Članci

Bootkit                  

Bootkit programi su jedna od vrsta zloćudnih programa posebno napravljenih da na neki način naštete operacijskom sustavu korisnika. Predstavljajutip rootkit programa u jezgrenom načinu rada, a posebni su jer ostaju u sustavu i nakon pokretanja računala. Bootkit programi se šire putem kompromitirajućih stranica, stranica s pornografskim sadržajem ili s piratskim programima. Ovaj dokument opisuje zloćudne programe, a oni uključuju računalne viruse, računalne crve, trojanske konje, rootkit programe i dr. Poseban osvrt dan je na rootkit programe jer se na njima zasniva i sam rad bootkit programa. U dokumentu su opisane osnove rada bootkit programa, kao i glavni tipovi. Bootkit programi se najčešće povezuju uz prvi zlonamjerni program tog tipa, tzv. "Stoned Bootkit". Osim njega, u dokumentu su opisana i neka teorijska razmatranja i projekti, kao što su "eEye BootRootKit", "VBootkit", "VMBR", itd. Bootkit programi se mogu, iako ne u potpunosti, detektirati pomoću anti-bootkit, odnosno anti-rootkit programa, od kojih su poznatiji "Kaspersky Internet Security", "Sophos Anti-Rootkit", "UnHackMe" te "RootkitRevealer". U budućnosti se očekuje unaprjeđenje tehnika skrivanja bootkit programa te njihovi novi tipovi. Također, očekuje se i paralelni razvoj anti-bootkit alata kojima bi se sustavi u potpunosti mogli zaštititi od ove vrste zlonamjernih programa.

 

 

Bootkiti su jedna od vrsta zlonamjernih programa koji imaju za cilj nanošenje nekog oblika štete na korisnikovom računalu. Zlonamjerni programi se dijele na računalne viruse, računalne crve, trojanske konje, rootkite, spyware, itd. U kategoriju zlonamjernih programa svrstava se svaki program koji dospije u korisnikovo računalo bez njegovog znanja te izvodi neku štetnu aktivnost. Zloćudni programi se dijele u dvije glavne skupine: neovisni zlonamjerni programi te programi kojima je potreban „program domaćin“ (eng. host). Najrašireniji oblik zloćudnog programa iz prve skupine je računalni crv. Radi se o programu koji koristi ranjivosti informacijskih sustava i širi se od čvora do čvora mreže čineći štetu na zaraženom sustavu. Najpoznatiji primjer zloćudnog programa kojem je potreban „domaćin“je računalni virus. Ovaj tip programa nastaje s razlogom da nanese određenu štetu korisniku, koja može biti bezazlena (kao primjerice dosađivanje korisniku), ali postoji i mogućnost stvaranja ozbiljne štete (na način da se unište važni dokumenti ili programi). Poznati zloćudni programi su i rootkitprogrami, koji su napravljeni za preuzimanje kontrole nad operacijskim sustavom tako da nadomjeste procese u sustavu i podatke bez dopuštenja korisnika.

 

Bootkitisu vrsta rootkit programa jezgrenog načina rada (eng. kernel mode) i oni su trajni (eng. persistent). Pretežno se koriste za napad na sustaves potpuno šifriranim diskom (eng. system with full disk encryption). Bootkitnajčešće zamjenjuje tzv. boot loadere (programe za učitavanje operacijskog sustava) s jednim kojeg kontrolira napadač. Na taj način bootkit ima pristup primjerice ključevima šifriranja i lozinkama pa može preuzeti potpunu kontrolu nad sustavom.Bootkitse širi putem kompromitirajućih stranica, stranica s pornografskim sadržajem i stranica s piratskim programima. Bootkit koristi metodu zasnovanu na napadu na MBR (eng. Master boot record)kako bi učitao upravljački program prije nego što se operacijski sustav pokrene. Upravljački program se koristi kako bi spriječio detekciju i dezinfekciju zaraženog boot bloka podataka. Korištenjem ove metode bootkit programe je vrlo teško detektirati i ukloniti iz sustava.

Kao primjer bootkit programa najčešće se navodi Stoned Bootkit“. To je prvi poznati bootkit koji je omogućavao rušenje sustava te otkrivanje povjerljivih informacija o korisniku sustava. Danas ovaj bootkit ne predstavlja prijetnju jer za njega postoje metode detekcije i razni anti-bootkitalati koji ga mogu ukloniti. Osim ovog bootkita, postoje razna teoretska razmatranja i projekti koji su doveli do novih bootkita, ali su oni stvoreni samo u cilju daljnjeg istraživanja i edukacije. Primjeri takvih projekata su eEye BootRootKit, VBootkit, VMBR (eng. Virtual Machine–Based Rootkit)teBlue Pill bootkit.

Kako je bootkit program ustvari vrsta rootkit programa, on se može detektirati i ukloniti korištenjem alata za uklanjanje rootkit programa, odnosno anti-rootkit programa. Načini detekcije bootkit programa su: detekcija temeljena na potpisima, detekcija temeljena na ponašanju, „cross-viewdetekcija“, itd. Određeni broj antivirusnih kompanija identificirao je neke bootkitei implementirao neke metode detekcije. Ipak, većina bootkit programa je još nepoznata. Kaspersky Lab je organizacija koja korisnicima pruža najefektivniju zaštitu od velikog broja bootkitau svakom stadiju, a njihov program za zaštitu zove se Kaspersky Internet Security.Ostali poznatiji programi koji pružaju određenu zaštitu od bootkita su Sophos Anti-Rootkit, UnHackMe, RootkitRevealer, itd.

U budućnosti se može očekivati pojava naprednijih oblika zlonamjernih programa ovog tipa. Paralelno s tim predviđa se podizanje svijesti o opasnostima koje nose bootkit programi te razvoj sofisticiranijih alata za njihovu detekciju i uklanjanje sa sustava.

Cijeli dokument (u PDF obliku) "Bootkit" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr