Rootkit

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Rootkit-ul este o colecție de software tipic rău intenționat conceput pentru a avea acces la un computer sau o parte a acestuia, care altfel nu ar fi posibil (de exemplu, de către un utilizator neautorizat să se autentifice). Aceste software, pe lângă faptul că garantează un astfel de acces, au grijă să se mascheze singuri sau alte programe utile pentru a atinge scopul. Termenul englezesc „rootkit” derivă din concatenarea a doi termeni: „ rădăcină ”, care indică în mod tradițional utilizatorul cu cele mai mari permisiuni în sistemele de tip Unix și „kit”, care se referă la software-ul care implementează instrumentul. Termenul „rootkit” capătă adesea o conotație negativă, deoarece este în general asociat cu malware [1] .

Instalarea unui rootkit poate fi automatizată sau un atacator ( cracker ) îl poate instala singur după ce au fost obținute permisiunile root sau accesul administratorului. Obținerea acestui tip de acces poate fi rezultatul unui atac direct asupra sistemului prin exploatarea, de exemplu, a unei vulnerabilități cunoscute (cum ar fi Escalarea privilegiilor ) sau prin descoperirea unei parole (obținută prin Cracking sau Inginerie socială ). Odată instalat Rootkit, este important să păstrați intruziunea ascunsă, astfel încât să puteți păstra privilegiile obținute. Cheia acestui atac constă deci în permisiunile de root sau de administrator. Cu aceste permisiuni este posibil să aveți un control complet al sistemului, aceasta include și software-ul de modificare, inclusiv cel creat pentru a le detecta și a le bloca (cum ar fi antivirusul).

Detectarea unui Rootkit poate fi dificilă, deoarece prima preocupare a acestor programe este blocarea programelor care îl pot găsi. Metodele de detectare a rootkiturilor includ utilizarea unui sistem de operare alternativ și de încredere, metode bazate pe comportament, scanarea semnăturilor, analiza de memorie. Eliminarea poate fi foarte complicată, dacă nu aproape imposibilă, mai ales în cazurile în care rootkit-ul se află în nucleu; formatarea aparatului și reinstalarea sistemului de operare poate fi singura soluție posibilă [2] . Cu toate acestea, atunci când se tratează rootkit-uri în firmware, eliminarea poate necesita înlocuirea pieselor hardware sau utilizarea unor instrumente specializate.

Istorie

Termenul rootkit sau kit root se referea inițial la un set de software de gestionare, pentru sistemele de operare de tip Unix modificate în scopuri rău intenționate, pentru a obține privilegii ca utilizator „ root[3] . Dacă un intrus este capabil să înlocuiască instrumentele standard de administrare ale unui sistem cu un rootkit, atunci nu numai că poate avea acces ca utilizator „root”, dar în același timp își poate ascunde activitățile de la administratorul de sistem real.

Acest prim tip de rootkit a fost ușor de detectat prin utilizarea unor instrumente precum Tripwire care nu au fost compromise, pentru a accesa aceleași informații [4] [5] . Lane Davis și Steven Dake au scris primul rootkit cunoscut, în 1990, pentru sistemele SunIX UNO ale Sun Microsystem [6] . În 1983, la conferința Turing Award, Ken Thompson de la Bell Laboratories, unul dintre creatorii Unix , a teorizat un compilator C modificat în distribuțiile Unix și a discutat despre exploatarea acestuia. Compilatorul modificat ar detecta încercările de a compila comenzi de autentificare Unix și, în consecință, va genera un cod modificat care ar accepta nu numai parola corectă a utilizatorului, ci o parolă suplimentară „ backdoor ”, cunoscută doar de atacator. Mai mult, compilatorul modificat ar fi detectat încercări de a compila o nouă versiune a compilatorului în sine, inserând astfel același exploit în noua versiune. O revizuire a codului sursă al comenzii de conectare sau o actualizare a compilatorului nu ar fi dezvăluit niciun cod rău intenționat [7] . Acest exploit a fost echivalentul unui rootkit.

Primul virus documentat, care a atacat computerele personale, datează din 1986 și a folosit o tehnică de ascundere pentru a se ascunde: virusul Brain a interceptat încercările de a citi sectorul de boot și le-a redirecționat către alte părți ale hard disk-ului, unde o copie a originalului boot [1] . Odată cu trecerea timpului, metodele de ascundere a virusului DOS au devenit mai sofisticate, cu tehnici avansate, inclusiv conectarea apelurilor de întrerupere BIOS INT 13H de nivel scăzut pentru a ascunde modificările neautorizate ale fișierelor [1] .

Primul rootkit rău intenționat pentru Windows NT [8] a apărut în 1999: un troian numit NTRootkit creat de Greg Hoglund. Cazul a fost urmat de HackerDefender în 2003. Primul rootkit care a vizat un sistem Mac OS X a apărut în 2009 [9] , în timp ce viermele Stuxnet a fost primul care a lovit un PLC [10] .

Scandalul rootkit-ului de protecție împotriva copiei de la Sony BMG

Articolul principal: Scandalul rootkit-ului Sony BMG împotriva protecției împotriva copierii

În 2005, Sony BMG a lansat CD-uri cu protecție la copiere și software de gestionare a drepturilor digitale numit Extended Copy Protection , creat de compania de software First 4 Internet. Software-ul a inclus un player de muzică care a instalat în secret un rootkit care a limitat capacitatea utilizatorului de a accesa discul [11] .

Inginerul informatic Mark Russinovich , care a creat un instrument de detectare a rootkit-urilor numit RootkitRevealer , a descoperit problema pe unul dintre computerele sale [1] . Scandalul care a urmat a făcut ca publicul să fie conștientizat de Rootkits [12] .

Pentru a se ascunde, rootkit-ul s-a ascuns în fiecare fișier care a început cu „$ sys $”. La scurt timp după raportul lui Russinovich, au apărut mai multe programe malware care exploatează această vulnerabilitate care afectează sistemele afectate.

Un analist al BBC l-a numit „coșmar de relații publice” [13] (coșmar de relații publice). Sony BGM a lansat patch-uri pentru a șterge rootkit-ul, dar acestea au expus utilizatorii la o vulnerabilitate și mai gravă [14] . În cele din urmă, compania a fost nevoită să retragă CD-urile. În SUA, a fost introdusă o acțiune colectivă împotriva Sony BGM [15] .

Scandalul grecesc de interceptare în 2004-05

Cazul interceptărilor grecești din 2004-05, cunoscut și sub numele de Greek Watergate [16] , a implicat interceptarea ilegală a mai mult de 100 de telefoane mobile în rețeaua grecească Vodafone, aceste telefoane aparținând în majoritate membrilor guvernului și înalților oficiali publici. Interceptările au început în jurul lunii august 2004 și au continuat până în martie 2005, fără ca identitatea autorilor să fie descoperită vreodată. Intrușii au instalat un rootkit care viza centrala telefonică AX a lui Ericsson [17] . Conform IEEE Spectrum, acesta a fost primul atac rootkit observat vreodată pe un sistem special, în acest caz centrala telefonică Ericsson. Rootkit-ul a fost conceput pentru a modifica memoria de swap în timp ce acesta funcționa, permițând astfel interceptările, în timp ce dezactivează jurnalele de audit, a modificat, de asemenea, comenzile care enumerau procesele active și blocurile de date și a intervenit asupra sumei de control a comenzii de verificare a blocului de date. Un backdoor a permis unui operator, cu permisiuni de administrator de sistem, să dezactiveze jurnalul de tranzacții de pe panoul de control, alarmele și comenzile de acces de supraveghere [17] . Kitul de root a fost descoperit în urma unei actualizări incorecte care a făcut ca mesajul SMS să nu fie livrat, ceea ce a generat un raport automat de eroare. Inginerii Ericsson au fost chemați pentru a investiga problema și au descoperit blocuri de date ascunse care conțin liste de numere de telefon care trebuie monitorizate, împreună cu rootkit-ul și software-ul de monitorizare ilicită.

Utilizări

Kituri de rădăcină moderne nu se mai îngrijorează cu privire la creșterea permisiunilor [3] , ci mai degrabă maschează încărcarea altor programe prin adăugarea de funcții care să o facă invizibilă [8] . Majoritatea rootkiturilor sunt clasificate drept malware deoarece sunt legate de software-ul rău intenționat. De exemplu, sarcina utilă pe care o poartă un rootkit ar putea fura în secret parole de utilizator, informații despre cardul de credit, resurse de computer sau ar putea efectua activități neautorizate. Un număr mic de rootkit-uri poate fi util utilizatorului: de exemplu, ar putea masca un driver de emulare CD-ROM, permițând depășirea măsurilor anti-piraterie ale unui joc video care necesită, de exemplu, introducerea CD-ului în cititorului pentru a verifica autenticitatea programului (această măsură de protecție ar putea fi enervantă chiar și pentru cei care au cumpărat legal software-ul).

Seturile de rădăcini cu sarcina lor utilă pot avea utilizări diferite:

  • Acestea oferă atacatorului acces complet și neautorizat prin ușile din spate, cu scopul, de exemplu, de a fura sau falsifica documente. Una dintre modalitățile posibile de a realiza acest lucru este modificarea mecanismului de conectare, care pentru sistemele similare UNIX poate fi programul / bin / login sau GINA pentru sistemele Windows. Înlocuitorul pare să funcționeze normal, dar acceptă și o combinație secretă de autentificare (nume de utilizator și parolă) care permite atacatorului accesul direct la sistem cu privilegii de administrator, ocolind astfel mecanismele standard de autentificare și autorizare.
  • Ascundeți alte malware, în special keylogger -uri care fură parole și viruși de computer [18] .
  • Aceștia își însușesc mașina compromisă făcându-l un computer zombie pentru a-l exploata pentru atacuri pe alte computere (atacul începe de la computerul zombie în loc de direct de la computerul atacatorului, făcând astfel foarte dificil, dacă nu chiar imposibil, urmărirea computerele „zombie” fac de obicei parte dintr-o botnet mare care poate lansa atacuri de refuzare a serviciului distribuite (DDoS), spam distribuit prin e - mail , fraudă de clicuri etc.
  • Forțarea DRM (Digital Rights Management)

În unele cazuri, kiturile root oferă funcționalitatea dorită și pot fi instalate intenționat de utilizator pe computerul lor:

  • Cheat programele de ascundere în jocurile online, pentru a evita software-ul ca Warden [19] .
  • Detectați atacurile, de exemplu, cu un pot de miere [20] .
  • Software avansat de emulare și securitate [21] . Alcohol 120% și Daemon Tools sunt exemple de rootkit-uri comerciale neostile utilizate pentru a ocoli sistemele de protecție împotriva copierii, cum ar fi SafeDisc sau SecuROM. Software-ul antivirus Kaspersky folosește, de asemenea, tehnici care îl fac să pară un rootkit pentru a se proteja de acțiunile rău intenționate. De fapt, el își încarcă șoferii pentru a intercepta activitățile sistemului și a le împiedica să-l afecteze. Procesele sale nu sunt ascunse, dar nu pot fi terminate cu metode standard (Poate fi terminat prin Process Hacker)
  • Protecție antifurt: laptopurile pot avea software rootkit la nivel de BIOS care raportează periodic către o autoritate centrală, permițând monitorizarea, ștergerea sau inaccesibilitatea informațiilor despre aparat în caz de furt [22] .
  • Ignorați activarea produsului Microsoft [23]

Tipuri

Inele de securitate a computerului (-1 inel nu este afișat)

Există cel puțin 5 tipuri de rootkit-uri, variind de la cele de la cel mai scăzut nivel din firmware (cu cele mai mari privilegii), până la cel cu cele mai mici privilegii, adică la nivelul utilizatorului, care funcționează în ring 3. Există hibrid combinații care pot combina, de exemplu, modul utilizator și modul kernel [24] .

Mod utilizator

Seturile rootkit în modul utilizator funcționează în ringul 3, împreună cu alte aplicații de utilizator, mai degrabă decât la un nivel inferior cu procesele de sistem [25] . Au mai mulți vectori de instalare posibili pentru interceptarea și modificarea comportamentului standard al interfețelor de programare a aplicațiilor ( API ). Unii injectează biblioteci conectate dinamic (cum ar fi fișiere DLL pe Windows sau fișiere Dylib pe sisteme Mac OS X) în alte procese și de acolo pot executa în fiecare proces țintă, ascunzând aceste biblioteci; altele, dacă permisiunile lor sunt suficiente, pur și simplu suprascrie memoria aplicației țintă. Mecanismele de injectare includ:

  • Utilizarea extensiilor de aplicații, furnizate chiar de producător. De exemplu, Windows Explorer are interfețe publice care permit terților să își extindă funcționalitatea
  • Interceptarea mesajelor
  • Depanatori
  • Exploatarea vulnerabilităților de securitate
  • Conectarea la cele mai utilizate funcții API sau patch-uri, de exemplu, pentru a ascunde un proces sau un fișier care rulează în sistemul de fișiere [26] .

… Atâta timp cât aplicațiile în modul utilizator vor rula doar în propriul spațiu rezervat, rootkit-ul va trebui să modifice spațiul de memorie al fiecărei aplicații individuale. De asemenea, rootkit-ul trebuie să monitorizeze sistemul pentru a afla fiecare aplicație nouă pe care o rulează și, de asemenea, să-și modifice memoria, numai pentru a putea rula optim.

— Prezentare generală a Windows Rootkit, Symantec

Modul kernel

Kernelul modul rootkit (kernel-mode) care funcționează cu cele mai mari privilegii din sistemul de operare (inelul 0), având astfel capacitatea de a adăuga cod sau de a înlocui porțiuni fundamentale ale sistemului de operare, care includ atât nucleul, cât și driverele de dispozitiv Asociate . Majoritatea sistemelor de operare permit driverelor de dispozitiv să funcționeze în modul kernel, lucrând astfel cu aceleași privilegii ca și sistemul de operare în sine. Din acest motiv, multe rookit-uri în modul kernel sunt dezvoltate ca drivere de dispozitiv sau module încărcabile, cum ar fi module kernel încărcabile pe sisteme Linux sau drivere de dispozitiv pe sisteme Windows. Această clasă rootkit are acces complet fără restricții de securitate, dar sunt mult mai greu de dezvoltat [27] . Complexitatea lor ridicată face ca erorile să fie destul de comune și orice eroare la nivel de nucleu poate avea un impact puternic asupra stabilității sistemului, ducând astfel la descoperirea rootkit-ului [27] . Unul dintre cele mai cunoscute rootkit-uri la nivel de nucleu a fost dezvoltat pentru Windows NT 4.0 și publicat în revista Phrack de Greg Hoglund în 1999 [28] [29] [30] .

Seturile de rădăcină de acest tip pot fi deosebit de dificil de găsit și eliminat, deoarece funcționează la același nivel de securitate ca sistemul de operare și, prin urmare, sunt capabile să intercepteze și să inverseze chiar și operațiunile de încredere (de încredere) ale sistemului de operare. Orice software, cum ar fi un antivirus , care rulează pe un sistem compromis este, de asemenea, vulnerabil [31] . Într-o astfel de situație, nicio componentă a sistemului de operare nu poate fi de încredere.

Un rootkit poate modifica structurile de date din nucleul Windows utilizând o metodă cunoscută sub numele de manipulare directă a obiectelor kernel (DKOM) [32] . Acest sistem poate fi folosit pentru a ascunde procesele. Un rootkit în modul kernel poate conecta apoi tabelul descriptor de servicii de sistem (SSDT) ​​sau poate modifica „porturile” pentru a comuta de la modul utilizator la modul kernel pentru a ascunde [3] . Într-un mod foarte similar în sistemele Linux, un rootkit poate modifica tabelul de apeluri de sistem pentru a interveni asupra funcționalității nucleului [33] . Nu este neobișnuit ca un rootkit să creeze un sistem de fișiere ascuns și criptat în care să ascundă alte programe malware sau copii originale ale fișierelor infectate [34] .

Sistemele de operare evoluează pentru a face față amenințării rootkiturilor în modul kernel. De exemplu, versiunile pe 64 de biți ale Microsoft Windows implementează acum o semnătură obligatorie pentru toți driverele care rulează la același nivel cu nucleul, ceea ce face mult mai dificil să ruleze codul neconfirmat cu privilegii atât de mari [35] .

Truse de încărcare

O variantă a rootkit-ului în modul kernel este bootkit-ul, care poate infecta codul de boot, cum ar fi Master Boot Record (MBR), Volume Boot Record (VBR) sau sectorul de boot, și în acest mod poate fi folosit pentru a ataca discul complet sisteme de criptare , adică sisteme cu hard disk complet criptat. Un exemplu este „Evil Maid Attack”, în care atacatorul instalează bootkit-ul pe un PC nesupravegheat și înlocuiește încărcătorul inițial de încărcare cu altul aflat sub controlul său. De obicei, programul de încărcare a malware-ului supraviețuiește în modul protejat , atunci când nucleul a fost deja încărcat și, prin urmare, este capabil să ocolească această protecție [36] [37] [38] [39] . De exemplu, „Stoned Bootkit” reușește să subvertizeze sistemul folosind un încărcător de boot compromis capabil să intercepteze cheile de criptare și parolele [40] . Mai recent, rootkit-ul Alureon a ocolit cu succes protecția bazată pe semnătura driverului pe Windows 7 pentru a evita rootkit-urile în modul kernel în arhitecturi pe 64 de biți. Acest lucru a fost realizat prin modificarea înregistrării master boot [41] . Alte programe malware, chiar dacă nu sunt concepute ca ceva care efectuează acțiuni nedorite de către utilizator, pot fi unele „Vista Loader” sau „Windows Loader” care funcționează într-un mod foarte similar, injectând un tabel ACPI SLIC (System Licensed Internal Code) în tabelul versiunea încărcată în RAM a BIOS-ului în timpul boot-ului, pentru a ocoli procesul de activare a Windows Vista și Windows 7 [42] . Acest vector de atac a fost inutilizat în versiunile (non-server) ale Windows 8 , care utilizează o cheie unică, specifică fiecărei mașini, pe fiecare sistem. Cheia poate fi utilizată numai pe aparatul căruia îi aparține [43] .

Singura apărare cunoscută împotriva bootkit-urilor este de a preveni accesul fizic neautorizat la mașină, o problemă pentru dispozitivele portabile sau utilizarea unui modul de platformă de încredere configurat pentru a proteja fișierele de boot [44] .

Nivelul de hipervizor

Kituri de rădăcini au fost create ca hipervizori de tip II, în mediul academic, ca o dovadă a conceptului . Profitând de funcțiile de virtualizare, cum ar fi Intel VT sau AMD-V , acest tip de rootkit funcționează în Ring-1 și găzduiește sistemul de operare țintă ca o mașină virtuală , autorizând astfel rootkit-ul să intercepteze apelurile de sistem efectuate de sistemul de operare original [5] ] . Spre deosebire de hipervizoarele normale, acestea nu trebuie încărcate înainte de sistemul de operare. Un Rootkit Hypervisor nu trebuie să facă modificări la nucleul țintei pentru a-l ataca; totuși, acest lucru nu înseamnă că nu poate fi descoperit de sistemul de operare gazdă [5] . De exemplu, diferențele de sincronizare pot fi descoperite prin instrucțiunile CPU [5] . Rootkit-ul „SubVirt”, dezvoltat împreună în laborator de Microsoft și de cercetătorii de la Universitatea din Michigan , este un exemplu academic al unui rootkit virtual bazat pe mașini (VMBR) [45] , în timp ce Blue Pill este un alt exemplu.

