Ewolucja rootkitów

Kaspersky Lab, producent rozwiązań służących do ochrony danych, opublikował nowy artykuł analityczny: „Ewolucja rootkitów”. Artykuł autorstwa Alisy Szewczenko, analityka wirusów z Kaspersky Lab, jest trzecim z serii dokumentów poświęconych ewolucji wirusów i rozwiązań antywirusowych.
Autorka definiuje rootkity jako „programy, które obchodzą standardowe mechanizmy systemu poprzez wykorzystywanie technik ukrywania w celu zamaskowania obiektów systemowych, takich jak pliki, procesy itd.” i przedstawia ewolucję rootkitów od momentu ich pojawienia się do dnia dzisiejszego. Tekst ten jest przeznaczony dla osób posiadających pewną wiedzę techniczną, które chcą poznać tło historyczne tego popularnego ostatnio tematu w branży bezpieczeństwa IT.

Alisa koncentruje się na rootkitach dla systemów Windows, ponieważ jest to najczęściej atakowana platforma. Mimo że termin rootkit wywodzi się ze świata Uniksa, współczesne rootkity dla systemu Windows w rzeczywistości pochodzą od wirusów ukrywających się dla DOS-s, które po raz pierwszy pojawiły się w latach dziewięćdziesiątych. Celem tych wirusów było ukrywanie się przed użytkownikiem i programami antywirusowymi; dopiero później techniki te były wykorzystywane przez rootkity dla systemu Windows w celu ukrywania innych szkodliwych programów. Rootkity dla systemów Microsoftu pojawiły się około 10 lat po wirusach ukrywających się dla DOS-a. Autorka opisuje ich pochodzenie, pierwszą implementację takich programów oraz ich funkcjonalność. Po tym, jak stało się jasne, w jaki sposób można rozwijać technologie rootkit, technologie zaczęły one być włączane do szeregu różnych szkodliwych programów. Jednak początkowo liczba szkodliwych rootkitów oraz sposobów ich wykorzystywania była stosunkowo niewielka i można było wyróżnić wśród nich trzy kategorie: trojany wykorzystujące gotowe narzędzia i biblioteki w celu ukrywania się w systemie; gotowe szkodliwe rootkity, które mogą być modyfikowane przez użytkownika; rootkity stworzone specjalnie w celu przeprowadzenia ataków na konkretne cele.

Do 2005 roku wykorzystanie technologii rootkit rozpowszechniło się. Temat wzbudził zainteresowanie mediów i okazało się, że technologie te były wykorzystywane nie tylko w szkodliwym oprogramowaniu, ale również w produktach komercyjnych. Przykładem może być skandal z 2006 roku dotyczący zabezpieczenia Sony DRM. Wykorzystywanie technologii rootkit wywołało reakcję zarówno branży antywirusowej, jak i niezależnych badaczy i spowodowało powstanie dużej liczby metod, produktów i narzędzi do zwalczania rootkitów. Niektóre z nich są darmowe; inne komercyjne; jeszcze inne zostały stworzone w celu zwalczania zagrożeń, które nadal znajdują się w stadium „proof-of-concept”, takich jak rootkity wykorzystujące wirtualizację sprzętową.

Artykuł opisuje również najnowsze trendy, takie jak bootkity (rootkity, które są uruchamiane podczas sekwencji startowej komputera, jeszcze przed systemem operacyjnym); „mityczny” rootkit Rustock.c, o którym wiele pisano w Internecie pod koniec 2006 roku; oraz rootkity dla systemów innych niż Windows, takich jak Mac OS X i systemy operacyjne dla urządzeń mobilnych. Autorka stwierdza, że chociaż „rootkity nie wzbudzają już szczególnej ekscytacji koncepcja obchodzenia systemów nadal jest aktualna i prawdopodobnie pojawią się nowe zagrożenia implementujące technologie ukrywania się”.

Pełny artykuł znajduje się w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Wpisy promowane

Wydarzenia

19. edycja Studenckiego Festiwalu Informatycznego
04.04.2024 - 06.04.2024

Najnowsze wpisy

Scroll to Top