sadržaj
Rootkiti u korisničkom načinu rada - pregled metoda
Prikazane metode predstavljaju temelj alata za prikrivanje prisutnosti napadača koji djeluju u korisničkom načinu rada. U ovom obliku, niti jedan prikazani program ne zahtijeva administratorske privilegije i kao takav predstavlja vrlo veliku opasnost za korisnika. Ipak, budući da su (u ovom obliku) prikazani programi zapravo memorijski nepostojani alati za prikrivanje prisutnosti napadača, prema prije navedenoj slici, nakon ponovnog pokretanja sustava više nisu djelatni i u potpunosti gube svoju funkcionalnost. Ukoliko napadač želi osigurati da alat ostane aktivan i nakon ponovnog pokretanja sustava, dostupne su mu brojne metode koje u suštini zahtijevaju administratorske privilegije.
Najpoznatije metode (prema [24G. Hoglund, J. Butler, Rootkits: Subverting the Windows Kernel, Addison Wesley Professional, 2005. ]) navedene su u sljedećoj tablici počevši od najjednostavnijih prema onim složenijima.
| METODA | TEŽINA | DETEKCIJA | PRIVILEGIJE | OPIS |
|---|---|---|---|---|
| Run ključ u sustavskom registru | vrlo jednostavno | vrlo jednostavno | korisničke ili administratorske | modifikacija ključa u sustavskom registru omogućava pokretanje programa svaki put kada se korisnik prijavi na sustav |
| Korištenje .ini datoteka | vrlo jednostavno | vrlo jednostavno | korisničke | .ini datoteke predstavljaju zastarjeli (ali podržani) način pokretanja običnih ili upravljačkih programa. Modifikacijom datoteka moguće je postići pokretanje bilo kojeg programa |
| Registriranje upravljačkog programa | vrlo jednostavno | vrlo jednostavno | administratorske | bilo koji upravljački program može se "registrirati" na način da se pokreće pri pokretanju sustava. Budući da se modificira sustavski registar, zaštitni programi vrlo lako otkrivaju ovu metodu |
| Registriranje programa kao dodatka legitimnim aplikacijama | jednostavno | vrlo jednostavno | ovisno o aplikaciji | program se može registrirati kao dodatak (engl. add-on) nekog uobičajenog programa, npr. Internet preglednika. Prilikom pokretanja preglednika pokreće se i dodatak, tj. zloćudni program |
| Zaraženi upravljački program ili neka druga aplikacija | relativno složeno | relativno jednostavno | korisničke (za normalne aplikacije) ili administratorske (za upravljačke programe) | bilo koji program ili upravljački program koji se pokreće pri podizanju sustava može biti modificiran (na disku ili "prisiljen" da učita zloćudnu dll datoteku) |
| Modifikacija jezgre operacijskog sustava | vrlo složeno | složeno | administratorske | napadač može modificirati jezgru operacijskog sustava (ntoskrnl.exe), modificirajući istodobno i "podizatelja sustava" (engl. boot loader) kako bi nova jezgra prošla provjeru integriteta |
| Modifikacija "boot" sektora | vrlo složeno | složeno - iznimno složeno | administratorske (uz određene ranjivosti moguće je vršiti modifikacije samo sa korisničkim privilegijama | napadač može modificirati prve sektore diska tako da se pri pokretanju operacijskog sustava modificira jezgra operacijskog sustava proizvoljnim kodom |
Ovim pregledom završava opis alata za prikrivanje prisutnosti napadača u korisničkom načinu rada. Pregled funkcionalnosti u ovom poglavlju nipošto nije potpun: nisu opisane vrlo važne (uglavnom uvijek prisutne) funkcionalnosti kao što je prikupljanje lozinki za prijavu na sustav (engl. logon password), skrivanje mrežnog prometa i omogućavanje prijave napadača na sustav (u obliku malog "poslužiteljskog" dijela programa). Gotovo svi poznati alati za prikrivanje prisutnosti napadača posjeduju tu funkcionalnost i o njima govori sljedeće poglavlje.
U sljedećem poglavlju testirani su poznati zaštitni programi na popularnim operacijskim sustavima koristeći najpoznatije alate za prikrivanje prisutnosti napadača u korisničkom načinu rada.