În 2009, cercetătorii de la Microsoft și Universitatea de Stat din Carolina de Nord au demonstrat funcționarea unui strat de hipervizor anti-rootkit numit Hooksafe, care oferă protecție generică împotriva rootkiturilor în modul kernel [46] .

Windows 10 introduce o nouă funcție numită „Device Guard”, care utilizează virtualizarea pentru a oferi protecție externă independentă sistemului de operare împotriva malware-ului de tip rootkit [47] .

Firmware și hardware

Un firmware rootkit folosește firmware-ul dispozitivului sau al platformei pentru a crea o imagine persistentă a malware-ului pe un dispozitiv hardware, cum ar fi un router , o placă de rețea [48] , unitatea de disc sau un BIOS de sistem [25] [49] . Rootkit-ul se ascunde în firmware, deoarece integritatea codului său nu este adesea verificată. John Heasman a demonstrat fezabilitatea firmware-ului rootkit atât în ​​rutinele de firmware ACPI [50], cât și pe cardurile de expansiune PCI ROM [51] .

În octombrie 2008, infractorii au manipulat cititorii europeni de carduri de credit înainte de a fi instalați. Dispozitivele au interceptat și au transmis datele cardului printr-o rețea de telefonie mobilă [52] . În martie 2009, cercetătorii Alfredo Ortega și Anibal Sacco au publicat detalii despre un rootkit la nivel de BIOS pentru sistemele Windows care pot rezista la înlocuirea hard disk-ului sau la reinstalarea sistemului de operare [53] [54] [55] . Câteva luni mai târziu, au descoperit că unele laptopuri au fost vândute cu un rootkit legitim, cunoscut sub numele de Absolute CompuTrace sau Absolute LoJack pentru laptopuri , preinstalat în multe BIOS-uri. Acest rootkit este un sistem antifurt, dar cercetătorii au arătat că poate fi utilizat cu ușurință în scopuri rău intenționate.

Tehnologia Intel Active Management , care face parte din Intel vPro, implementează managementul în afara benzii , care oferă administratorilor administrarea de la distanță, gestionarea de la distanță și controlul de la distanță al computerelor, fără implicarea procesorului sistemului gazdă sau a BIOS-ului. Chiar și atunci când sistemul este transformat oprit. Administrarea de la distanță include oprirea sau pornirea de la distanță, resetarea, redirecționarea pornirii, redirecționarea consolei, accesul înainte de pornire la setările BIOS, filtrele configurabile pentru traficul de rețea de intrare și de ieșire, verificarea prezenței, avertizările în afara benzii pe baza politicilor, accesul la informații despre sistem, cum ar fi configurația hardware, jurnalul de evenimente persistente și alte informații stocate într-o memorie dedicată (nu pe hard disk), accesibile chiar și atunci când computerul este oprit sau dacă sistemul de operare nu este pornit. Unele dintre aceste funcții necesită un rootkit la un nivel mai profund și un al doilea computer spion nedemovibil este construit în jurul computerului principal. Sandy Bridge și chipseturile viitoare au „capacitatea de a distruge de la distanță și de a restaura un PC pierdut sau furat folosind 3G.” Seturile de instrumente hardware implantate în chipset pot ajuta la recuperarea computerelor furate, la eliminarea datelor sau la transformarea lor inutilă, dar reprezintă, de asemenea, o problemă a confidențialitate și securitate, întrucât aceștia sunt de fapt spioni care nu pot fi depistați, iar un hacker ar putea obține controlul asupra mașinii de la distanță.

Instalare și ascundere

Rootkit-urile folosesc diverse tehnici pentru a prelua controlul unui sistem; tipul de rootkit afectează alegerea vectorului de atac. Cea mai comună tehnică este de a utiliza o vulnerabilitate de securitate pentru a obține o creștere a privilegiilor nedorite. O altă abordare este de a folosi un cal troian , păcălind un utilizator de computer să creadă că instalarea rootkit este de fapt o instalare benignă [27] - în acest caz, ingineria socială este cea care îl convinge pe utilizator că instalarea este benefică. Sarcina de instalare este chiar mai ușoară dacă nu se aplică principiul minimului privilegiu , deoarece în acest caz rootkit-ul nu trebuie să solicite în mod explicit permisiuni ridicate (nivel de administrator). Alte clase de rootkit pot fi instalate numai de către cineva cu acces fizic la sistemul țintă. Unele rootkit-uri pot fi instalate în mod intenționat de către proprietarul sistemului sau de către altcineva autorizat de proprietar, cu scopul, de exemplu, de a monitoriza angajații, făcând inutile tehnicile subversive [56] .

Instalarea rădăcină rău intenționată este ghidată comercial, cu o metodă de compensare pay-per-install tipică pentru distribuție [57] [58] .

Odată ce un rootkit este instalat, ia măsuri active pentru a-și ascunde prezența în sistemul gazdă prin subversiune sau evaziune a instrumentelor standard de securitate a sistemului și a API-urilor utilizate pentru diagnostic, scanare și monitorizare. Rootkiturile realizează acest lucru modificând comportamentul părților fundamentale ale unui sistem de operare prin încărcarea codului în procese, instalarea sau modificarea driverelor sau a modulelor kernel. Tehnicile de ofuscare includ ascunderea proceselor care rulează de mecanismele de monitorizare a sistemului și ascunderea fișierelor de sistem și a altor date de configurare [59] . Nu este neobișnuit ca un rootkit să dezactiveze capacitatea de înregistrare a evenimentelor unui sistem de operare în încercarea de a ascunde dovezi ale unui atac. Rootkit-urile pot, în teorie, inversa orice activitate a sistemului de operare [60] . „Rădăcina perfectă” poate fi considerată „ crima perfectă ”: cea pe care nimeni nu o realizează a avut loc.

Rootkit-urile iau, de asemenea, o serie de măsuri, pe lângă faptul că sunt instalate în Ring 0 (kernel-mode), pentru a le asigura supraviețuirea împotriva detectării și curățării de către software-ul antivirus. Aceasta include polimorfismul , tehnicile de cloaking, regenerarea, blocarea software-ului anti-malware [61] și neinstalarea pe mașini virtuale, unde cercetătorii sunt mai ușor de descoperit și analizat.

Detectare

Problema fundamentală în descoperirea rootkiturilor este că sistemul de operare în sine este compromis, în special de rootkit-urile la nivel de nucleu, deci nu este fiabil atunci când vine vorba de căutarea modificărilor neautorizate la sine sau la componentele sale [60] . Acțiunile, cum ar fi solicitarea unei liste de procese care rulează sau o listă de fișiere din directoare, nu sunt fiabile, răspunsurile s-ar putea să nu fie așa cum era de așteptat. Cu alte cuvinte, programele care identifică rootkit-urile care funcționează în timp ce sistemul infectat rulează sunt eficiente numai împotriva rootkit-urilor care prezintă unele defecte în ascunderea lor sau care funcționează cu privilegii mai mici decât programul însărcinat cu descoperirea lor. Ca și în cazul virușilor , descoperirea și eliminarea rootkit-urilor este o luptă constantă între cele două părți [60] .

