Домой Форум LinuxCOOL Вопросы и ответы Как бороться с руткитами?
2 ответ(ов) в теме
andrew
не в сети 4 months
На сайте с 06.03.2020
Участник
Тем 2
Сообщения 5
1
15:48

В Linux, в целом мало проблем с вредоносными программами, но есть серьезная угроза, которую представляют руткиты. У злых хакеров есть хитрые уловки, чтобы установить руткит на компьютер ничего не подозревающего пользователя. Если руткит получает контроль над BIOS, хакеры получают полный контроль над машиной. Что же тогда можно сделать, чтобы решить эту проблему?

0
admin
не в сети 11 hours
На сайте с 02.03.2020
Администратор
Тем 18
Сообщения 20
2
19:16

Во-первых, давайте немного поговорим о том, что такое руткит. В широком смысле руткит - это программа (или набор программ), которая предоставляет неавторизованному пользователю доступ к компьютеру. Обычно руткит обеспечивает удаленный доступ по сети, и, как правило, руткит стремится предоставить повышенные привилегии неавторизованному пользователю. Как следует из названия, руткит обычно пытается предоставить доступ к учетной записи пользователя root или более высокий доступ, например, на уровне ядра.

Руткит можно установить разными способами. Иногда пользователя обманным путем заставляют установить программное обеспечение, иногда руткит устанавливается путем взлома веб-браузера или принудительного входа в систему через удаленную оболочку. Каким бы ни был способ атаки, руткит обычно открывает удаленный доступ для злоумышленника и пытается скрыться в системе.

Я считаю, что стоит отметить, что в рутките нет ничего особенного, что делает его установку злоумышленником с большей вероятностью, чем вирус или другое вредоносное ПО. Те же методы и функции безопасности, которые предлагает Linux, которые защищают пользователей от других форм вредоносного ПО, также работают и против руткитов.

Как прячется руткит? Некоторые из них могут маскироваться под знакомое на вид программное обеспечение с опечаткой в ​​названии. Например, руткит может называть себя «1s» (one-s) вместо «ls» (elle-s), чтобы слиться с ним. Другие будут пытаться скрыть свои процессы различными способами, заразить существующие двоичные файлы или вставить себя в ядро.

Некоторые руткиты даже попытаются внедрить себя в компоненты оборудования более низкого уровня, например, в прошивку BIOS или в программное обеспечение, которое запускает жесткий диск или другое подключенное оборудование. Это возвращает нас к первоначальному вопросу: если руткит берет на себя управление оборудованием (через прошивку BIOS), можем ли мы вернуть машину в исходное состояние?

Ответ заключается в том, что обычно мы можем вернуть машину в рабочее состояние. Конкретные шаги будут во многом зависеть от вашего оборудования и выходят за рамки этой статьи. Однако обычно шаги следующие:

Отключите от компьютера как можно больше подключенных компонентов и дисководов. Этим мы избежим повторного заражения BIOS, если другие копии руткита скрыты в другом оборудовании.

Используйте загрузочный диск, предпочтительно компакт-диск только для чтения, чтобы запустить утилиту восстановления BIOS и попытайтесь сбросить или восстановить микропрограмму BIOS.

Перезагрузите компьютер и убедитесь, что вредоносная программа исчезла.

Снова подключите или замените старые диски и другие компоненты, которые вы удалили на первом этапе.

Переустановите операционную систему.

Вышеуказанный процесс не гарантирует, что компьютер будет в чистом состоянии без руткитов. Тем не менее, попытаться стоит. Всегда существует небольшая вероятность того, что руткит запустится из BIOS, дождется восстановления прошивки, а затем переустановится. Однако это редкий и, насколько мне известно, непроверенный уровень устойчивости руткита.

Большинство руткитов, с которыми я столкнулся, работают на уровне операционной системы, а не на уровне оборудования / BIOS, и обычно их можно удалить путем резервного копирования файлов и повторной установки операционной системы с нуля. Это было бы моим первым предложением: очистить операционную систему, а затем посмотреть, был ли успешно удален руткит.

Есть несколько распространенных инструментов для проверки руткитов. Вы можете изучить chkrootkit инструмент, который доступен в большинстве дистрибутивов Linux. Вам также может быть интересно взглянуть на Clam AV, антивирусное программное обеспечение которое может обнаруживать различные вредоносные программы.

0
или Зарегистрируйтесь чтобы ответить в этой теме
Вы не имеете права на публикацию сообщений в этой теме
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля