Ro­ot­kit – na­pad bez tra­go­va

Pro­blem ko­ji ha­ke­ri ima­ju pri na­pa­du na In­ter­net ser­ve­re je u to­me što za so­bom osta­vlja­ju pu­no tra­go­va. Da bi spre­či­li da ih lo­kal­ni ad­mi­ni­stra­to­ri pri­me­te ko­ri­ste spe­ci­jal­ne pa­ke­te ko­ji se na­zi­va­ju Ro­ot­kit. Po­sto­ja­nje Ro­ot­ki­ta je ge­ne­ral­no ve­li­ki pro­blem za mre­že, jer omo­gu­ća­va ulje­zi­ma pot­pu­nu kon­tro­lu, sko­ro bez ika­kvih tra­go­va. Zbog to­ga je ovo­ga pu­ta na­ša te­ma: ka­ko uoči­ti i ka­ko ot­klo­ni­ti dej­stvo Ro­ot­ki­ta...

Po­sto­ji vi­še na­či­na na ko­ji ha­ke­ri upa­da­ju u ra­ču­nar­ske si­ste­me; to mo­že bi­ti ili po­ga­đa­nje ši­fa­ra ili ko­ri­šće­nje ne­kog od Ex­plo­i­ta, sla­bo­sti ope­ra­tiv­nog si­ste­ma ko­ji se na­pa­da. Svi ovi po­stup­ci osta­vlja­ju tra­go­ve u do­bro kon­fi­gu­ri­sa­nom si­ste­mu, te ako i upad uspe, ve­li­ka je ve­ro­vat­no­ća da će ih ad­mi­ni­stra­tor pri­me­ti­ti. Ja­vlja­ju se čud­ni Log za­pi­si, sum­nji­vi pro­ce­si i mre­žne ko­nek­ci­je ko­je ne­ma­ju ve­ze sa stan­dard­nim ra­dom si­ste­ma. Ta­da na sce­ni stu­pa Ro­ot­kit, sa za­dat­kom da uklo­ni ove tra­go­ve, ali i omo­gu­ći na­pa­da­ču bez­be­dan po­vra­tak u kom­pro­mi­to­va­ni si­stem.

Ro­ot­kit se ti­pič­no sa­sto­ji od net­work snif­fe­ra (pri­slu­ški­va­ča), ala­ta za či­šće­nje Log za­pi­sa, za­me­na­ma za si­stem­ske pro­gra­me kao što su ps, net­stat, if­con­fig i kil­lall. U pa­ke­tu su i tro­ja­ni­zo­va­ne ver­zi­je Lo­gin de­mo­na, či­me na­pa­dač osta­je ne­pri­me­ćen, ali i pri­ma in­for­ma­ci­je o dru­gim ko­ri­snič­kim na­lo­zi­ma.

Opa­snost od Ro­ot­ki­ta

Ukrat­ko re­če­no, iako na­pa­dač pr­vo tre­ba da pro­va­li u si­stem, jed­no­stav­nost in­sta­la­ci­je Ro­ot­ki­ta i ha­os ko­ji po­sle to­ga na­sta­je je ve­li­ka opa­snost za mre­že i si­stem ad­mi­ni­stra­to­re.

Do­dat­ni pro­ble­mi pro­is­ti­ču iz jed­no­stav­no­sti in­sta­la­ci­je (zbog to­ga što Ro­ot­kit mo­gu da ko­ri­ste i de­ca) i či­nje­ni­ce da Ro­ot­ki­to­va ima za sve ope­ra­tiv­ne si­ste­me.

Po pi­ta­nju pod­ri­va­nje in­te­gri­te­ta si­ste­ma po­sto­je dva na­či­na: sta­ri­ji i ma­nje opa­sni Ro­ot­ki­to­vi ti­pič­no me­nja­ju si­ste­me za de­tek­ci­ju upa­da i dru­ge si­gur­no­sne pro­gra­me, dok mo­der­ni­ji i opa­sni­ji di­rekt­no ma­ni­pu­li­šu ker­nel za­me­nom si­stem­skih po­zi­va kao što su open() i read().