Identificarea poate utiliza mai multe abordări diferite, inclusiv semnături (de exemplu, antivirusul software-ului), verificări de integritate (de exemplu, semnături digitale ), detecție bazată pe diferențe (de exemplu, rezultatul comparativ așteptat vs rezultate reale) și detectarea comportamentului (de exemplu, „utilizarea procesorului sau traficul de rețea). Pentru rootkit-urile în modul kernel, descoperirea trebuie considerată mai complexă, necesită o analiză atentă a Tabelului de apelare a sistemului în căutarea funcțiilor conectate în care malware-ul ar putea compromite comportamentul sistemului [62] sau analiza memoriei la nivelul căutați modele care indică procese ascunse.

Software-ul de detectare Rootkit pe sistemele Unix include Zeppo [63] , chrootkit , rkhunter și OSSEC . Pe un mediu Windows, software-ul de acest tip este Microsoft Sysinternals, RootkitRevealer [64] , Avast! Antivirus , Sophos Anti-Rootkit [65] , F-Secure [66] , Radix [67] , GMER [68] și WindowsSCOPE . Orice software de acest tip își îmbunătățește propria eficacitate pe măsură ce se descoperă noi programe malware, dar în mod similar, autorii programelor malware se adaptează și își testează codul pentru a evita detectarea de către cele mai cunoscute instrumente.

La scoperta attraverso un esame della memoria, mentre il sistema operativo preso in esame non sta operando, può mancare i rootkit non conosciuti dal software utilizzato, in quanto neanche il rootkit sta operando e quindi non sono rilevati i comportamenti sospetti. I software anti-malware convenzionali, che operano insieme al rootkit, potrebbero fallire se il rootkit si nasconde in modo efficace.

Alternative trusted medium

Il metodo migliore e più affidabile per la scoperta dei rootkit che operano a livello del sistema operativo è quello di spegnere il computer sospetto e fare un check della sua memoria di archiviazione attraverso l'avvio di un alternative trusted medium (es. un CD di recupero, una chiave USB) [69] . La tecnica è efficace perché il rootkit non può nascondere in maniera attiva la sua presenza, dato che non è in esecuzione.

Behavioral-based

L'approccio behavioral based per scovare i rootkit tenta di dedurre la presenza di un rootkit, cercando un comportamento rootkit-like. Per esempio può profilare il sistema alla ricerca di differenze nelle tempistiche e nella frequenza della chiamate API, oppure può analizzare l'utilizzo generale della CPU. Questo metodo è complesso e si ha un'alta incidenza di falsi positivi. Rootkit difettosi possono generare cambiamenti molto evidenti per un sistema: il rootkit Alureon blocca i sistemi Windows dopo che un aggiornamento di sicurezza ha portato alla luce un errore di progettazione nel suo codice [70] [71] .

I log di un packet analyzer, di un firewall, o di un sistema di prevenzione delle intrusioni possono evidenziare la presenza di un rootkit in ambiente di rete.

Signature-based

Gli antivirus raramente trovano tutti i virus nei test pubblici (a seconda di ciò che viene utilizzato e in quale misura), anche se i produttori di questi software incorporano dei rootkit detector nei loro prodotti. Se un rootkit prova a nascondersi durante una scansione antivirus, lo stealth detector potrebbe accorgersene; se il rootkit prova a rimuoversi temporaneamente dal sistema, il signature detector (o “impronta digitale”) può ancora trovarlo. Questo approccio combinato obbliga l'attaccante a implementare dei meccanismi di contrattacco, o “retro” routine che tentano di interrompere i programmi antivirus. I metodi di rivelazione signature-based possono essere efficaci con rootkit ben noti, ma lo sono molto meno con rootkit creati apposta per una specifica vittima, i custom-root rootkit [60] .

Difference-based

Un altro metodo in grado di scoprire rootkit compara dei dati grezzi “fidati” con il contenuto “contaminato” restituito da una API . Per esempio, i file binari presenti nel disco possono essere confrontati con le loro copie all'interno della memoria operativa (in alcuni sistemi operativi, l'immagine in memoria dovrebbe essere identica alla versione su disco), altrimenti con il risultato restituito dal file system oppure dalle API del registro di sistema può essere controllato tramite le strutture grezze nei dischi fisici sottostanti [60] [72] —però, nel primo caso, possono essere introdotte alcune importanti variazioni da parte di alcuni meccanismi del sistema operativo come il memory relocation o lo shimming . Un rootkit può scoprire la presenza di diversi difference-based scanner o macchine virtuali (quest'ultimo viene comunemente usato per eseguire analisi forensi), e modificare il suo comportamento in modo tale che non venga rilevata alcuna differenza. La rilevazione Difference-based è stata usata da Russinovich per trovare il Sony DRM rootkit [1] .

L'utility rkhunter utilizza l'algoritmo di hash SHA-1 per verificare l'integrità dei file di sistema

Integrity checking

La firma del codice utilizza la struttura della chiave pubblica per verificare se il file ha subito modifiche dopo essere stato firmato digitalmente dal produttore. In alternativa il proprietario o l'amministratore del sistema può usare una funzione crittografica di hash per calcolare l'“impronta digitale” al momento dell'installazione che può aiutare a scoprire successive modifiche non autorizzate alle librerie sul disco [73] . Però, i sistemi meno sofisticati controllano solo se il codice è stato modificato dopo il momento della installazione; eventuali modifiche prima di questo momento non vengono rilevate. L'impronta digitale dovrà essere ristabilita ogni volta che vengono apportate modifiche importanti al sistema: per esempio, dopo aver installato aggiornamenti di sicurezza o service pack . La funzione di hash crea un messaggio digest, ovvero un codice relativamente corto, calcolato a partire da ogni singolo bit nel file, utilizzando un algoritmo che genera grossi cambiamenti in conseguenza ad una modifica, anche minima, nel file originale. Ricalcolando e confrontando i messaggi digest del file installato ad intervalli regolari con un elenco di messaggi fidati, i cambiamenti nel sistema possono essere scoperti e monitorati —purché la baseline originale sia stata creata prima dell'introduzione del malware. I rootkit più sofisticati sono in grado di compromettere il sistema di verifica presentando una copia non modificata del file durante l'ispezione, o attuando le modifiche al codice solo in memoria anziché su hard-disk. Questa tecnica quindi può essere efficace solo contro i rootkit poco sofisticati —per esempio, quelli che rimpiazzano i file binari di Unix, come “ls”, per nascondere la presenza di file.

