์สำหรับ Windows" . ไมโครซอฟต์. สืบค้นเมื่อ2008-07-06 .
  38. ^ ซอล เตอร์, จิม (31 กรกฎาคม 2020). "Red Hat และ CentOS ระบบจะไม่บูตเนื่องจากแพทช์ BootHole" อาส เทคนิค . ที่ดึงกรกฏาคมตลอด 24, 2021
  39. ^ Schneier บรูซ (2009/10/23) " 'โจมตีชั่วร้ายแม่บ้าน' ในการเข้ารหัสฮาร์ดไดรฟ์" สืบค้นเมื่อ2009-11-07 .
  40. ^ โซเดอร์ ดีเร็ก; เพอร์เมห์, ไรอัน (2007-05-09). "บูตรูท" . eEye ความปลอดภัยดิจิตอล เก็บถาวรจากต้นฉบับเมื่อ 2013-08-17 . สืบค้นเมื่อ2010-11-23 .
  41. ^ กุมาร นิทิน; กุมาร, วีพิน (2007). Vbootkit: สูญเสีย Windows Vista การรักษาความปลอดภัย (PDF) แบล็คแฮทยุโรป 2007 .
  42. ^ "BOOT KIT: บูตที่กำหนดเองที่ใช้ Windows 2000 / XP / 2003 โค่นล้ม" NVlabs 2007-02-04. เก็บถาวรจากต้นฉบับเมื่อ 10 มิถุนายน 2553 . สืบค้นเมื่อ2010-11-21 .
  43. ^ Kleissner ปีเตอร์ (2009/10/19) "บูทคิทสโตน" . ปีเตอร์ ไคลส์เนอร์. สืบค้นเมื่อ2009-11-07 .[ แหล่งที่มาเผยแพร่ด้วยตนเอง ]
  44. ^ กูดิน , แดน (2010-11-16). "โลกที่ทันสมัยที่สุด Rootkit แทรกซึม Windows 64 บิต" ทะเบียน . สืบค้นเมื่อ2010-11-22 .
  45. ^ Microsoft กระชับสิทธิ์การใช้งาน OEM Windows 8
  46. ^ คิง ซามูเอล ที.; เฉิน, ปีเตอร์เอ็ม.; หวาง ยี่-มิน; Verbowski ชาด; วัง เฮเลน เจ.; ลอร์ช, เจคอบ อาร์. (2006-04-03). เครื่องจักรธุรกิจระหว่างประเทศ (ed.) SubVirt: การใช้มัลแวร์ที่มีเครื่องเสมือน (PDF) 2006 IEEE ประชุมวิชาการเกี่ยวกับการรักษาความปลอดภัยและความเป็นส่วนตัว สถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์ . ดอย : 10.1109/SP.2006.38 . ISBN  0-7695-2574-1. สืบค้นเมื่อ2008-09-15 .
  47. ^ วัง จือ; เจียง, ซูเซียน; ชุย เว่ยตง; หนิง, เป้ง (2009-08-11). "โต้ตอบ Rootkits Kernel พร้อมระบบป้องกันตะขอน้ำหนักเบา" (PDF) ใน Al-Shaer, Ehab (ประธานทั่วไป) (ed.) การประชุมวิชาการ ACM 16 บนคอมพิวเตอร์และความปลอดภัยการสื่อสาร CCS 2009: 16 ACM การประชุมเกี่ยวกับการรักษาความปลอดภัยคอมพิวเตอร์และการสื่อสาร Jha, โซเมช; Keromytis, Angelos D. (เก้าอี้โปรแกรม). นิวยอร์ก: ACM นิวยอร์ก ดอย : 10.1145/1653662.1653728 . ISBN  978-1-60558-894-0. สืบค้นเมื่อ2009-11-11 .
  48. ^ "อุปกรณ์รักษาความปลอดภัยคือการรวมกันของ Windows Defender ควบคุมแอพลิเคชันและการคุ้มครองการทำงานแบบเสมือนตามความสมบูรณ์ของรหัส (Windows 10) ว่า"
  49. ^ Delugréกีโยม (2010/11/21) การกลับ Broacom NetExtreme ของเฟิร์มแว (PDF) แฮ็ค.ลู โซเกติ. ที่เก็บไว้จากเดิม(PDF)เมื่อวันที่ 2012-04-25 สืบค้นเมื่อ2010-11-25 .
