คำว่า “rootkit” (รูทคิท) สามารถเชื่อมโยงกับไวรัส
หรือการโจมตีอุปกรณ์สำหรับผู้ใช้งานคอมพิวเตอร์ และโดยปกติจะเกี่ยวข้องกับ มัลแวร์
(malware) และด้วยเหตุผลที่ดี
rootkit นั้น เป็นมัลแวร์ประเภทที่อันตรายที่สุด
และนอกจากนี้ยังฉลาดมาก
คุณจะไม่ทันสังเกตด้วยซ้ำ ว่ามันได้มีอยู่ในคอมพิวเตอร์ของคุณ
ดังนั้นผู้คนจำนวนมากจึงไม่ทราบถึงการมีอยู่ของภัยคุกคามประเภทนี้
และยังมีการแอบติดอุปกรณ์ของพวกเขา เราจะไปค้นหาว่า rootkit คืออะไร
วิธีการลบมันออกไป และคุณสามารถป้องกัน rootkit ได้หรือไม่
Rootkit คืออะไร?
คำจำกัดความของรูทคิตนั้น
ประกอบด้วยคำสองคำ: “รูท” (root) และ “Putty”
(พุตตี้) โดย Unix มักเรียกตัวเองว่า “root”
ซึ่งหมายถึงผู้ใช้ที่มีสิทธิ์เข้าถึงระบบอย่างเต็มที่และไม่จำกัด “putty”
นั้น เป็นเพียงชุดเครื่องมือ
การรวมกันของคำเหล่านี้หมายถึงซอฟต์แวร์ที่เป็นอันตรายอย่างยิ่ง
ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ติดไวรัสได้จากระยะไกล และถาวร
ผ่านการติดตั้งเครื่องมือต่าง ๆ โดยปกติแล้วจุดประสงค์ของพวกมันก็คือการขโมยข้อมูล
และผู้ใช้งานมักจะไม่รู้เลยว่าเขาสูญเสียการควบคุมอุปกรณ์ของตัวเอง –
ดังนั้นจึงไม่สามารถมองข้ามภัยคุกคามที่เกิดจาก rootkit ได้
Rootkit หลีกเลี่ยงการตรวจจับ
ซึ่งทำหน้าที่คล้ายกับคีย์ล็อกเกอร์ – มันจะพยายามซ่อนตัวให้ลึกที่สุดในระบบ
และซ่อนตัวจากโปรแกรมป้องกันไวรัส และโปรแกรมความปลอดภัยอื่น ๆ อย่างชาญฉลาด
มันมักจะทำตัวเหมือนเป็นแบ็คดอร์ เพื่อสร้าง”ประตูที่มองไม่เห็น”
สำหรับอาชญากรไซเบอร์
ให้กับระบบของเหยื่อซึ่งไม่เพียงแต่ติดตั้งส่วนประกอบเพิ่มเติมในนั้น เท่านั้น
ซึ่งเครื่องมือที่พบบ่อยที่สุดใน Rootkit ได้แก่ :
• โมดูลการโจรกรรม –
การสกัดกั้นรหัสผ่านรายละเอียดบัตรเครดิตข้อมูลธนาคารออนไลน์
• บอทสำหรับการโจมตีในรูปแบบ DDoS
• keyloggers
(กลไกในการตรวจจับการกดแป้นพิมพ์);
• ฟังก์ชันที่สามารถหลีกเลี่ยงและปิดใช้งานระบบรักษาความปลอดภัย
มัลแวร์ Rootkit ต้องได้รับการออกแบบสำหรับระบบเฉพาะ ดังนั้นสำหรับ Windows คุณสามารถแยกแยะ Rootkit ที่ใช้งานได้เช่น: Necurs,
Alueron, ZeroAccess หรือ TDSS ปัจจุบัน Rootkit
สามารถโจมตีระบบใดก็ได้ ไม่ว่าจะเป็น MacOS, Solaris,
FreeBSD และโซลูชันอื่น ๆ ที่เป็นที่รู้จักไม่มากก็น้อย
ข้อสรุปก็คือ:
ในทุกวันนี้ไม่มีระบบใดรับประกันความปลอดภัยได้ 100%
การใช้งาน rootkits
Rootkit นั้นไม่เป็นอันตราย
แต่ก็ไม่เคยเกิดขึ้นเอง แพ็กเกจ rootkit มักมีโปรแกรมที่เป็นอันตรายเพิ่มเติมอยู่เสมอ
งานของ rootkit คือการปิดกั้นความพยายามในการตรวจจับผู้บุกรุก
ปัจจุบันรูทคิทส่วนใหญ่ใช้สำหรับการโจมตีผ่านทางอินเทอร์เน็ต แต่ยังมี Rootkit
ของเครื่องมือที่ช่วยให้คุณสามารถข้ามการป้องกันการละเมิดลิขสิทธิ์ได้
Rootkits ยังเป็นโซลูชันที่ได้รับความนิยมเป็นพิเศษในหมู่นักเล่นเกมคอมพิวเตอร์
ที่สร้างดิสก์เสมือนจริงด้วยเกมเวอร์ชันละเมิดลิขสิทธิ์
โดยไม่ต้องใส่สื่อซีดีต้นฉบับลงในไดรฟ์
Rootkits สามารถถูกใช้ใน:
