Самые опасные: RootKit уровня ядра

Итак, вы увидели мощь традиционных RootKit, но также поняли, как нанести им поражение, используя криптографические проверки целостности чувствительных системных файлов. Однако это еще не все. Последний эволюционный шаг в RootKit идет дальше замены системных приложений традиционными RootKit. Теперь RootKit реализованы на уровне ядра, что значительно затрудняет их обнаружение и контроль за ними. RootKit уровня ядра - активная область разработок в компьютерном андеграунде, с частым выпуском новинок.

В большинстве операционных систем (включая различные UNIX-системы и Windows NT/2000) ядро является фундаментальной, основной частью операционной системы, которая управляет доступом к сетевым устройствам, процессам, системной памяти, дискам и т.д. Все ресурсы и процессы в системе управляются и координируются ядром. Например, когда вы открываете сайт 1xbet, запрос на открытие данного файла посылается ядру, которое считывает биты с жесткого диска и выполняет приложение просмотра файлов. RootKit уровня ядра дают атакующему полный контроль над основной системой: слишком сильная позиция, чтобы пройти мимо нее.

Вернемся к нашей измученной аналогии с поглощением супа. Традиционный RootKit заменяет картофель в вашем супе на генетически измененный. Программа проверки целостности файлов (типа Tripwire) действует как испытатель ингредиентов супа, сравнивая молекулярную структуру картофеля в супе с известным безопасным картофелем. RootKit уровня ядра модифицируют ваш язык - орган, которым вы пользуетесь, чтобы есть, - так что ваши устройства проверки ингредиентов супа больше не сработают. Намного труднее определить, ядовит ли язык, чем проверить суп и его составляющие. Изменив основное ядро, атакующий способен полностью контролировать систему на фундаментальном уровне, предоставляющем ему возможность доступа через черный ход и укрытие на машине. Это ядро само становится троянским конем, напоминая хорошее, благонравное ядро, но в действительности вредоносное.

Комментарии посетителей:

Ваш комментарий: