המדריך אודות Rootkit ודרכי הטיפול בהם

פורום פורומים פורום תמיכה בתקלות מחשבים המדריך אודות Rootkit ודרכי הטיפול בהם

מוצגות 1 תגובות (מתוך 1 סה״כ)
  • מאת
    תגובות
  • #4253
    admin
    מנהל בפורום

    המדריך אודות Rootkit  ודרכי הטיפול בהם

    מרגישים שהמחשב שלכם איטי, לא מתפקד כמו שצריך, לא תמיד מגיב לפקודות שלכם? הרצתם סריקת וירוסים, רוגלות, טרויאנים ולא מצאתם כלום? ייתכן שנפגעתם מRootkit. במדריך שלפניכם אסביר בצורה פשוטה ומעשית איך לטפל בRootkit, בחלק ב' אסקור מספר תוכנות לעבודה עם Rootkit. קריאה מהנה 

    חלק א':
    מהו Rootkit?
    Rootkit אינו משהו חדש, הוא קיים כבר הרבה שנים אלא שלאחרונה גוברת ההתעניינות בנושא משום שיותר מחשבים נגועים בו. למעשה ישנם מספר צורות לRootkit, תוכלו לקרוא על כך בהרחבה בוויקפדיה בערך Rootkit. המכנה המשותף הוא שמדובר בקוד או קבצים המושתלים עמוק במערכת ההפעלה, שלא לרצון המשתמש. הקוד עלול להיות מזיק, ובעלי ה Rootkit עלולים לקבל שליטה מלאה על המחשב ועל המידע שבו. צורת הפעולה שלהם מאוד מתוחכמת כך שלא ניתן לראות אותם ישירות בכלים הרגילים, הם למשל עלולים להערים על מערכת ההפעלה, וכאשר זו תבקש רשימה של התהליכים הרצים ברקע, הקוד המושתל של ה Rootkit (שהחליף את הקוד של מערכת ההפעלה עצמה) יעביר את כל התוכנות חוץ ממנו עצמו.

    מדוע הוא מסוכן כל כך?
    בשונה מוירוסים או רוגלות שניתן לאתר את הקבצים בקלות ע"י סייר של חלונות, ואת התהליכים ע"י מנהל המשימות. את הRootkit לא ניתן לאתר בדרכים קונבנציונאליות, אלא רק ע"י תוכנות ייעודיות אותם נראה בהמשך. הRootkit מסוגל להחליף את הקוד של הkernel (ליבה) של מערכת ההפעלה, כך שהכול ישחק לטובתו. בצורה כזו חיצונית למערכת ההפעלה הכול נראה תקין, וכך גם לשאר התוכנות לאיתור מזיקים.

    איך הוא נראה? היכן הוא מסתתר?
    הדבר תלוי בסוג ה Rootkit וכמה הוא מתוחכם. המקומות שהוא עלול להימצא בהם הם כדלקמן:
    ·  קבצים מוסתרים בתוך המחשב. כך שלא ניתן לראות אותם דרך האקספלורר הרגיל. (וכן, גם אם סימנתם שיציג קבצים מוסתרים ושל מערכת ההפעלה).
    ·  ערכים מוסתרים בתוך הרג'סטרי. כאלו שלא תראו אותם ישירות דרך Regedit.
    ·    דרייברים. ה Rootkitעלול להתקין מנהלי התקן משלו שנטענים עם מערכת ההפעלה ומתפקדים כדרייברים לכל דבר.
    ·   שירותים, או בשם המוכר יותר Services. ולא, גם אותם לא תוכלו לראות ע"י הקלדה בשורת הפקודה services.msc
     ·  אתחול המחשב – וגם פה אותו דבר, לא תוכלו לראות אותם בmsconfig לשונית אתחול.
    ·   מודולים, או פונקציות של מערכת ההפעלה. כלומר, ה Rootkit מחליף פונקציה קיימת של מערכת הפעלה באחת שלו.
    ·   תהליכים, (Processes). אותם לא תוכלו לראות במנהל המשימות – תהליכים. 

    אז איך מסירים אותו?
    נזכיר שהדרך הטובה ביותר היא להימנע מהם, אותם כללים שהיו נכונים לגבי וירוסים, רוגלות – לא לפתוח קבצים שלא מכירים וכו', לגבי Rootkit הדברים הרבה יותר חשובים ומצריכים יותר תשומת לב, משום שאחרי שהRootkit מותקן הרבה יותר קשה לטפל בו.
    בניגוד לוירוסים/טרויאנים/רוגלות, לא קיימות תוכנות שיודעות לזהות ולהסיר Rootkit לחלוטין מהמחשב. התוכנות לטיפול בRootkit יודעות לזהות Rootkit, כלומר יודעות לזהות קבצים או ערכים ברג'סטרי או תהליכים שאתם לא רואים. חלק מהתוכנות ייתנו לכם בנוסף את האופציה להסיר את אותו קובץ מוסתר או ערך ברג'סטרי. למעשה, התוכנה תציג לכם רשימה של תהליכים/קבצים ואתם תצטרכו לדעת מה טוב ומה רע, מה להסיר ומה להשאיר. אם אין לכם ידע בסיסי בנושא כדאי שתוותרו מראש, משום שמחיקה של דבר לא נכון תגרום בקלות לאי יציבות במערכת ההפעלה, או גרוע מכך מערכת ההפעלה לא תעלה שוב.

    אני חש מומחה. איך בכל זאת מסירים את ה
    Rootkit?
    אז ככה, קודם כל סורקים עם אחת התוכנות לגילוי Rootkit, אתם צריכים למצוא תהליכים, קבצים, ערכים ברג'סטרי. אלו שהם תקינים אתם יודעים שהם תקינים, לא יודעים? לא בטוחים? חפשו בגוגל. אם מדובר במזיק מוכר, מן הסתם תקבלו מידע יותר מפורט, כך תוכלו לדעת על כל הקבצים שקשורים לאותו Rootkit.
    לאחר שאתם יודעים מה לא בסדר, השתדלו להשתמש כמה שניתן עם אותם תוכנות להסרת הקבצים או הערכים הבעייתיים, במידה וההסרה לא הצליחה, מומלץ לנסות להסיר במצב בטוח. אם גם זה לא הצליח, אפשר בכל התוכנות לשמור לוג (יומן) עם הרשימה של כל הקבצים והערכים, ואז לאתחל עם דיסק של ERD Commander (מערכת הפעלה שנטענת מדיסק) ולמחוק ידנית את הקבצים לפי הלוג.
    בסיום המחיקה, להתקין (אם אין מותקן) אנטי וירוס ואנטי רוגלות, לעדכן ולבצע סריקה מקיפה. 

    חלק ב':
    סקירה של תוכנות לטיפול בRootkit:
    בחלק זה אציג מס' תוכנות פופולאריות לטיפול בRootkit, אזכיר ואזהיר שהשימוש בהם הוא באחריותכם בלבד, ובמקרה זה האזהרה מקבלת משנה תוקף כיון שבקלות אפשרות ליפול. מה גם שחלק מהתוכנות אינם של חברות אלא של קבוצות האקרים או "מומחים", כך שמהימנותם לעיתים מוטלת בספק.
    ניתן למצוא לינקים לכל התוכנות שאזכיר כאן במחלקת הורדות באתר, תחת הקטגוריה "כלים להתמודדות עם Rootkit".
     
    Rootkit Unhooker
    תוכנה חזקה מאוד ויעילה מאוד, ולכן גם מסוכנת מאוד אם לא יודעים להשתמש בה נכון. התוכנה מצהירה שאיננה מסירה Rootkit אלא "הורגת" את הקבצים שלה, מאוחר יותר כדי להסיר את הקבצים המתים אפשר להשתמש בתוכנות להסרת רוגלות/וירוסים וכד'. שימו לב שלכמה מהפעולות של התוכנה יכול להתקבל מסך כחול תוך כדי עבודה. ועוד דבר חשוב – התוכנה לא יכולה לעבוד במקביל לGMER שאותה נסקר בהמשך.
    בהתקנת התוכנה היא תחלץ את הקבצים למיקום C:\RkUnhooker משם ניתן להפעיל את התוכנה. נעבור על הלשוניות החשובות בתוכנה:
     
    Hidden Processes Detector – מציג את התהליכים הרצים ברקע כולל המוסתרים. את רובם תוכלו לראות בעצמכם במנהל המשימות – תהליכים, אלו שהם מוסתרים כתוב לידם בסטטוסNot accessible from user mode, אלו בד"כ המחשידים יותר. חשוב לעבור על הרשימה ולראות שכל הקבצים מוכרים. אם נתקלתם בקובץ שאינו מוכר ניתן ללחוץ עליו לחיצה כפולה כדי לראות את המאפיינים של הקובץ, אם גם במאפיינים לא מצאתם משהו מוכר, תריצו חיפוש עליו בגוגל. כאשר החלטתם שהקובץ מזיק, הסירו אותו ע"י קליק ימני וForce kill + File erase או הבא אחריו Wipe file. (נראה שהשני חזק יותר והוא למקרה שהראשון לא יעבוד).
    Code Hooks Detector מוצא את כל הקטעי קוד של המערכת שהשתנו. גם כאן, ייתכן שקטעי קוד השתנו ע"י תוכנות שאתם בעצמכם התקנתם כמו אנטי וירוס, לכן חשוב להימנע מהכפתור UnHook ALL. עדיף לבדוק אחד אחד ורק כשבטוחים שהקוד השתנה ע"י מזיק, ללחוץ על UnHook Selected.

     GMER
    תוכנה שיודעת בעיקר לזהות Rootkit ופחות למחוק אותם. בהפעלת התוכנה היא תסרוק את המחשב ותגיע ישר ללשונית השימושית ביותר: Rootkit/malware. זוהי רשימה שהסבירות הגבוהה יותר שהערכים שם אכן מזיקים. אצלי במחשב לדוגמה רוב הערכים דווקא היו תקינים, והיו קשורים לאנטי וירוס. לתוכנה יש אפשרות לשמור על המחשב מראש מפני שינויים שעלולים להתבצע ע"י Rootkit. (תוכלו להגדיר זאת בלשונית Settings). כאמור, התוכנה לא תעבוד טוב (או לא תעבוד בכלל) במקביל לתוכנה Rootkit unhooker.
    בשאר הלשוניות לא תקבלו מידע מה מוסתר ומה לא, ייתכן שהתוכנה שמה את כל הערכים המוסתרים ישירות בלשונית Rootkit/malware.
    שאר הלשוניות נותנות את המידע כדלהלן (משמאל לימין לפי הסדר):תהליכים (הרצים ברקע), מודולים, שירותים (Services), קבצים, רג'סטריRookit/malware (שימו לב שבחלק מהערכים יש אפשרות של Restore בקליק ימני),  ערכים העולים באתחול המחשב, שורת פקודה, הגדרות התוכנה, לוג (יומן רישום).
    שימו לב: למרות שמדובר בקובץ בודד שמפעילים אותו ללא התקנה, התוכנה למעשה מעתיקה קבצים לתיקיית windows (ללא ידיעתכם). ולכן כשאתם מסיימים עם השימוש בתוכנה לא מספיק למחוק אותה אלא להגיע לתיקיית Windows  ולהפעיל את הקובץ gmer_uninstall.cmd שנמצא שם.

     
    Blacklight
    או בשמה המלא Blacklight Rootkit Eliminator של חברת האבטחה F-Secure.  התוכנה סורקת קבצים ותיקיות מוסתרות ע"י לחיצה על SCAN. ותהליכים מוסתרים ע"י לחיצה על Show all processes. לבסוף, במידה והתוכנה מצאה משהו יהיה ניתן לשנות את השם של הקובץ או התיקייה אך לא למחוק אותו. (מה שפעמים רבות לא נמצא כיעיל כל כך). כשתסגרו את התוכנה, היא תשאיר לכם לוג באותה תיקייה בה היא נמצאת. 

    RootkitRevealer
    תוכנה מבית היוצר של Sysinternals. תוכנה מאוד בסיסית ביחס לאחרות, יש רק שני אפשרויות – לסרוק ולשמור את הלוג. כמו שאתם מבינים אין אפשרות של מחיקה או שינוי שם, התוכנה עוזרת רק בגילוי ה-Rootkit.
    ע"י לחיצה על SCAN תקבלו רשימה אחת ארוכה שבתחילתה הרג'סטרי המוסתר, ובסופה קבצים מוסתרים. לפחות מה שהתוכנה עושה היא עושה טוב, היא אכן מגלה את כל מה שצריך.

     
    Sophos Anti-Rootkit
    התוכנה סורקת שלושה דברים: תהליכים, ערכים ברג'סטרי וקבצים מוסתרים. בסוף הסריקה אם יימצא משהו, יש אפשרות להסיר.
    בהפעלת התוכנה היא מחלצת את הקבצים לתיקייה בכונן C בשם c:\sophtem. ואז כדי להפעיל אותה יש לפתוח את הקובץ sargui.exe
    (באופן אישי, לא מצאתי את התוכנה כיעילה במיוחד, היא לא מצאה אצלי כלום חוץ מהערך ברג'סטרי של DeamonTools מה שגם כל שאר התוכנות מצאו, וכידוע אינו מזיק. אבל אולי אני טועה, לא חקרתי לעומק).

    UnHackMe
    תוכנה מעולה לגילוי והסרת Rootkit. לאחר התקנת התוכנה תתבקשו לעשות הפעלה מחדש למחשב, כשמערכת ההפעלה תיטען לפני הכניסה ליוזר התוכנה תריץ סריקה למציאת ערכים ברג'סטרי, דרייברים, שירותים, ותוכנות לא רצויות. לבסוף תקבלו חלון שיציג לכם את הממצאים, תתבקשו להחליט האם אכן הקובץ בעייתי, ואז ללחוץ על Get it out! או שהקובץ תקין ואז ללחוץ על False positive. אם אתם לא יודעים יש אפ' אופציה של Google it.
    מניסיון שלי התוכנה אכן יעילה מאוד ועזרה לי מאוד. יש גם את UnHackMe Monitor שעובד ברקע ושומר שלא יכנס Rootkit בזמן אמת. מה שמציק הוא שבכל הפעלה של המחשב התוכנה מריצה סריקה לפני הכניסה ליוזר, זו הסיבה שעשיתי לה הסרה לאחר שהמחשב היה נקי. 

    לסיכום:
    התוכנות בנושא עדיין לא מפותחות מספיק, ומן הסתם בעתיד הקרוב נראה דברים יותר רציניים. לדעתי התוכנה החזקה ביותר היא Rootkit Unhooker, ואחריה UnHackMe.  מפליא שדווקא הם שמגיעים ממקום לא מוכר, יעילות יותר מאלו של חברות כמו F-Secure וSysinternals.

     

    מקור:דוד מחשבים

    קישור למקור:

    http://www.davidscomp.com/index.php?view=article&catid=3 5%3Aguides&id=63%3Arootkit&option=com_content&It emid=61

    takala2008-5-21 1:8:34

מוצגות 1 תגובות (מתוך 1 סה״כ)
  • יש להתחבר למערכת על מנת להגיב.