Hlavní navigace

Rootkity aneb po stopách kořenů zla

 Autor: 29
Ondřej Bitto 30. 11. 2005

Téma rootkitů v poslední době nevídaně ožilo především díky svéráznému postupu společnosti Sony při DRM (Digital Rights Management) ochraně. Jak se kauza vyvíjela, co to vlastně rootkity jsou a jaká rizika obecně přinášejí? Kde se v systému skrývají? Stačí k jejich objevení či odstranění obyčejný antivirový program?

První jiskrou současné plamenné diskuse na téma Sony rootkitu byl bezesporu blog Marka Russinoviche s názvem Sony, Rootkits and Digital Rights Management Gone Too Far. Právě zde totiž spoluautor řady oblíbených systémových utilit Sysinternals detailně popsal odhalení rootkitu – podařilo se mu to během testování poslední verze svého RootkitRevealeru.

Mark s pomocí RootkitRevealeru detekoval skrytý adresář, soubory i položky registru, které začínaly řetězcem $sys$. Po podrobnějším zkoumání dospěl k závěru, že utajení ve Windows API způsobuje ovladač Aries.sys, jenž se spouští automaticky jako služba. Během přehrávání CD proces $sys$DRMServer.exe naprosto zbytečně vytěžoval procesor, a to i po zavření přehrávače, kdy v pravidelných dvouvteřinových intervalech zjišťoval informace o běžících procesech.

Rootkity

Odhalení rootkitu Sony Markem Russinovichem (zdroj)

Zveřejněním těchto a několika dalších zkušeností Mark odstartoval celý případ Sony rootkitu. Podrobné informace o věcech následujících můžete kromě výše odkazovaného blogu nalézt například v článcích:

Není bez zajímavosti, že nedlouho po zveřejnění informací o rootkitu Sony se objevil první červ, který jej zneužíval (viz např. informace na stránkách společnosti F-Secure). Nese název Breplibot.C a po své aktivaci se nejprve zkopíruje do systémového adresáře Windows jako soubor $sys$xp.exe. Díky předponě $sys$ jej rootkit od Sony automaticky skryje a červ se zapíše do spouštěcích oblastí registru systému – název klíče samozřejmě opět začíná na  $sys$

Červ se dále pokouší skrze port 8080 spojit s jedním z IRC serverů 68.101.14.76, 24.210.44.45, 67.171.67.190, 35.10.203.93 a 152.7.24.186. Po úspěšném přihlášení do heslem chráněného kanálu #cell může útočník stahovat, spouštět i mazat soubory infikovaných počítačů.

Rootkity se ve svém obecném pojetí snaží zamaskovat svou přítomnost v systému, a to tak, aby byly jen těžko odhalitelnými pro všechny antivirové i antispywarové aplikace. Rootkit může nějakou záškodnickou činnost vykonávat buď sám, nebo funguje „pouze“ jako backdoor pro další akce útočníka, resp. poskytuje vhodné prostředí ke spuštění jiného malwaru.

Rootkity lze rozdělit do dvou základních kategorií, a sice „user-mode“ a „kernel-mode“ varianty. Není těžké uhodnout, že jejich označení vychází z toho, zda běží v uživatelském režimu (ring 3), nebo režimu jádra (ring 0). Rootkity například zachytávají systémové požadavky a uživateli je prezentují v záměrně pozměněné podobě. Důsledkem toho může být skrývání procesů, ovladačů, souborů apod. Pokud tedy uživatel požádá například o výpis adresáře, daný rootkit filtruje výsledek a vybrané soubory nezobrazí. „User-mode“ rootkity běží jako samostatná aplikace, případně mohou být do některého existujícího programu vloženy. Mezi nejznámější představitele „user-mode“ rootkitů patří například Hacker Defender, z jehož domovských stránek je možné navíc stáhnout zajímavé video ukazující skrývání v praxi.

CIF16

Hůře odstranitelné „kernel-mode“ rootkity nezasahují pouze do některých aplikačních souborů, nýbrž modifikují přímo části operačního systému. Proto mohou způsobit výraznou nestabilitu a časté, na první pohled bezdůvodné pády systému. Mezi nejznámější zástupce „kernel-mode“ rootkitů patří například FU.

Některé rootkity mohou být zachyceny různými antivirovými programy, nicméně detekce a odstranění těch sofistikovanějších (nebo doposud neznámých) je doménou specializovaných aplikací. Již v úvodu článku byl zmíněn RootkitRevealer od Sysinternals, s jehož pomocí Mark Russinovich odhalil nečistou hru společnosti Sony. RootkitRevealer je k dispozici zdarma ve freeware verzi, ostatně jako všechny ostatní utility Sysinternals. Za vyzkoušení dále stojí beta-verze aplikace F-Secure BlackLight či RootKit Hook Analyzer.

Rootkit eliminator

Anketa

Používáte pravidelně některé systémové utility od Sysinternals?

Našli jste v článku chybu?
Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Sat novinky: Kabel eins Doku

Sat novinky: Kabel eins Doku

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Root.cz: Bezpečný router Omnia právě dorazil

Bezpečný router Omnia právě dorazil

Podnikatel.cz: Jak vám může jóga pomoci v byznysu?

Jak vám může jóga pomoci v byznysu?

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?