रूटकिट्स को दुर्भावनापूर्ण कोड (मैलवेयर) के सबसे तकनीकी रूप से परिष्कृत रूप में नामित किया जा सकता है और इसे खोजने और खत्म करने में सबसे कठिन है। सभी प्रकार के मैलवेयर में, शायद वायरस और कीड़े को सबसे अधिक प्रचार मिलता है क्योंकि वे आम तौर पर व्यापक होते हैं। बहुत से लोग वायरस या कीड़ा से प्रभावित होने के लिए जाने जाते हैं, लेकिन इसका मतलब यह नहीं है कि वायरस और कीड़े सबसे विनाशकारी किस्म के मैलवेयर हैं। मैलवेयर के अधिक खतरनाक प्रकार हैं, क्योंकि एक नियम के रूप में वे चुपके मोड में काम करते हैं, पता लगाने और हटाने में मुश्किल होते हैं और बहुत लंबे समय तक किसी का ध्यान नहीं जा सकता है, चुपचाप पहुंच प्राप्त करने, डेटा चोरी करने और पीड़ित की मशीन पर फ़ाइलों को संशोधित करने के लिए। ।
ऐसे चुपके से दुश्मन का एक उदाहरण रूटकिट्स हैं - उपकरणों का एक संग्रह जो निष्पादन योग्य कार्यक्रमों को बदल सकते हैं या ऑपरेटिंग सिस्टम के कर्नेल को भी बदल सकते हैं, ताकि सिस्टम में व्यवस्थापक-स्तरीय पहुंच प्राप्त हो सके, जिसे स्थापित करने के लिए उपयोग किया जा सकता है स्पाइवेयर, कीगलर्स और अन्य दुर्भावनापूर्ण टूल। मूल रूप से, एक रूटकिट एक हमलावर को पीड़ित की मशीन पर पूरी पहुंच प्राप्त करने की अनुमति देता है (और संभवत: पूरे नेटवर्क जो मशीन का है)। रूटकिट के ज्ञात उपयोगों में से एक, जो महत्वपूर्ण नुकसान / क्षति का कारण बना, वाल्व के अर्ध-जीवन 2: गेम गेम इंजन के स्रोत कोड की चोरी थी।
रूटकिट्स कुछ नया नहीं है - वे वर्षों से आसपास रहे हैं, और विभिन्न ऑपरेटिंग सिस्टम (विंडोज, यूनिक्स, लिनक्स, सोलारिस, आदि) को प्रभावित करने के लिए जाने जाते हैं। यदि यह रूटकिट घटनाओं (प्रसिद्ध उदाहरण अनुभाग देखें) की एक या दो सामूहिक घटनाओं के लिए नहीं था, जो उन पर जनता का ध्यान आकर्षित करते थे, तो वे सुरक्षा पेशेवरों के एक छोटे से चक्र को छोड़कर, फिर से जागरूकता से बच सकते थे। आज तक, रूटकिट्स ने अपनी पूरी विनाशकारी क्षमता को उजागर नहीं किया है क्योंकि वे मैलवेयर के अन्य रूपों के रूप में व्यापक रूप से फैल नहीं रहे हैं। हालांकि, यह थोड़ा आराम का हो सकता है।
रूटकिट यांत्रिकी उजागर
ट्रोजन हॉर्स, वायरस और वर्म के समान, रूटकिट्स नेटवर्क सुरक्षा और ऑपरेटिंग सिस्टम में खामियों का फायदा उठाकर खुद को स्थापित करते हैं, अक्सर बिना उपयोगकर्ता सहभागिता के। हालांकि रूटकिट्स हैं जो ई-मेल अटैचमेंट के रूप में या एक वैध सॉफ़्टवेयर प्रोग्राम के साथ बंडल में आ सकते हैं, वे तब तक हानिरहित हैं जब तक कि उपयोगकर्ता अटैचमेंट को नहीं खोलता है या प्रोग्राम इंस्टॉल नहीं करता है। लेकिन मैलवेयर के कम परिष्कृत रूपों के विपरीत, रूटकिट्स ऑपरेटिंग सिस्टम में बहुत गहरी घुसपैठ करते हैं और सिस्टम फाइलों को संशोधित करके उनकी उपस्थिति को छिपाने के लिए विशेष प्रयास करते हैं।
मूल रूप से, रूटकिट्स दो प्रकार के होते हैं: कर्नेल स्तर रूटकिट्स और एप्लिकेशन स्तर रूटकिट्स। कर्नेल स्तर रूटकिट्स कोड को जोड़ते हैं या ऑपरेटिंग सिस्टम के कर्नेल को संशोधित करते हैं। यह एक डिवाइस ड्राइवर या एक लोड करने योग्य मॉड्यूल को स्थापित करके प्राप्त किया जाता है, जो सिस्टम को हमलावर की उपस्थिति को छिपाने के लिए कॉल करता है। इस प्रकार, यदि आप अपनी लॉग फ़ाइलों में देखते हैं, तो आपको सिस्टम पर कोई संदिग्ध गतिविधि दिखाई नहीं देगी। अनुप्रयोग स्तर रूटकिट कम परिष्कृत होते हैं और आमतौर पर यह पता लगाना आसान होता है क्योंकि वे ऑपरेटिंग सिस्टम के बजाय अनुप्रयोगों के निष्पादन को संशोधित करते हैं। चूंकि विंडोज 2000 उपयोगकर्ता के लिए एक निष्पादन योग्य फ़ाइल के हर परिवर्तन की रिपोर्ट करता है, इसलिए हमलावर के लिए किसी का ध्यान नहीं जाना मुश्किल हो जाता है।
क्यों रूटकिट्स ने एक जोखिम उठाया
रूटकिट एक पिछले दरवाजे के रूप में कार्य कर सकते हैं और आमतौर पर अपने मिशन में अकेले नहीं होते हैं - वे अक्सर स्पाइवेयर, ट्रोजन हॉर्स या वायरस के साथ होते हैं। रूटकिट का उद्देश्य किसी और के कंप्यूटर (और विदेशी उपस्थिति के निशान को छुपाना) के सरल दुर्भावनापूर्ण आनंद से भिन्न हो सकता है, अवैध रूप से गोपनीय डेटा (क्रेडिट कार्ड नंबर, या स्रोत कोड प्राप्त करने के लिए आधा के मामले में) -लाइफ २)।
आमतौर पर, एप्लिकेशन स्तर के रूटकिट कम खतरनाक होते हैं और पता लगाने में आसान होते हैं। लेकिन अगर आप जिस कार्यक्रम का उपयोग अपने वित्त पर नज़र रखने के लिए कर रहे हैं, एक रूटकिट द्वारा "पैच" हो जाता है, तो मौद्रिक हानि महत्वपूर्ण हो सकती है - यानी एक हमलावर आपके क्रेडिट कार्ड के डेटा का उपयोग करके कुछ वस्तुओं को खरीद सकता है और यदि आप डॉन ' t आपके समय पर क्रेडिट कार्ड की शेष राशि पर संदिग्ध गतिविधि को नोटिस करें, यह सबसे अधिक संभावना है कि आप फिर से पैसा कभी नहीं देखेंगे।
कर्नेल स्तर रूटकिट्स की तुलना में, एप्लिकेशन स्तर रूटकिट्स मीठे और हानिरहित दिखते हैं। क्यों? क्योंकि सिद्धांत रूप में, एक कर्नेल स्तर रूटकिट सिस्टम के सभी दरवाजे खोलता है। एक बार दरवाजे खुले होने के बाद, मैलवेयर के अन्य रूप फिर सिस्टम में खिसक सकते हैं। कर्नेल स्तर रूटकिट संक्रमण होने और इसका आसानी से पता लगाने (या बिल्कुल भी, जैसा कि हम आगे देखेंगे) को हटाने में सक्षम नहीं होने का अर्थ है कि किसी और व्यक्ति का आपके कंप्यूटर पर कुल नियंत्रण हो सकता है और वह किसी भी तरह से इसका उपयोग कर सकता है या वह प्रसन्न हो सकता है - उदाहरण के लिए, अन्य मशीनों पर हमले शुरू करने के लिए, यह धारणा बनाते हुए कि हमला आपके कंप्यूटर से उत्पन्न होता है, न कि कहीं और से।
रूटकिट्स का पता लगाना और हटाना
ऐसा नहीं है कि अन्य प्रकार के मैलवेयर का पता लगाना और हटाना आसान है, लेकिन कर्नेल स्तर रूटकिट एक विशेष आपदा है। एक अर्थ में, यह एक पकड़ 22 है - यदि आपके पास एक रूटकिट है, तो एंटी-रूटकिट सॉफ़्टवेयर द्वारा आवश्यक सिस्टम फ़ाइलों को संशोधित किया जा सकता है और इसलिए चेक के परिणामों पर भरोसा नहीं किया जा सकता है। क्या अधिक है, अगर एक रूटकिट चल रहा है, तो यह सफलतापूर्वक फाइलों की सूची या चलने वाली प्रक्रियाओं की सूची को संशोधित कर सकता है जो एंटी-वायरस प्रोग्राम पर भरोसा करते हैं, इस प्रकार नकली डेटा प्रदान करते हैं। इसके अलावा, एक रनिंग रूटकिट बस एंटी-वायरस प्रोग्राम प्रक्रियाओं को मेमोरी से अनलोड कर सकता है, जिससे एप्लिकेशन बंद हो जाता है या अप्रत्याशित रूप से समाप्त हो जाता है। हालांकि, ऐसा करने से यह अप्रत्यक्ष रूप से अपनी उपस्थिति दर्शाता है, इसलिए किसी को कुछ गलत होने पर संदेह हो सकता है, विशेष रूप से सॉफ्टवेयर के साथ जो सिस्टम सुरक्षा बनाए रखता है।
रूटकिट की उपस्थिति का पता लगाने के लिए एक अनुशंसित तरीका एक वैकल्पिक मीडिया से बूट करना है, जिसे साफ (यानी एक बैकअप, या बचाव सीडी-रोम) और संदिग्ध प्रणाली की जांच करने के लिए जाना जाता है। इस पद्धति का लाभ यह है कि रूटकिट नहीं चल रहा है (इसलिए यह खुद को छिपाने में सक्षम नहीं होगा) और सिस्टम फ़ाइलों को सक्रिय रूप से छेड़छाड़ नहीं किया जाएगा।
रूटकिट्स को हटाने और (प्रयास) का पता लगाने के तरीके हैं। वर्तमान सिस्टम फ़ाइलों की तुलना करने के लिए मूल सिस्टम फ़ाइलों के स्वच्छ MD5 फ़िंगरप्रिंट्स का एक तरीका है फ़िंगरप्रिंट्स। यह विधि बहुत विश्वसनीय नहीं है, लेकिन कुछ भी नहीं से बेहतर है। कर्नेल डीबगर का उपयोग करना अधिक विश्वसनीय है, लेकिन इसके लिए ऑपरेटिंग सिस्टम के गहन ज्ञान की आवश्यकता होती है। यहां तक कि अधिकांश सिस्टम प्रशासक शायद ही कभी इसका सहारा लेंगे, खासकर जब रूट रस्किट का पता लगाने के लिए मुफ्त अच्छे कार्यक्रम हैं, जैसे मार्क रोसिनोविच के रूटकिटरवियर। यदि आप उसकी साइट पर जाते हैं, तो आपको विस्तृत निर्देश मिलेगा कि प्रोग्राम का उपयोग कैसे करें।
यदि आप अपने कंप्यूटर पर एक रूटकिट का पता लगाते हैं, तो अगला कदम इससे छुटकारा पाना है (किया गया आसान काम)। कुछ रूटकिट्स के साथ, हटाना एक विकल्प नहीं है, जब तक कि आप पूरे ऑपरेटिंग सिस्टम को हटाना नहीं चाहते हैं! सबसे स्पष्ट समाधान - संक्रमित फ़ाइलों को हटाने के लिए (बशर्ते कि आप जानते हैं कि कौन से लोग ठीक हैं) पूरी तरह से अनुपयुक्त है, जब महत्वपूर्ण सिस्टम फ़ाइलों का संबंध है। यदि आप इन फ़ाइलों को हटाते हैं, तो संभावना है कि आप विंडोज को फिर से बूट नहीं कर पाएंगे। आप अनहैकमे या एफ-सिक्योर ब्लैकलाइट बीटा जैसे रूटकिट रिमूवल एप्लिकेशनों के एक जोड़े को आजमा सकते हैं, लेकिन कीट को सुरक्षित रूप से हटाने में सक्षम होने के लिए उन पर बहुत अधिक गिनती न करें।
यह शॉक थेरेपी की तरह लग सकता है, लेकिन एक रूटकिट को हटाने का एकमात्र सिद्ध तरीका हार्ड ड्राइव को प्रारूपित करके ऑपरेटिंग सिस्टम को फिर से स्थापित करना है (एक साफ स्थापना मीडिया से, निश्चित रूप से!)। यदि आपके पास कोई सुराग है कि आपको रूटकिट कहां से मिला है (क्या इसे किसी अन्य प्रोग्राम में बंडल किया गया था, या किसी ने ई-मेल के माध्यम से इसे आपके पास भेजा था?), फिर से संक्रमण के स्रोत को चलाने या अलग करने के बारे में भी न सोचें!
रूटकिट्स के प्रसिद्ध उदाहरण
रूटकिट वर्षों से चोरी-छिपे उपयोग में हैं, लेकिन पिछले साल तक केवल जब उन्होंने समाचारों की सुर्खियों में अपनी उपस्थिति दर्ज की। सोनी-बीएमजी के मामले में उनके डिजिटल राइट मैनेजमेंट (डीआरएम) तकनीक के साथ, जिसने उपयोगकर्ता की मशीन पर रूटकिट स्थापित करके अनधिकृत सीडी कॉपी को संरक्षित किया, तीव्र आलोचना को उकसाया। मुकदमे थे और एक आपराधिक जांच। केस के निपटारे के अनुसार, सोनी-बीएमजी को अपनी सीडी को दुकानों से वापस लेना पड़ा और खरीदी गई प्रतियों को साफ करना पड़ा। सोनी-बीएमजी पर कॉपी-प्रोटेक्शन प्रोग्राम की उपस्थिति को छिपाने की कोशिश में गुप्त रूप से क्लोकिंग सिस्टम फाइलों का आरोप लगाया गया था, जो सोनी के साइट पर निजी डेटा भेजने के लिए भी इस्तेमाल किया गया था। यदि प्रोग्राम उपयोगकर्ता द्वारा अनइंस्टॉल किया गया था, तो सीडी ड्राइव निष्क्रिय हो गई। वास्तव में, इस कॉपीराइट सुरक्षा कार्यक्रम ने सभी गोपनीयता अधिकारों का उल्लंघन किया, इस तरह के मैलवेयर के लिए विशिष्ट अवैध तकनीकों को नियोजित किया, और सबसे ऊपर, पीड़ित के कंप्यूटर को हमले के विभिन्न उपभेदों के लिए असुरक्षित छोड़ दिया। यह एक बड़े निगम के लिए विशिष्ट था, जैसे कि सोनी-बीएमजी, पहले यह कहकर अभिमानी तरीके से जाने के लिए कि अगर ज्यादातर लोगों को पता नहीं था कि एक रूटकिट क्या है, और वे क्यों परवाह करेंगे कि उनके पास एक था। खैर, अगर रोसिनोविच की तरह कोई लोग नहीं थे, जो सोनी के रूटकिट के बारे में घंटी बजाने वाले पहले व्यक्ति थे, तो चाल काम कर सकती थी और लाखों कंप्यूटर संक्रमित हो गए होंगे - कंपनी के बौद्धिक की कथित रक्षा में काफी वैश्विक अपराध संपत्ति!
सोनी के मामले में भी ऐसा ही है, लेकिन जब इंटरनेट से जुड़ा होना जरूरी नहीं था, तो नॉर्टन सिस्टवर्क्स का मामला है। यह सच है कि दोनों मामलों की तुलना एक नैतिक या तकनीकी दृष्टिकोण से नहीं की जा सकती क्योंकि नॉर्टन के रूटकिट (या रूटकिट जैसी तकनीक) नॉर्टन संरक्षित रीसायकल बिन को समायोजित करने के लिए विंडोज सिस्टम फाइलों को संशोधित करती है, नॉर्टन को प्रतिबंधित करने के लिए दुर्भावनापूर्ण इरादे से शायद ही आरोप लगाया जा सकता है। उपयोगकर्ता के अधिकार या रूटकिट से लाभ उठाना, जैसा कि सोनी के साथ होता है। क्लोकिंग का उद्देश्य हर किसी (उपयोगकर्ताओं, प्रशासकों, आदि) और सब कुछ (अन्य कार्यक्रमों, विंडोज खुद से) को छिपाना था, जो कि उन उपयोगकर्ताओं की बैकअप निर्देशिका को हटा दिया गया है, और जिन्हें बाद में इस बैकअप निर्देशिका से पुनर्स्थापित किया जा सकता है। संरक्षित रीसायकल बिन का कार्य त्वरित उंगलियों को हटाने के लिए एक और सुरक्षा जाल जोड़ना था जो पहले हटाएं और फिर सोचें कि क्या उन्होंने सही फ़ाइल (ओं) को हटा दिया है, जो रीसायकल बिन () से हटा दी गई फ़ाइलों को पुनर्स्थापित करने का एक अतिरिक्त तरीका प्रदान करता है या जिसने रीसायकल बिन को बायपास किया है)।
रूटकिट गतिविधि के ये दो उदाहरण शायद ही सबसे गंभीर मामले हैं, लेकिन वे ध्यान देने योग्य हैं क्योंकि इन विशेष मामलों पर ध्यान आकर्षित करने से, सार्वजनिक हित को एक पूरे के रूप में रूटकिट्स के लिए आकर्षित किया गया था। उम्मीद है, अब अधिक लोग न केवल जानते हैं कि एक रूटकिट क्या है, लेकिन देखभाल अगर उनके पास एक है, और उन्हें पता लगाने और निकालने में सक्षम हो!