  50. ^ "แฮ็กทีมใช้ UEFI BIOS Rootkit เพื่อให้ RCS 9 ตัวแทนในระบบเป้าหมาย - เทรนด์แล็บ Security Intelligence บล็อก" 2015-07-13.
  51. ^ ฮีสมัน, จอห์น (2006-01-25). การดำเนินการและตรวจหา BIOS ของ ACPI Rootkit (PDF) แบล็กแฮท เฟเดอรัล 2549 . NGS ให้คำปรึกษา สืบค้นเมื่อ2010-11-21 .
  52. ^ ฮีสมัน, จอห์น (2006-11-15). "การดำเนินการและการตรวจสอบ PCI Rootkit" (PDF) ซอฟต์แวร์รักษาความปลอดภัยรุ่นต่อไป CiteSeerX : 10.1.1.89.7305 . สืบค้นเมื่อ2010-11-13 .
  53. ^ Modine, ออสติน (2008/10/10) "จัดระเบียบอาชญากรด้วยอุปกรณ์รูดบัตรของยุโรป: ข้อมูลลูกค้าส่งไปยังต่างประเทศ" . ทะเบียน . สำนักพิมพ์สถานการณ์. สืบค้นเมื่อ2008-10-13 .
  54. ^ ซักโก อานิบาล; ออร์เตกา, อัลเฟรโด (2009). การติดเชื้อ BIOS ถาวร (PDF) CanSecWest 2009 . เทคโนโลยีหลักที่การรักษาความปลอดภัย สืบค้นเมื่อ2010-11-21 .
  55. ^ โขยกเขยกแดน (2009/03/24) "รูทคิทรุ่นใหม่รอดจากการเช็ดฮาร์ดดิสก์" . ทะเบียน . สำนักพิมพ์สถานการณ์. สืบค้นเมื่อ2009-03-25 .
  56. ^ ซักโก อานิบาล; ออร์เตกา, อัลเฟรโด (2009-06-01). "การติดเชื้อ BIOS แบบถาวร: Early Bird จับหนอน" . แพรก . 66 (7) . สืบค้นเมื่อ2010-11-13 .
  57. ^ ริก วิเอเลอร์ (2007). Rootkits มืออาชีพ จอห์น ไวลีย์ แอนด์ ซันส์. NS. 244. ISBN 9780470149546.
  58. ^ Matrosov, อเล็กซานเด; Rodionov, ยูจีน (2010-06-25) "TDL3: รูทคิทแห่งความชั่วร้าย?" (PDF) . มอสโก: ESET . NS. 3. เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2011-05-13 . สืบค้นเมื่อ2010-08-17 .
  59. ^ Matrosov, อเล็กซานเด; Rodionov, ยูจีน (2011-06-27) "วิวัฒนาการของ TDL: ชัยชำนะ x 64" (PDF) อีสท . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2015-07-29 . สืบค้นเมื่อ2011-08-08 .
  60. ^ Gatlan, Sergiu (6 พฤษภาคม 2021) "รูทคิตใหม่ของ Moriya ที่ใช้ในระบบ Windows แบบลับๆ" . คอมพิวเตอร์หลับ . ที่ดึงกรกฏาคมตลอด 24, 2021
  61. ^ Brumley เดวิด (1999/11/16) "ผู้บุกรุกที่มองไม่เห็น: รูทคิทในทางปฏิบัติ" . ยูเซนิกซ์ . ยูเซนิกซ์ .
  62. อรรถเป็น c d อี เดวิส ไมเคิล เอ.; บอดเมอร์, ฌอน; LeMasters, แอรอน (2009-09-03) "บทที่ 10: การตรวจหา Rootkit" (PDF) Hacking Exposed มัลแวร์และรูทคิท: มัลแวร์และรูทคิทความลับการรักษาความปลอดภัยและการแก้ปัญหา นิวยอร์ก: McGraw Hill Professional ISBN  978-0-07-159118-8.
  63. ^ ตร โลคอม (2006-07-05). "เอาชนะรูทคิทและคีย์ล็อกเกอร์" (PDF) ตรรกม. เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2011-07-17 . สืบค้นเมื่อ2010-08-17 .
  64. ^ ได โซวี, ไดโน (2011). "เคอร์เนลรูทคิท" . เก็บถาวรจากต้นฉบับเมื่อ 10 กันยายน 2555 . สืบค้นเมื่อ13 กันยายน 2555 .
  65. ^ "เซปโป" . ที่มาฟอร์จ 18 กรกฎาคม 2552 . สืบค้นเมื่อ8 สิงหาคม 2011 .
  66. ^ Cogswell, ไบรซ์; รัสซิโนวิช, มาร์ค (2549-11-01). "RootkitRevealer v1.71" . ไมโครซอฟต์. สืบค้นเมื่อ2010-11-13 .
  67. ^ "รูทคิท & แอนตี้รูทคิต" . สืบค้นเมื่อ13 กันยายน 2560 .
  68. ^ "Sophos แอนตี้-รูทคิท" . โสภณ. สืบค้นเมื่อ8 สิงหาคม 2011 .
  69. ^ "แบล็คไลท์" . เอฟ- เซฟ สืบค้นเมื่อ8 สิงหาคม 2011 .
  70. ^ "โปรแกรม Radix Anti-Rootkit" . usec.at สืบค้นเมื่อ8 สิงหาคม 2011 .
  71. ^ "จีเมอร์" . สืบค้นเมื่อ8 สิงหาคม 2011 .
  72. ^ แฮร์ริแมน, จอช (2007/10/19) "วิธีการทดสอบ Rootkit ประสิทธิผลกำจัด" (PDF) ดับลิน ไอร์แลนด์: Symantec Security Response เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2009-10-07 . สืบค้นเมื่อ2010-08-17 .
  73. ^ Cuibotariu, เมอร์เซี (2010-02-12) "Tidserv และ MS10-015" . ไซแมนเทค. สืบค้นเมื่อ2010-08-19 .
  74. ^ "ปัญหาเริ่มต้นใหม่หลังจากการติดตั้ง MS10-015" ไมโครซอฟต์ . 2010-02-11 . สืบค้นเมื่อ2010-10-05 .
  75. ^ สไตน์เบิร์ก, โจเซฟ (9 มิถุนายน พ.ศ. 2564) "สิ่งที่คุณต้องรู้เกี่ยวกับคีย์ล็อกเกอร์" . bestantivirus.com . ที่ดึงกรกฏาคมตลอด 24, 2021
  76. ^ "ไตร Ghostbuster Rootkit ตรวจจับ" ไมโครซอฟ รีเสิร์ช. 2010-01-28. เก็บถาวรจากต้นฉบับเมื่อ 2012-07-29 . สืบค้นเมื่อ2010-08-14 .
  77. ^ "การลงนามและการตรวจสอบรหัสด้วย Authenticode" . ไมโครซอฟต์. สืบค้นเมื่อ2008-09-15 .
  78. ^ "หยุด Rootkits ที่เครือข่ายขอบ" (PDF) บีเวอร์ตัน โอเรกอน: กลุ่มคอมพิวเตอร์ที่เชื่อถือได้ มกราคม 2017 . สืบค้นเมื่อ2008-07-11 .
  79. ^ "TCG พีซีโดยเฉพาะการดำเนินการข้อมูลจำเพาะรุ่น 1.1" (PDF) กลุ่มคอมพิวเตอร์ที่เชื่อถือได้ 2546-08-18 . สืบค้นเมื่อ2010-11-22 .
  80. ^ "วิธีการสร้างแฟ้มการถ่ายโอนความผิดพลาดที่สมบูรณ์หรือไฟล์เคอร์เนลความผิดพลาดของการถ่ายโอนข้อมูลโดยใช้ NMI บนระบบปฏิบัติการ Windows" ไมโครซอฟต์. สืบค้นเมื่อ2010-11-13 .
  81. ^ Seshadri, Arvind; และคณะ (2005). "ผู้บุกเบิก: การตรวจสอบความสมบูรณ์ของโค้ดและการบังคับใช้โค้ดที่ไม่ได้รับการแก้ไขบนระบบเดิม" การดำเนินการของยี่สิบ ACM ประชุมวิชาการเกี่ยวกับระบบปฏิบัติการหลักการ มหาวิทยาลัยคาร์เนกี้เมลลอน .
  82. ^ ดิลลาร์, เคิร์ต (2005/08/03) "การต่อสู้ Rootkit: Rootkit Revealer กับ Hacker Defender"
  83. ^ "การใช้ Microsoft Windows ซอฟต์แวร์ที่เป็นอันตรายเครื่องมือกำจัดช่วยเฉพาะลบซอฟต์แวร์ที่เป็นอันตรายจากคอมพิวเตอร์ที่ใช้ Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 หรือ Windows XP" ไมโครซอฟต์ . 2010-09-14.
  84. ^ เบตตานี แอนดรูว์; ฮาลซีย์, ไมค์ (2017). Windows ไวรัสมัลแวร์และการแก้ไขปัญหา เอเปรส NS. 17. ISBN 9781484226070- ผ่านทางGoogle หนังสือ
  85. ^ Hultquist สตีฟ (2007/04/30) "Rootkits: ภัยคุกคามองค์กรใหญ่ต่อไป?" . InfoWorld สืบค้นเมื่อ2010-11-21 .
  86. ^ "Security Watch: รูทคิทเพื่อความสนุกและผลกำไร" . บทวิจารณ์ CNET 2550-01-19. เก็บถาวรจากต้นฉบับเมื่อ 2012-10-08 . สืบค้นเมื่อ2009-04-07 .
  87. ^ Bort จูลี่ (2007/09/29) “หกวิธีตอบโต้บ็อตเน็ต” . PCWorld ซานฟรานซิ: PCWorld สื่อสาร สืบค้นเมื่อ2009-04-07 .
  88. ^ ฮวง, มีมี่ (2006-11-02). "การจัดการกับภัยคุกคามด้านความปลอดภัยที่ยากลำบากในปัจจุบัน: รูทคิท" . ไซแมนเทคเชื่อมต่อ ไซแมนเทค. สืบค้นเมื่อ2010-11-21 .
  89. อรรถเป็น Danseglio ไมค์; เบลีย์, โทนี่ (2548-10-06). "Rootkits: ปิดบังการโจมตีของแฮกเกอร์" ไมโครซอฟต์.
  90. ^ Messmer เอลเลน (2006/08/26) "ผู้เชี่ยวชาญแบ่งไปตรวจหา Rootkit และกำจัด" NetworkWorld.com . รามิงแฮม, แมส .: IDG สืบค้นเมื่อ2010-08-15 .
  91. ^ Skoudis เอ็ด; เซลท์เซอร์, เลนนี่ (2004). มัลแวร์: การต่อสู้รหัสที่เป็นอันตราย Prentice Hall ปตท. NS. 335. ISBN 978-0-13-101405-3.
  92. ^ ฮันเนล Jeromey (2003/01/23) "รูทคิทลินุกซ์สำหรับมือใหม่ - จากการป้องกันการกำจัด" สถาบัน SANS เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 24 ตุลาคม 2553 . สืบค้นเมื่อ2010-11-22 .

อ่านเพิ่มเติม

  • บลันเดน, บิล (2009). Rootkit อาร์เซนอล: หนีและหลีกเลี่ยงในมุมมืดของระบบ เวิร์ดแวร์ ISBN 978-1-59822-061-2.
  • โฮกลุนด์, เกร็ก; บัตเลอร์, เจมส์ (2005). rootkits: บ่อนทำลายเคอร์เนลของ แอดดิสัน-เวสลีย์ โปรเฟสชั่นแนล ISBN 978-0-321-29431-9.
  • แกรมป์, FT; มอร์ริส, โรเบิร์ต เอช. ซีเนียร์ (ตุลาคม 2527) "ระบบ UNIX: ความปลอดภัยของระบบปฏิบัติการ UNIX" AT & T Bell Laboratories เทคนิควารสาร 62 (8): 1649–1672. ดอย : 10.1002/j.1538-7305.1984.tb00058.x .
  • คอง, โจเซฟ (2007). ออกแบบ BSD Rootkits ไม่มีเครื่องกดแป้ง ISBN 978-1-59327-142-8.
  • วีเลอร์, ริค (2007). Rootkits มืออาชีพ วร็อกซ์ ISBN 978-0-170-10154-4.

ลิงค์ภายนอก

  • สื่อเกี่ยวกับRootkitsที่วิกิมีเดียคอมมอนส์