• สร้าง backdoor หรือประตูที่มองไม่เห็นของระบบ
ซึ่งแฮ็กเกอร์สามารถควบคุมอุปกรณ์ที่ถูกโจมตีจากระยะไกลได้
สิ่งนี้ช่วยให้คุณข้ามกลไกการตรวจสอบสิทธการอนุญาตให้เข้าถึง โดยไม่ได้รับอนุญาต
เช่น การขโมยข้อมูล หรือการปลอมแปลงข้อมูล
• มัลแวร์ ตัวอย่างเช่น มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อน
รหัสผ่าน ฯลฯ เหล่านี้คือคีย์ล็อกเกอร์ และเป็นไวรัสที่ถูกพบบ่อยมากที่สุด
• ใช้คอมพิวเตอร์หรือเครือข่ายที่ถูกโจมตีเพื่อโจมตีอุปกรณ์อื่น ๆ เพิ่มเติมโดยข้ามคอมพิวเตอร์ของแฮ็กเกอร์
คอมพิวเตอร์ที่ถูกโจมตีมักเรียกว่า “คอมพิวเตอร์ซอมบี้” โดยหลักการแล้วอุปกรณ์ใด ๆ
ที่เชื่อมต่อกับอินเทอร์เน็ตนั้น ก็สามารถเปลี่ยนเป็นซอมบี้ได้
หากไม่ระมัดระวังตัว
การโจมตีประเภทนี้ส่วนใหญ่เกิดขึ้นกับกลุ่มคอมพิวเตอร์ที่ติดมัลแวร์
(Botnet)
สิ่งนี้ช่วยให้ผู้ใช้จากระยะไกล และมองไม่เห็น
เพื่อทำการโจมตีที่เกี่ยวข้องกับ เช่น สแปมโดยการส่งลิงก์การคลิกหลอกลวง (Phishing)
หรือการโจมตี DDoS สำหรับซอมบี้รุ่นหลังนั้นเหมาะสมเป็นอย่างยิ่ง
– DDoS คือการโจมตีครั้งใหญ่จากคอมพิวเตอร์หลายเครื่อง
ต่อหน่วยเดียว ซึ่งขัดขวางการทำงานที่เหมาะสม โดยแย่งทรัพยากรว่างทั้งหมด
(หน่วยความจำเวลาตัวประมวลผล) ของคอมพิวเตอร์ที่ถูกโจมตี
ประเภทของไฟล์ rootkits
มีอะไรบ้าง?
Rootkits นั้นมีหลายประเภท
แต่เพื่อให้เข้าใจได้ดีคุณต้องพิจารณาสิ่งที่เรียกว่า protection rings พูดง่าย ๆ ก็คืออธิบายระดับสิทธิ์ของสถาปัตยกรรมระบบปฏิบัติการ
ระดับประกอบด้วย 4 วงกลม ระดับที่เล็กที่สุดหรือต่ำสุด
แต่มีสิทธิ์มากที่สุดคือวงแหวน “0”
ซึ่งมีเคอร์เนลของระบบที่ควบคุมคอมพิวเตอร์ทั้งหมด ด้านบนคือวงแหวน “1”
ตามด้วยวงแหวน “2” – ในนั้นจะมีไดรเวอร์ทั้งหมดเช่น จากการ์ดแสดงผล
ระดับสูงสุดสุดท้ายที่มีสิทธิ์ต่ำสุดคือวงแหวน
“3” ซึ่งรวมถึงแอปพลิเคชันที่คุณใช้เช่น Microsoft Office,
CorelDraw และ Photoshop เป็นที่น่าสังเกตว่าวงแหวน
“0” ยังควบคุมการต่อต้านไวรัสที่อยู่ในระดับสูงสุด “3” ซึ่งมักจะไม่ถึงระดับ “1”
ด้วยซ้ำ
Rootkits สามารถเล็งไปที่ระดับใดก็ได้
แต่สิ่งที่ยากที่สุดในการตรวจจับจะมุ่งเป้าไปที่เคอร์เนลของระบบ
นอกจากนี้ยังมีรูทคิทแบบไฮบริด –
นั่นคือรูทคิทที่ตีพร้อมกันตัวอย่างเช่นระดับผู้ใช้และระดับเคอร์เนลของระบบ
ก่อนที่คุณจะไปถึงระดับใดระดับหนึ่งคุณต้องใส่ใจกับ
Persistent
Rootkits และ Memory-Based Rootkits:
• “Intrusive” คือ Rootkit ที่มีชื่อที่โดดเด่น เนื่องจากมีการเรียกใช้ทุกครั้งที่ระบบปฏิบัติการ เริ่มทำงานโดยปกติจะถูกจัดเก็บเป็นรหัส และโปรแกรมบนดิสก์ หรือรีจิสตรีจะทำงานในพื้นหลัง และไม่ปรากฏในรายการกระบวนการ และบริการของ ระบบนี่คือ Rootkit ประเภทที่พบมากที่สุด เนื่องจากไม่ต้องใช้รหัสพิเศษ และง่ายต่อการแจกจ่าย
• Rootkit
ในหน่วยความจำ สามารถทำงานในแคชของคอมพิวเตอร์ของคุณ
เพื่อใช้แล้วทิ้ง – โดยการเปิดใช้งานเพียงครั้งเดียว
และหายไปเมื่อระบบเริ่มต้นใหม่ นั่นเป็นสาเหตุที่ตรวจจับได้ยากกว่ามาก
bitdefender.co.th
www.kodefix.com
0 ความคิดเห็น