T0rn­kit

Pri­mer sta­ri­jeg i ma­nje opa­snog Ro­ot­ki­ta je t0rn­kit, ko­ji se ko­ri­sti na Unix i Li­nux si­ste­mi­ma. T0rn­kit pri­li­kom in­sta­la­ci­je pr­vo ga­si si­stem­ski Log de­mon, syslogd. Za­tim me­nja vi­še si­stem­skih pro­gra­ma tro­ja­ni­zo­va­nim ver­zi­ja­ma, da bi do­dao tro­ja­ni­zo­va­ni SSH de­mon. Pro­gra­mi ko­ji su za­me­nje­ni su: du (za­u­ze­će di­ska), find (pro­na­la­že­nje da­to­te­ka), if­con­fig (kon­fi­gu­ra­ci­ja mre­žne kar­te), lo­gin (pri­ja­va na si­stem), ls (li­sta da­to­te­ka), net­stat (sta­tus mre­žnih pro­ce­sa), ps (sta­tus pro­ce­sa) i top (li­sta pro­ce­sa).

Ovo zna­či da i pri de­talj­nom pre­gle­du si­ste­ma ad­mi­ni­stra­tor ni­je u sta­nju da uoči pro­blem, jer ko­man­de ko­je stan­dard­no ko­ri­sti vra­ća­ju fal­si­fi­ko­va­ne re­zul­ta­te, ta­ko da sve iz­gle­da uobi­ča­je­no.

T0rn­kit po­kre­će “snif­fer” u po­za­di­ni, uklju­ču­je Tel­net, Rsh i Fin­ger de­mo­ne iz inetd ser­vi­sa i po­kre­će syslogd. Sve ovo se de­ša­va bez zna­nja ad­mi­ni­stra­to­ra.

T0rn­kit po­sle in­sta­la­ci­je ni­je mo­gu­će pro­na­ći, jer je sa­ma ko­man­da za li­sta­nje di­rek­to­ri­ju­ma iz­me­nje­na (ls). U stan­dard­nom slu­ča­ju for­mi­ra se Bac­kdo­ok na por­tu tcp/47017, za “ro­ot” (Su­per ad­mi­ni­stra­tor) pri­stup si­ste­mu.

Ado­re

Dru­gi če­sto ko­ri­šće­ni, na­pred­ni­ji Ro­ot­kit je Ado­re, ko­ji je do­sta te­že ot­kri­ti.  To je zbog to­ga što se Ado­re in­te­gri­še u si­stem uči­ta­va­njem spe­ci­jal­no na­pi­sa­nog ker­nel mo­du­la (Lo­a­da­ble Ker­nel Mo­du­le ili kra­će: LKM). Pri­me­nom ove teh­ni­ke na­pa­dač sti­če mo­guć­nost da pro­me­ni rad si­stem­skih pro­gra­ma bez sa­me iz­me­ne pro­gra­ma (što je lak­še mo­gu­će ot­kri­ti). Kao pri­mer mo­že da po­slu­ži pro­gram ps ko­ji ko­ri­sti si­stem­ski po­ziv open() da bi pri­ka­zao in­for­ma­ci­je o ak­tiv­nim pro­gra­mi­ma, či­ta­ju­ći di­rek­to­ri­jum /proc u ko­me se ču­va­ju po­da­ci o ak­tiv­nim pro­ce­si­ma.

Do­bi­ja se efe­kat jed­nak iz­me­ni si­stem­skih da­to­te­ka, pro­ce­sa i mre­žnih ko­nek­ci­ja. Ado­re na ker­nel ni­vou kon­tro­li­še si­stem­ske upi­te ta­ko da ne do­zvo­lja­va od­ziv po pi­ta­nju “taj­ni” na­pa­da­ča.

Ado­re i dru­gi LKM Ro­ot­ki­to­vi ra­de sa­mo u slu­ča­ju ka­da je ker­nel kom­paj­li­ran ta­ko da omo­gu­ća­va uči­ta­va­nje dinamičkih ker­nel mo­du­la. Ako obri­še­te LKM mo­du­le ta­kvog Ro­ot­ki­ta, vaš pro­blem je re­šen, na­rav­no, ako ste uop­šte us­pe­li da ga de­tek­tu­je­te.
 
Ako ste po­mi­sli­li da sta­tič­kim lin­ko­va­njem ker­ne­la one­mo­gu­ći­te LKM Ro­ot­ki­to­ve,  tre­ba da zna­te da po­sto­je još na­pred­ni­je teh­ni­ke ko­je ne ko­ri­ste LKM, već di­rek­tan upis u RAM me­mo­ri­ju (Li­nux /dev/kmem). U ovom slu­ča­ju ad­mi­ni­stra­tor ne mo­že da ura­di sko­ro ni­šta, jer je upis u /dev/kmem sa­stav­ni deo ker­ne­la.

Za­šti­ta

Po­la­zna stra­te­gi­ja za­šti­te je da pro­na­đe­te ne­a­u­to­ri­zo­va­ne iz­me­ne pro­gra­ma pu­tem upo­re­đi­va­nja ši­fro­va­nih kon­trol­nih zbi­ro­va ključ­nih da­to­te­ka. Po­treb­no je da pe­ri­o­dič­no upo­re­đu­je­te sta­re i no­ve kon­trol­ne zbi­ro­ve da bi­ste uvi­de­li pro­me­ne. Ovo oba­vlja­ju pro­gra­mi kao što je Trip­wi­re. (Na­po­mi­nje­mo da u slu­ča­ju LKM Ro­ot­ki­to­va Trip­wi­re ne slu­ži ni­če­mu.) 

Al­ter­na­ti­va su pro­gra­mi ti­pa Check-ps, ko­ji ne ve­ru­ju si­stem­skim po­zi­vi­ma, već di­rekt­no is­pi­tu­ju ker­nel me­mo­ri­ju i pri­ka­zu­ju raz­li­ke u od­no­su na mo­žda-kom­pro­mi­to­va­ne si­stem­ske ko­man­de.

Ako mi­sli­te da ima­te Ro­ot­kit pro­blem, pr­va stvar ko­ju tre­ba da ura­di­te je da upo­re­di­te od­ziv ko­man­de “net­stat –anlt” u od­no­su na “nmap 127.0.0.1 –p 1-65535”. Ako pri­me­ti­te raz­li­ku u bro­ju otvo­re­nih por­to­va – ve­ro­vat­no je da ima­te skri­ve­ni Bac­kdo­or u si­ste­mu. (Su­šti­na ove ana­li­ze je sle­de­ća: net­stat, pri­kaz mre­žnih ser­vi­sa mo­že bi­ti kompromitovan, za raz­li­ku od nmap pro­gra­ma, ko­ji ni­je sa­stav­ni deo ope­ra­tiv­nog si­ste­ma.)

U tom slu­ča­ju tre­ba­lo bi da bo­o­tu­je­te si­stem sa CD-a i lo­ci­ra­te iz­me­nje­ne da­to­te­ke.

Pre­ven­ci­ja

Ja­sno je da je naj­bo­lje za sve - da ne­ma­te in­sta­li­ra­ni Ro­ot­kit. Da bi­ste to po­sti­gli, za po­če­tak tre­ba da spre­či­te da vaš si­stem po­sta­ne žr­tva “slu­čaj­nog” ha­ker­skog na­pa­da, što po­sti­že­te ta­ko što re­dov­no odr­ža­va­te svoj si­stem po pi­ta­nju si­stem­skih za­kr­pa i up­gra­de­o­va. Ne či­ne­ći ni­šta po ovom pi­ta­nju dra­ma­tič­no po­ve­ća­va­te šan­se da vaš si­stem do­bi­je “pod­sta­na­ra”.

Po­treb­no je i da uga­si­te sve ne­po­treb­ne si­stem­ske pro­ce­se i de­mo­ne i in­sta­li­ra­te Fi­re­wall, a za ra­ne de­tek­ci­je do­bro do­đe pre­u­sme­ra­va­nje Syslo­ga na po­se­ban ra­ču­nar (Log­host).

Po pi­ta­nju pre­ven­ci­je, po­treb­no je da raz­mo­tri­te i upo­tre­bu NIDS si­ste­ma (Net­work In­tru­sion De­tec­tion System – mre­žni si­ste­mi za de­tek­ci­ju upa­da), kao što je snort, ko­ji osim što vas oba­ve­šta­va o na­pa­du mo­že i da efek­tiv­no blo­ki­ra na­pad.

Bu­duć­nost

Ni­ko ne zna ka­ko će se tač­no Ro­ot­ki­to­vi da­lje raz­vi­ja­ti. Mo­že­mo da pret­po­sta­vi­mo da će se LKM zo­na  raz­vi­ja­ti ta­ko da ma­ni­pu­li­še i dru­gim de­lo­vi­ma ker­ne­la, ta­ko da spre­če ot­kri­va­nje od stra­ne pro­gra­ma ti­pa Check-ps.

Iako se da­nas naj­vi­še Ro­ot­ki­to­va pra­vi za Li­nux ser­ve­re, či­nje­ni­ca je da sve vi­še ser­ve­ra na In­ter­ne­tu ko­ri­ste Win­dows, te je za oče­ki­va­nje i po­ja­va po­bolj­ša­nih Ro­ot­ki­to­va za ove ope­ra­tiv­ne si­ste­me.