Rootkit

רוטקיט (Rootkit) הוא אוסף של תוכנות זדוניות. המטרה שלו היא להשיג הרשאות גבוהות, כלומר גישה מלאה למחשב. כך כלים זדוניים אחרים יכולים לפעול בלי הגבלות.

הרשאות גבוהות מאפשרות לשנות כמעט כל דבר במערכת. זה יכול לכלול מחיקה של הכונן הקשיח, שינוי מערכת ההפעלה או נזק לרכיבי המחשב.

שם המילה Rootkit מורכב משתי מילים: Root (משתמש בעל הרשאות מנהל בלינוקס) ו-Kit (ערכת כלים).

התקנה של רוטקיט נעשית בדרך כלל אוטומטית או על ידי תוקף שניצל פגיעות במערכת ההפעלה. התוקף יתקין את הכלים בתיקיית השורש באמצעות הרשאות מנהל, או יעשה זאת ידנית.

אחרי ההתקנה הרוטקיט יכול להסתיר את מיקומו, לטשטש את פעולות התוקף ולתת שליטה מלאה על המערכת בלי שהקורבן ידע.

כדי להסתיר את עצמו, רוטקיט משבש קריאות שינתחו או יבדקו את המערכת. פעולות כאלה נוגעות לגישה לקבצים ולתהליכונים (Threads) שרצים על המעבד.

רוטקיט מסוג זה מחליף חלקית את תהליך האתחול ומטען מערכת הפעלה מדומה שלו. המערכת המדומה הזו פועלת כבופר בין החומרה לבין מערכת ההפעלה הרגילה. כך מערכת ההפעלה לא מקבלת מידע אמין על הכונן הקשיח.

רוטקיט ברמת הליבה משנה או מוסיף קוד לליבת מערכת ההפעלה. הליבה (Kernel) היא החלק המרכזי שמנהל חומרה ותהליכים. רוטקיט כזה נטען יחד עם הליבה, ולעיתים מוחבא כמנהל התקן.

פיתוח רוטקיט ברמת הליבה דורש כתיבת מנהל התקן. זאת משימה מסובכת ועלולה לגרום לבאגים. באגים בליבה בדרך כלל יגרמו לקריסת המערכת, כמו מסך כחול.

מימוש טכני נעשה על ידי Hook-ים (שיבוש קריאות) בין קריאות ה-API ברמת המשתמש לקריאות ברמת הליבה. לעיתים מבוצע שינוי בטבלת השירותים (Service Description Table).

ברמה זו הרוטקיט מחליף קריאות מערכת בקריאות חלופיות משלו. פעולה זו מתבצעת על ידי שינוי זיכרון של תהליך מסוים, והפעלת Hook-ים על קריאות ה-API שלו. שיטות נפוצות הן Import Table Hooking ו-Detour.

קיימים הבדלים משמעותיים בין פיתוח ברמת הליבה לבין ברמת הספרייה. כל אחת מהשיטות משפיעה על יציבות, סיכון וזיהוי שונה.

למרות יכולת ההסוואה, ניתן לגלות רוטקיטים בעזרת שיטות מיוחדות. קיימות מערכות גילוי והתראה שמנסות לזהות התנהגות לא רגילה ולהתריע על קיומם.

מערכות אלה מסננות חיבורים, מפקחות על קריאות מערכת ומחפשות סימנים של הסתרה. איתור רוטקיט דורש כלים מתקדמים ולעיתים בדיקה מחוץ למערכת הפגועה.

רוטקיט (Rootkit) הוא קבוצה של תוכנות רעות. הן רוצות לקבל שליטה מלאה על המחשב. שליטה מלאה פירושה יכולת לשנות או למחוק קבצים ומערכת ההפעלה.

הרוטקיט יכול להיכנס למחשב לבד או כאשר פורץ מנצל תקלה במערכת. אחרי שהוא נכנס, הוא מסתיר את עצמו. כך בעלי המחשב לא רואים שהוא שם.

רוטקיט יכול לשבש את הדרך שבה המחשב בודק קבצים ותהליכים. הוא עושה זאת ברמות שונות.

רוטקיט כזה משנה את אתחול המחשב וטעון מערכת מדומה של עצמו. המערכת האמיתית מקבלת מידע לא אמין.

ברמה הזו הרוטקיט משנה את הליבה. הליבה היא החלק הכי חשוב של מערכת ההפעלה. טעויות כאן עלולות לקרוס את המחשב.

ברמה הזו הרוטקיט משנה קריאות של תוכנה אחת. הוא משנה זיכרון ומסתיר קבצים ותהליכים.

יש דרכים לגלות רוטקיטים, אבל זה קשה. יש מערכות שמחפשות פעולות חשודות ומתריעות אם משהו לא תקין.