Rootkity aneb po stopách kořenů zla

30. 11. 2005
Doba čtení: 3 minuty

Sdílet

Autor: 29
Téma rootkitů v poslední době nevídaně ožilo především díky svéráznému postupu společnosti Sony při DRM (Digital Rights Management) ochraně. Jak se kauza vyvíjela, co to vlastně rootkity jsou a jaká rizika obecně přinášejí? Kde se v systému skrývají? Stačí k jejich objevení či odstranění obyčejný antivirový program?

První jiskrou současné plamenné diskuse na téma Sony rootkitu byl bezesporu blog Marka Russinoviche s názvem Sony, Rootkits and Digital Rights Management Gone Too Far. Právě zde totiž spoluautor řady oblíbených systémových utilit Sysinternals detailně popsal odhalení rootkitu – podařilo se mu to během testování poslední verze svého RootkitRevealeru.

Mark s pomocí RootkitRevealeru detekoval skrytý adresář, soubory i položky registru, které začínaly řetězcem $sys$. Po podrobnějším zkoumání dospěl k závěru, že utajení ve Windows API způsobuje ovladač Aries.sys, jenž se spouští automaticky jako služba. Během přehrávání CD proces $sys$DRMServer.exe naprosto zbytečně vytěžoval procesor, a to i po zavření přehrávače, kdy v pravidelných dvouvteřinových intervalech zjišťoval informace o běžících procesech.

Rootkity

Odhalení rootkitu Sony Markem Russinovichem (zdroj)

Zveřejněním těchto a několika dalších zkušeností Mark odstartoval celý případ Sony rootkitu. Podrobné informace o věcech následujících můžete kromě výše odkazovaného blogu nalézt například v článcích:

Není bez zajímavosti, že nedlouho po zveřejnění informací o rootkitu Sony se objevil první červ, který jej zneužíval (viz např. informace na stránkách společnosti F-Secure). Nese název Breplibot.C a po své aktivaci se nejprve zkopíruje do systémového adresáře Windows jako soubor $sys$xp.exe. Díky předponě $sys$ jej rootkit od Sony automaticky skryje a červ se zapíše do spouštěcích oblastí registru systému – název klíče samozřejmě opět začíná na  $sys$

Červ se dále pokouší skrze port 8080 spojit s jedním z IRC serverů 68.101.14.76, 24.210.44.45, 67.171.67.190, 35.10.203.93 a 152.7.24.186. Po úspěšném přihlášení do heslem chráněného kanálu #cell může útočník stahovat, spouštět i mazat soubory infikovaných počítačů.

Rootkity se ve svém obecném pojetí snaží zamaskovat svou přítomnost v systému, a to tak, aby byly jen těžko odhalitelnými pro všechny antivirové i antispywarové aplikace. Rootkit může nějakou záškodnickou činnost vykonávat buď sám, nebo funguje „pouze“ jako backdoor pro další akce útočníka, resp. poskytuje vhodné prostředí ke spuštění jiného malwaru.

Rootkity lze rozdělit do dvou základních kategorií, a sice „user-mode“ a „kernel-mode“ varianty. Není těžké uhodnout, že jejich označení vychází z toho, zda běží v uživatelském režimu (ring 3), nebo režimu jádra (ring 0). Rootkity například zachytávají systémové požadavky a uživateli je prezentují v záměrně pozměněné podobě. Důsledkem toho může být skrývání procesů, ovladačů, souborů apod. Pokud tedy uživatel požádá například o výpis adresáře, daný rootkit filtruje výsledek a vybrané soubory nezobrazí. „User-mode“ rootkity běží jako samostatná aplikace, případně mohou být do některého existujícího programu vloženy. Mezi nejznámější představitele „user-mode“ rootkitů patří například Hacker Defender, z jehož domovských stránek je možné navíc stáhnout zajímavé video ukazující skrývání v praxi.

MM 25 baliček

Hůře odstranitelné „kernel-mode“ rootkity nezasahují pouze do některých aplikačních souborů, nýbrž modifikují přímo části operačního systému. Proto mohou způsobit výraznou nestabilitu a časté, na první pohled bezdůvodné pády systému. Mezi nejznámější zástupce „kernel-mode“ rootkitů patří například FU.

Některé rootkity mohou být zachyceny různými antivirovými programy, nicméně detekce a odstranění těch sofistikovanějších (nebo doposud neznámých) je doménou specializovaných aplikací. Již v úvodu článku byl zmíněn RootkitRevealer od Sysinternals, s jehož pomocí Mark Russinovich odhalil nečistou hru společnosti Sony. RootkitRevealer je k dispozici zdarma ve freeware verzi, ostatně jako všechny ostatní utility Sysinternals. Za vyzkoušení dále stojí beta-verze aplikace F-Secure BlackLight či RootKit Hook Analyzer.

Rootkit eliminator

Používáte pravidelně některé systémové utility od Sysinternals?

Autor článku

Autor je zástupcem šéfredaktora časopisu Computer, živě se zajímá o svět Windows, Internetu a nejen síťové bezpečnosti.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).