Forside   Profil    IT sikkerhed    Søgemaskineoptimering    Reference    Ressourcer

  

Midlertidige links: vidensbank

Hackernes værktøj #2

Rootkits.

Et Root Kit, der også nogle gange staves Rootkit, er et værktøj, der har til formål at skjule forskellige ting fra operativsystemet og dermed fra den bruger der anvender operativsystemet. Vi taler om at skjule filer, netværksforbindelser, processer, memory adresser, registreringsdatabase entries, brugere, grupper, rettighedssettings, GPO og alle de andre ting som en hacker kunne finde på at ændre, oprette, slette når han bevæger sig på vores systemer. Rootkits er normalt synonym med hackere og hacking, men bruges også til ting der ikke er forbundet med hacking, herom senere.

Normalt består et Rootkit af ændrede systemutilities. D.v.s. at hackeren ændre de normale operativsystemværktøjer, således at de ikke viser de ting hackeren har fat i. Hvis vi taler Windows kunne der være tale om at andre alle de små exe filer, der udgør systemværktøjerne. Disse findes på en standard installation under stien c:\Windows\system32 og indeholder bl.a. værktøjerne cmd, der køre kommandoprompden, netstat der viser netværksforbindelser, taskman der viser hvilke jobs der kører, og alle andre værktøjer eller utilities der kunne afsløre hackeren eller hans spor.

Forskellige Rootkit Typer

Rootkit's findes grundlæggende i fire forskellige former, nemlig Det virtualiserede Rootkit, kernel Rootkittet, library Rootkittet, og application level Rootkits.

Virtualiserede Rootkits

De virtualiserede Rootkits arbejder på det laveste niveau af alle Rootkits. De virker ved at modificerer maskinens boot sekvens således at maskinen loader rootkittet i stedet for der oprindelige operativsystem. Da hackeren ikke på forhånd kan vide hvordan det originale operativsystem er sat op, hvilke dele der er installeret og hvilke hardware drivere der skal anvendes, så gør detvirtualiserede Rootkit det, at det loader original operativsystemet som en virtuel maskine og derefter opfanger alle hardware kald fra dette os.

Kernel Rootkits

Kernel Rootkits virker på den måde at de enten tilføjer til eller udskifter dele af kernelkoden med modificeret kode. på Windows kan dette f.eks. gøres via drivere og på Linux vialoadable Kernel Modules. Da disse kernel Rootkits udskifter eller tilføjer, og da hackeren ofte ikke på forhånd kender det system der skal hacker og derfor ofte ikke kan skræddersy til dette system, er kernel Rootkits notorisk ustabile. Et godt lavet kernel Rootkit er næsten umuligt at opdage uden den rigtige viden og software. Ofte skal der forensics undersøgelse til at analyserer hvornår filer er blevet ændret eller installeret for at kunne identificerer hvilke dele at systemet der er kompromitteret.

Library Rootkit

Et Libary Rootkit arbejder med system kald som patches, hookes eller simpelthen udskiftet med hackerens egne kald

Applikations Rootkit

Et applikations Rootkit maskere f.eks. backdoors som almindelige applikationer eller de modificerer funktionaliteten af eksisterende applikationer via hooks, patches eller ved at injecte kode.

Sådan opdages et rootkit

Der er ingen grund til at forsøge at narre nogen, et Rootkit er meget vanskeligt at opdage, det er faktisk lavet netop med det formål at undgå opdagelse. Du kan for det meste glemme alt om at scanne dig frem til tilstedeværelsen af etRootkit. Hvis du ikke opdager at det bliver lagt ind, så kan du kun "opdage" tilstedeværelsen via systemets symptomer eller via systemer udenfor den inficerede computer. Det kan f.eks. være at du sniffer netværkstrafik der stammer fra din maskine, men som du ikke kan identificerer hvorfra kommer, eller din maskine bliver pludselig meget ustabil, eller det er ikke muligt at opdaterer/patche eller man har i en logfil på firewallen der viser at der er sket et indbrud. Der findes dog enkelte programmer, der kan siges at kunne opdage visse Rootkits, ofte baseret på signatur filer, der ud fra kendte data og afvigelser, kan afsløre nogle Rootkits.

Netværksmæssige sikkerhedsforanstaltninger som f.eks. Network Based Intrusion detection systemer som f.eks. Snort, syslog server og andre avancerede former for logging vil give administratoren en chance for at opdage at der er noget i gang og for efterfølgende at dokumenterer hvad der er foregået. Hvis der i netværket er brugt en NTP (Network time protocol) server, så alle maskiner og logs tidsmæssigt er i sync, så har man forbedret sine chancher. Hvis man så også anvender Host Based Intrision Detection systemer som f.eks. Tripwire så har man også en chance for at opdage hvilke filer på den enkelte maskine der er berørt. Hele dette sætup hjælpes meget hvis sikkerheden er etableret med dybde, Læs har artiklen IT sikkerhed - Sikkerhed i dybden

Skal tilstedeværelsen et Rootkit opdages og dokumenteres fuldt, så skal der en forensics undersøgelse til, hvor man kikker på fil tidsstempler, gendanner slettede filer og lader en timeline over ændringer i det der kaldesMAC tid. En sådan undersøgelse vil kunne vise hvornår system utilities er blevet modificeret, hvilke filer der er blevet downloaded til computeren for at kunne modificerer disse filer og utilities osv. osv. Skal sagen køres i retsmæssig forstand, så er en fuldstændig tidsmæssig korrelation mellem de netværksmæssige IDS, de Host Baserede IDS og de forensics analyser der laves.

Sådan fjernes et Rootkit.

At fjerne et Rootkit, kan ikke anbefales, det ville kræve at du havde fuldstændig styr på hvilke filer de enkelte Rootkit ændre/modificerer som du så skifter ud med en sikker kopi af originalerne I stedet anbefales det at man foretager en total re-installation fra sikre medier.

Det anbefales også at man gemmer et image (helst et forensics, også kaldet bitstream image) således at det kan konstateres hvordan selve hacket belv gennemført, så man kan tage forholdsregler for at det samme kan gøres igen. Læs artiklen Computer Forensics - Den Grundlæggende del

Sony's Digital Rights Management Rootkit

Sony's digital Rights Management er kopibeskyttelse af CD og DVD og hele sagen var meget fremme i medierne da det først kom frem. Sagen er at Sony bruger et Rootkit til at skjule eller fjerne mulighederne for kopiering. Noget at det der var mest kritik af var at Sony gjorde det uden at fortælle folk at de installerede et Rootkit på deres maskiner, men her ser vi en, om ikke helt etisk korrekt, så i hvert tilfælde ikke kriminel brug af Rootkit.

Hele Sony sagen har faktisk et lidt ironisk element idet nogle af kopi brænderprogrammerne, som f.eks. Alcohol, også anvender Rootkit's til at omgå kopibeskyttelse, så værktøjet, hvis man kan kalde det det, kan anvendes på begge sider af samme sag, dog med modsat fortegn.

Hackere, Hacking med mere

Hacking - Hvordan gøres det
Hacking - Hvilke typer findes der
 Hacking – Hvorfor hackes der, Hvad vil de opnå.
Hacking - Kendte hackere
Hacking - Hacker emblemet
Hacking - Hackernes værktøj #1. Google
Hacking - Hackernes værktøj #2. Rootkits
Hacking - Hackernes værktøj #3. Sniffer
Hacking - Hackernes værktøj #4. Scanner
Hacking - Tænk som en hacker
Hacking - Via Social Engineering
Hacking - Hacking for Managers, del 1
Hacking - Hacking for Managers, del 2
Gør noget dumt og Hack dig selv
Hvordan hacker man. Den indirekte vej ind

Læs også disse serier

Søgemaskineoptimering
 Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Google
Hacking
SEO - Blackhat Teckniques


Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk


Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone










FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- IT sikkerhed
- SEO
- Hacking

Copyright 2006 BufferZone.dk. All Rights Reserved.
Legal Stuff, BufferZone dedication, Testimonials, Privacy Policy.



 
Hackernes værktøj #2 Rootkits bufferzone.dk Hackernes værktøj #2 Rootkits bufferzone.dk Hackernes værktøj #2 Rootkits bufferzone.dk Hackernes værktøj #2 Rootkits bufferzone.dk Hackernes værktøj #2 Rootkits bufferzone.dk