Định nghĩa về rootkit
Rootkit /ru:tkit/ là phần mềm hoặc bộ công cụ phần mềm che giấu sự tồn tại của một phần mềm khác trong hệ thống, phần mềm khác trong trường hợp này thường là virus hoặc các phần mềm bảo vệ bản quyển. Rootkit thường được bên thứ ba (thường là kẻ xâm nhập) dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính. Các công cụ này thường nhằm để che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó giúp cho kẻ xâm nhập duy trì quyền truy cập vào hệ thống mà người dùng không biết. Rootkit có ở nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows. Một máy tính bị cài rootkit được gọi là bị “chiếm quyền root” (“rooted” trong tiếng Anh).
Thuật ngữ “rootkit” trở nên phổ biến khi có cuộc tranh luận về hệ thống chống sao chép CD nhạc của Sony vào năm 2005, trong đó các đĩa CD nhạc của Sony BMG tự động cài một rootkit vào các PC chạy Microsoft Windows mà người dùng không hề được hỏi ý kiến.
Đặc điểm của rootkit
Đặc điểm chính của rootkit là có khả năng che dấu, chẳng hạn rootkit có thể ẩn các tiến trình, file, và cả dữ liệu trong registry (đối với hệ điều hành Windows), nên nếu dùng những công cụ của hệ điều hành như: “Registry Editor”, “Task Manager”, “Find Files” thì không thể phát hiện.Trong trường hợp phát hiện ra rootkit thì việc loại bỏ rootkit ra khỏi hệ thống cũng hết sức khó khăn. Không thể sử dụng các công cụ bình thường để loại bỏ rootkit ra khỏi hệ thống mà phải dùng các chương trình anti rootkit đặc biệt. Rootkit thường hoạt động ở 2 mức:
- Mức ứng dụng (User–mode): ví dụ Word hay Explorer. Rootkit sử dụng một số kỹ thuật như hook, code–injecting… để can thiệp vào quá trình hoạt động các ứng dụng khác.
- Mức nhân hệ điều hành (Kernel–mode): rootkit hoạt động cùng mức với nhân hệ điều hành vì vậy nó có đặc quyền rất lớn với hệ thống.
Nói chung phát hiện được Rootkit khi nó đã hoạt động trong bộ nhớ là khó.
Nguồn gốc của rootkit
Thuật ngữ “rootkit” (còn được viết là “root kit”) lúc đầu được dùng để chỉ một bộ công cụ Unix được biên dịch lại như “ps”, “netstat”, “w” and “passwd” có thể che dấu kỹ lưỡng vết tích của kẻ xâm nhập mà bình thường sẽ bị hiển thị bởi các lệnh trên, vì vậy nó cho phép kẻ xâm nhập duy trì quyền “root” (“siêu người dùng”) trên hệ thống mà ngay cả người quản trị hệ thống cũng không thể thấy họ.
Ngày nay thuật ngữ này không chỉ giới hạn ở các hệ điều hành dựa trên Unix mà còn được dùng để chỉ các công cụ thực hiện tác vụ tương tự trên hệ điều hành không Unix như Microsoft Windows (ngay cả khi hệ điều hành đó không có tài khoản “root”).
Vấn đề sử dụng rootkit
Rootkit thường được dùng để che dấu các công cụ chạy bất chính trên hệ thống bị xâm nhập. Chúng thường gồm các “cửa sau” để giúp kẻ xâm nhập truy cập vào hệ thống dễ dàng hơn ở lần sau. Thí dụ như rootkit có thể che dấu một ứng dụng tạo ra một shell khi kẻ tấn công kết nối với một cổng mạng cụ thể trên hệ thống. Rootkit nhân cũng có thể có chức năng tương tự. Cửa sau cũng cho phép các tiến trình từ người dùng thông thường thi hành các chức năng dành riêng cho siêu người dùng. Rootkit cũng có thể che dấu mọi loại công cụ khác có thể dùng để xâm phạm hệ thống. Điều này bao gồm các công cụ dùng để tấn công thêm vào các hệ thống máy tính có kết nối với hệ thống bị xâm nhập như là công cụ bắt gói tin (packet sniffer) và chương trình ghi thao tác bàn phím (keylogger). Một cách xâm phạm phổ biến là dùng hệ thống bị chiếm quyền làm bàn đạp cho xâm phạm tiếp theo. Điều này được thực hiện bằng cách làm cho một xâm phạm có vẻ xuất phát từ mạng hay hệ thống bị chiếm thay vì từ kẻ tấn công. Các công cụ này bao gồm công cụ tấn công từ chối dịch vụ, công cụ chuyển tiếp phiên chat và các tấn công spam email. Ngoài ra, rootkit cũng hay được dùng cho mục đích bảo vệ bản quyền.
Phân biệt
Rootkit có thể được dùng cùng với một thủ thuật phá hoại , nhưng rootkit tự nó chỉ là một bộ các chương trình tiện ích. Các chương trình này thường không phụ thuộc vào các lỗi phần mềm (chẳng hạn lỗi tràn bộ đệm) mà các exploit lạm dụng. Nhiều tin tặc có một kho các exploit, nhưng chỉ có một hai chương trình rootkit để dùng kèm. Một khi vào được hệ thống, tin tặc sẽ triển khai rootkit thích hợp, bất kể mình sử dụng exploit nào.
Tuy rootkit không phải là một exploit, nhưng nó có thể chứa một exploit. Rootkit thường cần quyền truy nhập tới nhân hệ điều hành và chứa một vài chương trình bắt đầu chạy khi hệ thống khởi động (boot). Một trong các cách cài một rootkit vào hệ thống là sử dụng một exploit phần mềm, ví dụ lỗi tràn bộ đệm là một cơ chế để nạp mã chương trình vào nhân hệ điều hành.
Virus máy tính là một trường trình tự nhân bản và phát tán. Trái lại, rootkit không tự nhân bản và không có cơ chế hoạt động độc lập tự chủ. Rootkit nằm hoàn toàn dưới quyền kiểm soát của một kẻ tấn công là con người,hacker tấn công chúng ta bằng cách này là đa phần, virus thì không.
Không có nhận xét nào:
Đăng nhận xét