Руткит

Общий вид функции перехвата

Рутки́т (англ. Rootkit, то есть «набор root-а») — скрытное программное обеспечение, разработанное для получения несанкционированного доступа к компьютерной системе без ведома пользователя или администратора системы. Большинство руткитов воздействуют на программное обеспечение и операционные системы, но некоторые могут затрагивать даже аппаратное обеспечение и прошивку компьютера. Эти программы обладают способностью маскировать своё существование, оставаясь активными даже в режиме скрытности^[1].

Получив контроль над системой, руткиты позволяют хакерам похищать конфиденциальные данные, такие как личная информация и финансовые реквизиты, внедрять дополнительные вредоносные программы, а также использовать заражённые устройства в составе ботнетов для рассылки спама или участия в атаках типа DDoS^[2].

Термин «руткит» берёт своё происхождение из Unix-подобных операционных систем, где учётная запись с максимальными привилегиями называется «root». Набор инструментов, обеспечивающий доступ на уровне администратора или root-пользователя, получил название «kit» («набор»), что в совокупности образовало слово «руткит»^[2].

Хронология руткитов[править]

Руткиты изначально появились как инструмент для атак на Unix-системы, где они позволяли получить максимальные привилегии и выполнять команды от имени суперпользователя root. Однако уже в конце 1990-х годов появился первый руткит для Windows — NTRootkit, а позднее подобные угрозы начали распространяться и на macOS^[3].

Одним из наиболее известных случаев использования руткитов стала кампания по распространению Stuxnet в 2010 году. Этот сложный вредонос был создан при участии разведывательных служб США и Израиля для саботирования иранской ядерной программы, включая физическое повреждение оборудования^[3].

Современные руткиты часто используются для кибершпионажа и финансовой выгоды. Например, Flame — руткит, активно применявшийся на Ближнем Востоке, позволял злоумышленникам перехватывать сетевой трафик, записывать нажатия клавиш и делать скриншоты экрана жертв. Другой пример — DirtyMoe, который маскировал майнеры криптовалют, заразив более 100 000 компьютеров в 2021 году^[3]. Иногда руткиты создаются случайно, как это произошло с Capcom в 2016 году, когда обновление игры Street Fighter V создало уязвимость, позволявшую получить удалённый доступ к системам пользователей^[3].

Функции[править]

Большинство руткитов включают в себя драйвер или цепочку драйверов, функционирующих на уровне ядра операционной системы. Они выполняют ряд задач, направленных на маскировку своего присутствия и обеспечение контроля над системой. Основные функции руткитов можно описать следующим образом:

• Сокрытие различных элементов системы, таких как файлы на накопителях, разделы жестких дисков, записи реестра Windows, активные процессы, загруженные модули, области памяти (в случае бесфайловых угроз), сетевую активность, сектора диска и другие объекты или артефакты
• Защита от удаления или изменения антивирусными программами, например, путем восстановления изменённых или удалённых компонентов после их обнаружения
• Обеспечение доступа к ядру операционной системы для других вредоносных приложений, что может использоваться для остановки процессов антивирусов, внедрения вредоносного кода в легальные процессы, перехвата сетевого трафика или захвата данных с клавиатуры^[1].

Разработчики вредоносного ПО стремятся обеспечить продолжительную работу своей программы на заражённой машине, даже если запущен антивирус. Для этого они применяют различные техники, препятствующие обнаружению и удалению угрозы. Эти методы могут основываться как на официально документированных, так и на недокументированных механизмах операционной системы. Руткиты могут использовать перехват вызовов на уровне пользовательского режима или ядра, манипуляции с объектами системы (DKOM — Dynamic Kernel Object Manipulation), обход драйверов фильтров и обратных вызовов, а также другие продвинутые подходы^[1].

Чтобы усложнить полное удаление из системы, руткиты часто запускаются на ранних этапах загрузки операционной системы. Для этого они могут инфицировать загрузочные сектора, такие как главная загрузочная запись (MBR) или загрузочная запись тома (VBR). Такие руткиты называются буткитами и обеспечивают своё выполнение до загрузки самой операционной системы, что делает их особенно устойчивыми к стандартным методам очистки^[4].

Виды[править]

Руткиты классифицируются в зависимости от уровня привилегий, которые они получают в системе:

1.Работающие в режиме ядра: эти руткиты обладают такими же правами доступа, как и сама операционная система. Они обычно реализованы в виде драйверов устройств или загружаемых модулей. Разработка таких руткитов требует высокой квалификации, поскольку любые ошибки в коде могут негативно повлиять на стабильность системы, что увеличивает вероятность их обнаружения^[3].

2. Работающие в режиме пользователя: данный тип руткитов чаще используется в массовых атаках благодаря своей относительной простоте разработки по сравнению с руткитами, работающими в режиме ядра. Они работают с обычными пользовательскими привилегиями, подобно большинству приложений. Такие руткиты способны перехватывать системные вызовы и изменять значения, возвращаемые через API^[3].

3. Комбинированные руткиты: некоторые руткиты, например Necurs, Flame и DirtyMoe, объединяют функциональность обоих режимов работы. Они позволяют адаптироваться к различным условиям атаки^[3].

Примеры атак с использованием руткитов[править]

Руткиты из-за своей сложности и широкому спектру возможностей чаще всего используются продвинутыми APT-группировками для выполнения задач кибершпионажа и сбора данных:

Moriya — пример целенаправленного руткита, использованного в шпионской кампании TunnelSnake против дипломатических организаций, среди жертв которых оказались дипломатические учреждения Азии и Африки, а также другие структуры. Основная задача хакеров заключалась в получении контроля над внутренними сетями целевых организаций, обеспечении долгосрочного доступа и сохранении максимальной скрытности во время сбора информации. Moriya был разработан для длительного присутствия в системах жертв, что позволяет злоумышленникам эффективно собирать данные без риска обнаружения. Он сочетает механизмы работы на уровне пользователя и ядра, использует легальные драйверы для обхода защиты и не инициирует соединений с серверами управления для лучшей маскировки^[5].

Remsec (Cremes), связанный с группировкой Strider, представляет собой модульное ПО для кибершпионажа. В ходе атак на государственные учреждения хакеры крали ключи шифрования, конфигурационные файлы и собирали IP-адреса серверов, связанных с инфраструктурой управления ключами. Атакам подверглись организации в России, Бельгии, Китае, Иране, Швеции и Руанде. Remsec работает в режиме ядра и использует легитимные драйверы антивирусов для внедрения, избегая классических методов скрытия через перехват API^[3].

Руткит Scranos в 2019 году атаковал пользователей в Китае, Индии, Румынии, Франции, Италии, Бразилии и Индонезии. Этот руткит собирал файлы cookies, учётные данные для интернет-банков и доступа к социальным сетям, внедрялся в процесс svchost.exe и создавал механизм автозагрузки. Признаком заражения являлась несанкционированная активность в социальных сетях, например Facebook или YouTube^[3].

Примечания[править]

Одним из источников, использованных при создании данной статьи, является статья из википроекта «Знание.Вики» («znanierussia.ru») под названием «Руткит», расположенная по следующим адресам: — «https://baza.znanierussia.ru/mediawiki/index.php/Руткит» — «https://znanierussia.ru/articles/Руткит» Материал указанной статьи полностью или частично использован в Циклопедии по лицензии CC-BY-SA 4.0 и более поздних версий. Всем участникам Знание.Вики предлагается прочитать материал «Почему Циклопедия?».