In modo analogo, la scoperta nel firmware può essere ottenuta calcolando l'hash del firmware e comparandolo con una whitelist di valori attesi, oppure estendendo i valori di hash nel registro di configurazione del Trusted Platform Module (TPM) che vengono poi comparati, anche in questo caso, ad una whitelist di valori attesi [74] . Il codice che esegue l'hash, compara o estende le operazioni deve essere protetto —in questo contesto, la nozione di immutable root-of-trust sostiene che il primo codice per misurare le proprietà di sicurezza di un sistema, deve essere esso stesso attendibile per garantire che un rootkit o un bootkit non compromettano il sistema al suo livello più fondamentale [75] .

Memory dump

Forzare un dump completo della memoria virtuale , o un dump del kernel (nel caso di un rootkit in kernel-mode) può catturare un rootkit attivo, permettendo così un'analisi forense attuata tramite un debugger applicato al file di dump, senza che il rootkit sia in grado di utilizzare alcuna misura per nascondersi. Questa tecnica è altamente specializzata, e può essere necessario l'accesso a codice sorgente non pubblico o debugging symbols . I dump della memoria avviati dal sistema operativo non sempre possono essere usati per scoprire un hypervisor-based rootkit, il quale è in grado di intercettare e compromettere i tentativi a livello più basso e di leggere la memoria —in uno scenario di questo tipo potrebbe essere necessario un dispositivo hardware, come ad esempio uno che implementa un non-maskable interrupt , per effettuare il dump della memoria [76] [77] . Anche le macchine virtuali rendono più facile l'analisi della memoria di una macchina compromessa dal hypervisor sottostante, per questo motivo alcuni rootkit evitano di infettare macchine virtuali.

Rimozione

La rimozione manuale di un rootkit è spesso troppo complessa per un utente medio, ma molti software di sicurezza contengono tool specifici per la loro ricerca e rimozione, tipicamente questi tool fanno parte delle suite antivirus . A partire dal 2005, lo strumento Microsoft di rimozione malware per Windows è in grado di rilevare e rimuovere diversi tipi di rootkit [78] [79] . Alcuni scanner antivirus possono bypassare le API del file system , le quali sono vulnerabili alla manipolazione da parte dei rootkit, e accedere direttamente alle strutture dati grezze del file system usando queste informazioni per validare i risultati delle API del sistema e individuare così eventuali differenze che possono essere indicative della presenza di un rootkit [80] [81] [82] [83] .

Ci sono esperti che credono che l'unica via affidabile per rimuovere un rootkit sia reinstallare il sistema operativo tramite un mezzo fidato(trusted) [84] [85] . Questo perché gli antivirus e gli antimalware operano su un sistema non fidato e potrebbero quindi rivelarsi loro stessi inefficaci contro rootkit in kernel-mode ben scritti. Avviare un sistema operativo alternativo tramite un trusted media può consentire una pulizia sicura del sistema infetto e una copia dei dati critici —o, in alternativa, di eseguire un'analisi forense [24] . I sistemi operativi leggeri quali Windows PE, Windows Recovery Console, Windows Recovery Environment, BartPE o le Distro Live possono essere utilizzate per questo proposito, permettendo così una pulizia del sistema.

Anche se il tipo e la natura del rootkit sono noti, un intervento manuale potrebbe essere poco pratico, mentre reinstallare il sistema operativo e le applicazioni è più sicuro, semplice e veloce [84] .

Disponibilità Pubblica

Come molti malware utilizzati dagli attaccanti, così anche molte implementazioni di rootkit sono condivise e facilmente reperibili in rete. Non è raro vedere un sistema compromesso nel quale un rootkit sofisticato e disponibile pubblicamente nasconde la presenza di un worm molto più semplice oppure tool di attacco apparentemente scritti da programmatori inesperti [24] .

La maggior parte dei rootkit disponibili in rete sono nati come exploit o come “ proof of concept " accademici per dimostrare la veridicità di metodi per nascondere qualcosa all'interno del sistema di un computer oppure per prendere il controllo di esso [86] . Spesso hanno sistemi per nascondersi non ottimizzati, talvolta infatti lasciano prove involontarie della loro presenza. Comunque, nonostante questo, quando sono utilizzati per un attacco, si rivelano comunque efficaci il più delle volte. Altri rootkit con feature di keylogging come GameGuard sono installati insieme a giochi online.

Difesa

Il system hardening rappresenta il primo strato di difesa contro i rootkit, impedendo direttamente l'installazione [87] . Applicare patch di sicurezza, applicare il principio del privilegio minimo , ridurre la superficie di attacco e installare software antivirus sono le migliori e più comuni pratiche di difesa contro tutti i tipo di malware [88] .

Le nuove specifiche di avvio sicuro come Unified Estensibile Firmware Interface sono state progettate per affrontare la minaccia dei bootkit, ma anche queste si rivelano inefficaci se le caratteristiche di sicurezza che offrono non vengono utilizzate.

Per i sistemi server vengono utilizzate tecnologie come la Trusted Execution Technology (TXT) di Intel, la quale fornisce un sistema per validare questi server che rimangono così in uno stato fidato. Per esempio, Microsoft Bitlocker cripta i data-at-rest convalidando i server che sono in uno stato fidato all avvio.

PrivateCore Cage è un software che protegge i data-in-use (memoria), per evitare rootkit e bootkit, convalidando i server che si trovano in uno stato riconosciuto come “buono” all'avvio.

Rootkit famosi

Tra i più noti si possono annoverare FU e NT Rootkit .

Un particolare tipo di rootkit è presente anche nel sistema operativo (versione 3.56 o superiori) della PlayStation 3 . Questo è stato introdotto da Sony con l'aggiornamento alla versione 3.56 del firmware e serve a prevenire l'accesso a PlayStation Network delle console modificate, con successivo ban dell' Indirizzo MAC della loro scheda di rete.

