Rootkit

Rootkit (vyslovuj [rútkit]) je sada počítačových programů, pomocí kterých lze maskovat přítomnost zákeřného softwaru v počítači, například přítomnost virů, trojských koní, spywaru a podobně. Rootkit maskuje přítomnost zákeřných programů skrýváním adresářů, v nichž jsou instalovány, volání API, položek registru Windows, procesů, síťových spojení a systémových služeb tak, aby přítomnost zákeřného softwaru nebyla běžně dostupnými systémovými prostředky odhalitelná. Tyto programy jsou nástroje, které umožňují skrývat běžící procesy, soubory a systémové údaje, takže pomáhají útočníkovi zůstat skrytý (upravují operační systém tak, aby nebyly běžnými prostředky uživatele zjistitelné). Rootkity existují pro mnoho operačních systémů, jako jsou Linux, Solaris nebo Microsoft Windows. Mohou však být už součástí UEFI.^[1]

Historie

Termín rootkit, nebo root kit původně odkazoval na sadu nástrojů, které umožňovaly získat administrátorská oprávnění na UN*Xových systémech.^[2] Pokud mohl útočník nahradit standardní nástroje pro správu v systému rootkitem, pak mohl získat administrátorská oprávnění a zároveň utajit tyto aktivity před legitimním správcem systému. Tyto rootkity první generace bylo jednoduché odhalit pomocí nástrojů pro monitorování integrity souborů jako je například Tripwire. Nicméně, v dnešní době je termín rootkit používán pro jakýkoliv malware, který aktivně skrývá svou existenci před uživatelem a ostatními procesy.^[2]^[3]

Na přednášce při předávání Turingových cen v roce 1983 Ken Thompson teoretizoval o zneužití kompilátoru C v distribuci Unixu. Modifikovaný kompilátor by detekoval pokusy o kompilaci Unixového příkazu login a generoval by změněný kód, který by akceptoval jak uživatelovo správné heslo, tak i heslo backdooru známé útočníkovi. Dodatečně by kompilátor detekoval pokusy o kompilaci nové verze kompilátoru a vložil by stejný exploit do nového kompilátoru. Přezkoumání zdrojového kódu příkazu login, nebo kompilátoru by tedy nevedlo k nalezení škodlivého kódu.^[4] Tento exploit by byl srovnatelný s rootkitem.

První zdokumentovaný počítačový virus, který používal maskovací techniky, byl v roce 1986 virus Brain, který zachytával pokusy o čtení boot sektoru a přesměrovával je na jiné místo na disku, kde byla umístěna kopie originálního boot sektoru.^[3]

V roce 1990 Lane Davis a Riley Dake napsali první známý rootkit pro operační systém SunOS od firmy Sun Microsystems.^[5]

První škodlivý rootkit pro operační systém Windows NT se objevil v roce 1999. Nazýval se NTRootkit a vytvořil ho Greg Hoglund.^[6] Následován byl rootkitem HackerDefender v roce 2003.^[3] První rootkit zaměřující se na macOS se objevil v roce 2009.^[7] O rok později se objevil první rootkit pro programovatelné logické automaty (PLC).^[8]

Rootkity Sony BMG

V roce 2006 rootkity „proslavila“ společnost Sony BMG, která je dávala na vybraná audio CD. Jejich účelem bylo zabránit uživateli kopírovat obsah CD do počítače. Za tento krok byla firma Sony BMG velice kritizována, protože rootkit měl závažné bezpečnostní chyby, které umožňovaly navázání virů. Navíc rootkit odesílal firmě Sony BMG zprávy o činnosti uživatele, což je samozřejmě protizákonné.

Odkazy

Reference

V tomto článku byl použit překlad textu z článku Rootkit na anglické Wikipedii.

↑ https://www.lupa.cz/aktuality/byl-objeven-skodlivy-kod-lojax-utocici-na-uefi-radi-i-ve-stredni-evrope/ - Byl objeven škodlivý kód LoJax útočící na UEFI. Řádí i ve střední Evropě
↑ ^a ^b Windows Rootkit Overview [PDF online]. Symantec, 2006-03-26 [cit. 2015-03-29]. Dostupné v archivu pořízeném dne 2010-12-14.
↑ ^a ^b ^c Rootkits, Part 1 of 3: The Growing Threat [PDF online]. McAfee, 2006-04-17 [cit. 2015-03-29]. Dostupné v archivu pořízeném z originálu.
↑ THOMPSON, Ken. Reflections on Trusting Trust. Communications of the ACM [online]. 1984 [cit. 2015-03-29]. Roč. 1984, čís. 27. Dostupné online. doi:10.1145/358198.358210.
↑ BRAY, Rory; CID, Daniel; HAY, Andrew. OSSEC Host-Based Intrusion Detection Guide. [s.l.]: Syngress, 2008. 416 s. Dostupné online. ISBN 9780080558776.
↑ HOGLUND, Greg; BUTLER, James. Rootkits: Subverting the Windows Kernel. [s.l.]: Addison-Wesley Professional, 2006. 324 s. Dostupné online. ISBN 9780321294319.
↑ DAI ZOVI, Dino. Advanced Mac OS X Rootkits [PDF online]. Blackhat, 2009-07-26 [cit. 2015-03-29]. Dostupné online.
↑ FALLIERE, Nicolas. Stuxnet Introduces the First Known Rootkit for Industrial Control Systems [online]. Symantec Official Blog, 2010-08-06 [cit. 2015-03-29]. Dostupné online.

Literatura

BLUNDEN, Bill. The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System. [s.l.]: Wordware, 2009. ISBN 978-1598220612.
GRAMPP, F. T.; MORRIS, Robert H., Sr. The UNIX System: UNIX Operating System Security. AT&T Bell Laboratories Technical Journal. AT&T, 1984, s. 1649–1672.
KONG, Joseph. Designing BSD Rootkits. [s.l.]: No Starch Press, 2007. ISBN 1593271425.
VEILER, Ric. Professional Rootkits. [s.l.]: Wrox, 2007. ISBN 978-0-470-10154-4.