Руткит — это набор компьютерного программного обеспечения , обычно вредоносного, предназначенного для обеспечения доступа к компьютеру или области его программного обеспечения, которое не разрешено иным образом (например, неавторизованному пользователю) и часто маскирует свое существование или существование другого программного обеспечения. . [1] Термин « руткит » состоит из « root » (традиционное имя привилегированной учетной записи в Unix-подобных операционных системах) и слова «kit» (которое относится к программным компонентам, реализующим инструмент) . [2] Термин «руткит» имеет негативное значение из-за его ассоциации с вредоносными программами . [1]
Установка руткита может быть автоматизирована или злоумышленник может установить его, получив права root или администратора. [3] Получение этого доступа является результатом прямой атаки на систему, т. е. использования известной уязвимости (например, повышения привилегий ) или пароля (полученного путем взлома или тактики социальной инженерии , такой как « фишинг »). После установки становится возможным скрыть вторжение, а также сохранить привилегированный доступ. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.
Обнаружение руткита затруднено, потому что руткит может нарушить работу программного обеспечения, предназначенного для его обнаружения. Методы обнаружения включают использование альтернативной и надежной операционной системы , поведенческие методы, сканирование сигнатур, сканирование различий и анализ дампа памяти . Удаление может быть сложным или практически невозможным, особенно в случаях, когда руткит находится в ядре ; переустановка операционной системы может быть единственным доступным решением проблемы. При работе с руткитами встроенного ПО для их удаления может потребоваться замена оборудования или специализированное оборудование.
Термин « руткит » или « руткит » первоначально относился к злонамеренно модифицированному набору административных инструментов для Unix-подобной операционной системы , предоставляющей « корневой » доступ. [4] Если злоумышленник сможет заменить стандартные инструменты администрирования в системе руткитом, он сможет получить root-доступ к системе, одновременно скрывая эти действия от законного системного администратора . Эти руткиты первого поколения было легко обнаружить с помощью таких инструментов, как Tripwire , которые не были скомпрометированы для доступа к той же информации. [5] [6] Лейн Дэвис и Стивен Дейк написали самый ранний из известных руткитов в 1990 году для операционной системы SunOS UNIX компании Sun Microsystems . [7] В лекции, которую он прочитал после получения премии Тьюринга в 1983 году, Кен Томпсон из Bell Labs , один из создателей Unix , теоретизировал о ниспровержении компилятора C в дистрибутиве Unix и обсудил эксплойт. Модифицированный компилятор обнаружит попытки скомпилировать команду Unix и сгенерирует измененный код, который примет не только правильный пароль пользователя, но и дополнительный « черный ход ».login" пароль известен злоумышленнику. Кроме того, компилятор обнаружит попытки скомпилировать новую версию компилятора и вставит те же эксплойты в новый компилятор. Просмотр исходного кода loginкоманды или обновленного компилятора не выявит любой вредоносный код. [8] Этот эксплойт был эквивалентен руткиту.
Первый задокументированный компьютерный вирус , нацеленный на персональный компьютер , обнаруженный в 1986 году, использовал методы маскировки , чтобы скрыть себя: вирус Brain перехватывал попытки чтения загрузочного сектора и перенаправлял их в другое место на диске, где находилась копия исходного загрузочного сектора. хранился. [1] Со временем методы маскировки DOS -вирусов стали более изощренными. Передовые методы включали перехват низкоуровневых вызовов прерывания BIOS INT 13H диска , чтобы скрыть несанкционированные модификации файлов. [1]
Первый вредоносный руткит для операционной системы Windows NT появился в 1999 году: троян под названием NTRootkit , созданный Грегом Хоглундом . [9] За ним последовал HackerDefender в 2003 году. [1] Первый руткит, нацеленный на Mac OS X , появился в 2009 году, [10] а червь Stuxnet был первым, нацеленным на программируемые логические контроллеры (ПЛК). [11]