Note

  1. ^ a b c d e McAfee, Proven Security 2006 , in https://web.archive.org/web/20060823090948/http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf .
  2. ^ ( EN ) Rootkit Removal from a Windows System , su Technibble , 25 ottobre 2011. URL consultato l'8 giugno 2016 .
  3. ^ a b c Symantec, Windows rootkit overview , https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf .
  4. ^ Sparks, Sherri; Butler, Jamie (2005-08-01), Raising The Bar For Windows Rootkit Detection .
  5. ^ a b c d Myers, Michael; Youndt, Stephen (2007-08-07), An Introduction to Hardware-Assisted Virtual Machine (HVM) Rootkits .
  6. ^ ( EN ) Rory Bray, Daniel Cid e Andrew Hay, OSSEC Host-Based Intrusion Detection Guide , Syngress, 9 aprile 2008, ISBN 978-0-08-055877-6 . URL consultato l'8 giugno 2016 .
  7. ^ Thompson, Ken (August 1984), Reflections on Trusting Trust , in https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf .
  8. ^ a b ( EN ) Greg Hoglund e James Butler, Rootkits: Subverting the Windows Kernel , Addison-Wesley Professional, 1º gennaio 2006, ISBN 978-0-321-29431-9 . URL consultato l'8 giugno 2016 .
  9. ^ Advanced OSX Rootkits , in https://www.blackhat.com/presentations/bh-usa-09/DAIZOVI/BHUSA09-Daizovi-AdvOSXRootkits-SLIDES.pdf .
  10. ^ Stuxnet Introduces the First Known Rootkit for Industrial Control Systems , su Symantec Security Response . URL consultato l'8 giugno 2016 .
  11. ^ XCP.Sony.Rootkit - CA Technologies , su ca.com , 18 agosto 2010. URL consultato l'8 giugno 2016 (archiviato dall' url originale il 18 agosto 2010) .
  12. ^ Sony, Rootkits and Digital Rights Management Gone Too Far , su Mark's Blog . URL consultato l'8 giugno 2016 .
  13. ^ Sony's long-term rootkit CD woes , in BBC , 21 novembre 2005. URL consultato l'8 giugno 2016 .
  14. ^ Sony's Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs , su freedom-to-tinker.com . URL consultato l'8 giugno 2016 .
  15. ^ ( EN ) Will Knight, Sony BMG sued over cloaking software on music CD , su New Scientist . URL consultato l'8 giugno 2016 .
  16. ^ Greek Watergate , in http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html .
  17. ^ a b The Athens Affair , su IEEE Spectrum: Technology, Engineering, and Science News . URL consultato l'8 giugno 2016 (archiviato dall' url originale il 21 settembre 2012) .
  18. ^ Unearthing Root Kits , su www.windowsitpro.com . URL consultato l'8 giugno 2016 (archiviato dall' url originale il 18 settembre 2012) .
  19. ^ Apple patches critical iTunes bug, World of Warcraft hackers using Sony BMG rootkit , su theregister.co.uk . URL consultato l'8 giugno 2016 .
  20. ^ Using Rootkit Technology for Honeypot-Based Malware Detection , in http://www.vividmachines.com/download/icsicceid.pdf .
  21. ^ Using Rootkits to Defeat Digital Rights Management [ collegamento interrotto ] , su Mark's Blog . URL consultato l'8 giugno 2016 .
  22. ^ Deactivate the Rootkit: Attacks on BIOS anti-theft technologies , in https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf .
  23. ^ Peter Kleissner, Peter Kleissner ( PDF ), su www.stoned-vienna.com . URL consultato l'8 giugno 2016 (archiviato dall' url originale il 18 giugno 2012) .
  24. ^ a b c ( EN ) Steven Anson e Steve Bunting, Mastering Windows Network Forensics and Investigation , John Wiley & Sons, 2 aprile 2007, ISBN 978-0-470-09762-5 . URL consultato l'8 giugno 2016 .
  25. ^ a b Rootkits Part 2: A Technical Primer , in https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf .
  26. ^ .:: Phrack Magazine ::. , su www.phrack.org . URL consultato l'8 giugno 2016 .
  27. ^ a b c understanding anti-malware technologies , in https://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf .
  28. ^ .:: Phrack Magazine ::. , su phrack.org . URL consultato l'8 giugno 2016 .
  29. ^ Alisa Shevchenko, Rootkit Evolution , su Help Net Security , 1º settembre 2008. URL consultato l'8 giugno 2016 .
  30. ^ An overview of Unix Rootkits , in http://www.megasecurity.org/papers/Rootkits.pdf .
  31. ^ Windows rootkits of 2005, part two | Symantec Connect , su www.symantec.com . URL consultato l'8 giugno 2016 .
  32. ^ Windows rootkits of 2005, part one | Symantec Connect , su www.symantec.com . URL consultato l'8 giugno 2016 .
  33. ^ Detecting Rootkits And Kernel-level Compromises In Linux | Symantec Connect , su www.symantec.com . URL consultato l'8 giugno 2016 .
  34. ^ ZeroAccess – an advanced kernel mode rootkit , in http://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf .
  35. ^ Driver Signing Requirements for Windows - Windows 10 hardware dev , su www.microsoft.com . URL consultato l'8 giugno 2016 .
  36. ^ Security Tools | eEye Digital Security , su eeye.com , 17 agosto 2013. URL consultato l'8 giugno 2016 (archiviato dall' url originale il 17 agosto 2013) .
  37. ^ "Evil Maid" Attacks on Encrypted Hard Drives - Schneier on Security , su www.schneier.com . URL consultato l'8 giugno 2016 .
  38. ^ VBootkit:Compromising Windows Vista security ( PDF ), su blackhat.com .
  39. ^ BOOT KIT: Custom boot sector based Windows 2000/XP/2003 Subversion - NVlabs | Analyzing Security , su nvlabs.in , 10 giugno 2010. URL consultato l'8 giugno 2016 (archiviato dall' url originale il 10 giugno 2010) .
  40. ^ Peter Kleissner, Peter Kleissner , su www.stoned-vienna.com . URL consultato l'8 giugno 2016 .
  41. ^ Exploit Code, World's most advanced rootkit penetrates 64-bit Windows , su theregister.co.uk . URL consultato l'8 giugno 2016 .
  42. ^ Windows Loader. Get the software safe and easy. , su Software Informer . URL consultato l'8 giugno 2016 .
  43. ^ Android, Microsoft tightens grip on OEM Windows 8 licensing , su theregister.co.uk . URL consultato l'8 giugno 2016 .
  44. ^ ( EN ) Joel Scambray, Hacking Exposed Windows: Microsoft Windows Security Secrets and Solutions, Third Edition: Microsoft Windows Security Secrets and Solutions, Third Edition , McGraw Hill Professional, 25 dicembre 2007, ISBN 978-0-07-159669-5 . URL consultato l'8 giugno 2016 .
  45. ^ 2006 IEEE Symposium on Security and Privacy , su computer.org (archiviato dall' url originale l'11 settembre 2014) .
  46. ^ Countering Kernel Rootkits with Lightweight Hook Protection , in http://research.microsoft.com/en-us/um/people/wdcui/papers/hooksafe-ccs09.pdf .
  47. ^ Device Guard overview (Windows 10) , su msdn.microsoft.com . URL consultato l'8 giugno 2016 .
  48. ^ Closer to metal: Reverse engineering the Broadcom NetExtreme's firmware , in http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf .
  49. ^ ( EN ) Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems - TrendLabs Security Intelligence Blog , su TrendLabs Security Intelligence Blog , 13 luglio 2015. URL consultato l'8 giugno 2016 .
  50. ^ Implementi and detecting an ACPI BIOS Rootkit ( PDF ), su blackhat.com .
  51. ^ Implementing and Detecting a PCI Rootkit , in http://www.ngsconsulting.com/research/papers/Implementing_And_Detecting_A_PCI_Rootkit.pdf .
  52. ^ Ibm, Organized crime tampers with European card swipe devices , su theregister.co.uk . URL consultato l'8 giugno 2016 .
  53. ^ Persistent BIOS infection , in https://cansecwest.com/csw09/csw09-sacco-ortega.pdf .
  54. ^ Exploit Code, Newfangled rootkits survive hard disk wiping , su theregister.co.uk . URL consultato l'8 giugno 2016 .
  55. ^ .:: Phrack Magazine ::. , su phrack.org . URL consultato l'8 giugno 2016 .
  56. ^ John Wiley & Sons, Professional Rootkits , 2007, p. 244, ISBN 978-0-470-14954-6 .
  57. ^ TDL3: The Rootkit of All Evil? , in https://www.eset.com/resources/white-papers/TDL3-Analysis.pdf .
  58. ^ IT Security Resources| News, Whitepapers & Videos | ESET | ESET ( PDF ), su www.eset.com . URL consultato l'8 giugno 2016 (archiviato dall' url originale il 29 luglio 2015) .
  59. ^ USENIX | The Advanced Computing Systems Association , su www.usenix.org . URL consultato l'8 giugno 2016 .
  60. ^ a b c d e Hacking Exposed Malware & Rootkits (Chapter10) , in http://www.mhprofessional.com/downloads/products/0071591184/0071591184_chap10.pdf .
  61. ^ Trlokom Rootkit Defense White Paper , in http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf .
  62. ^ SANS Institute InfoSec Reading Room. Kernel Rootkits , in https://web.archive.org/web/20120910164327/http://www.sans.org:80/reading_room/whitepapers/threats/kernel-rootkits_449 .
  63. ^ zeppoo , su SourceForge . URL consultato l'8 giugno 2016 .
  64. ^ RootkitRevealer , su technet.microsoft.com . URL consultato l'8 giugno 2016 .
  65. ^ Anti-Rootkit Scanner | Free Rootkit Detection and Removal Tool | Sophos Virus Protection , su www.sophos.com . URL consultato l'8 giugno 2016 .
  66. ^ F-Secure UK and Ireland | Switch on Freedom , su www.f-secure.com . URL consultato l'8 giugno 2016 .
  67. ^ Radix , su usec.at .
  68. ^ GMER - Rootkit Detector and Remover , su www.gmer.net . URL consultato l'8 giugno 2016 .
  69. ^ testing_methodology_for_rootkit_removal, Testing methodology for rootkit removal , in https://www.symantec.com/avcenter/reference/testing_methodology_for_rootkit_removal.pdf .
  70. ^ Tidserv and MS10-015 , su Symantec Security Response . URL consultato l'8 giugno 2016 .
  71. ^ Restart issues after installing MS10-015 , su MSRC . URL consultato l'8 giugno 2016 .
  72. ^ Yi-Min Wang, The Strider GhostBuster Project , su research.microsoft.com . URL consultato l'8 giugno 2016 (archiviato dall' url originale il 29 luglio 2012) .
  73. ^ Signing and Checking Code with Authenticode (Windows) , su msdn.microsoft.com . URL consultato l'8 giugno 2016 .
  74. ^ ( EN ) Stopping Rootkits at the Network Edge | Trusted Computing Group ( PDF ), su Trusted Computing Group , 1º giugno 2009. URL consultato l'8 giugno 2016 .
  75. ^ TCG PC Specific Implementation Specification, Version 1.1 , in https://www.trustedcomputinggroup.org/files/resource_files/87B92DAF-1D09-3519-AD80984BBE62D62D/TCG_PCSpecificSpecification_v1_1.pdf .
  76. ^ https://support.microsoft.com/en-us/kb/927069 , su support.microsoft.com . URL consultato l'8 giugno 2016 .
  77. ^ Seshadri, Arvind; et al, Pioneer: Verifying Code Integrity and Enforcing Untampered Code Execution on Legacy Systems , 2005.
  78. ^ ( EN ) Rootkit battle: Rootkit Revealer vs. Hacker Defender , su SearchEnterpriseDesktop . URL consultato l'8 giugno 2016 .
  79. ^ https://support.microsoft.com/en-us/kb/890830 , su support.microsoft.com . URL consultato l'8 giugno 2016 .
  80. ^ Steve Hultquist, Rootkits: The next big enterprise threat? , su InfoWorld . URL consultato l'8 giugno 2016 .
  81. ^ Security Watch: Rootkits for fun and profit - CNET Reviews , su reviews.cnet.com , 8 ottobre 2012. URL consultato l'8 giugno 2016 (archiviato dall' url originale l'8 ottobre 2012) .
  82. ^ Six ways to fight back against botnets , su PCWorld . URL consultato l'8 giugno 2016 .
  83. ^ Handling Today's Tough Security Threats: Rootkits , su Symantec Security Response . URL consultato l'8 giugno 2016 .
  84. ^ a b Rootkits: The Obscure Hacker Attack , su technet.microsoft.com . URL consultato l'8 giugno 2016 .
  85. ^ Ellen Messmer, Experts divided over rootkit detection and removal , su Network World . URL consultato l'8 giugno 2016 .
  86. ^ ( EN ) Larry Stevenson e Nancy Altholz, Rootkits For Dummies , John Wiley & Sons, 11 dicembre 2006, ISBN 978-0-470-10183-4 . URL consultato l'8 giugno 2016 .
  87. ^ ( EN ) Ed Skoudis, Malware: Fighting Malicious Code , Prentice Hall PTR, 1º gennaio 2004, ISBN 978-0-13-101405-3 . URL consultato l'8 giugno 2016 .
  88. ^ Linux RootKits For Beginners - From Prevention to Removal , in https://web.archive.org/web/20101024164136/http://www.sans.org:80/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 .

Voci correlate

Altri progetti

Collegamenti esterni

Controllo di autorità LCCN ( EN ) sh2010013739 · GND ( DE ) 7518179-4
Estratto da " https://it.wikipedia.org/w/index.php?title=Rootkit&oldid=121915492 "