Rootkit คืออะไร? รูทคิททำงานอย่างไร รูทคิทอธิบาย

แม้ว่าจะเป็นไปได้ที่จะซ่อนมัลแวร์ในลักษณะที่จะหลอกแม้กระทั่งผลิตภัณฑ์ป้องกันไวรัส/ป้องกันสปายแวร์แบบเดิม แต่โปรแกรมมัลแวร์ส่วนใหญ่ใช้รูทคิตเพื่อซ่อนลึกใน พีซี Windows ของคุณ ... และพวกมันกำลังอันตรายมากขึ้น! รูทคิ ตDL3เป็นหนึ่งในรูทคิตที่ล้ำหน้าที่สุดเท่าที่เคยมีมาในธรรมชาติ รูทคิตมีเสถียรภาพและสามารถแพร่ระบาดในระบบปฏิบัติการWindows 32 บิตได้ (Windows)แม้ว่าจะต้องมีสิทธิ์ของผู้ดูแลระบบในการติดตั้งการติดไวรัสในระบบ แต่TDL3ได้รับการอัปเดตแล้ว และขณะนี้สามารถแพร่ระบาดได้แม้กระทั่ง Windows รุ่น 64 บิต(even 64-bit versions  Windows) !

Rootkit คืออะไร

ไวรัส

ไวรัสรูทคิทเป็นมัลแวร์ประเภท ลอบ  เร้นที่ออกแบบมาเพื่อซ่อนกระบวนการหรือโปรแกรมบางอย่างบนคอมพิวเตอร์ของคุณจากวิธีการตรวจหาปกติ เพื่อที่จะอนุญาตหรือกระบวนการที่เป็นอันตรายอื่น ๆ ที่มีสิทธิพิเศษในการเข้าถึงคอมพิวเตอร์ของคุณ

โดยทั่วไปแล้ว Rootkits สำหรับ Windows(Rootkits for Windows)จะใช้เพื่อซ่อนซอฟต์แวร์ที่เป็นอันตราย ตัวอย่างเช่น โปรแกรมป้องกันไวรัส มันถูกใช้เพื่อจุดประสงค์ที่เป็นอันตรายโดยไวรัส เวิร์ม แบ็คดอร์ และสปายแวร์ ไวรัสที่รวมกับรูทคิตจะสร้างสิ่งที่เรียกว่าไวรัสซ่อนตัวเต็มรูปแบบ รูทคิทนั้นพบได้ทั่วไปในฟิลด์สปายแวร์ และตอนนี้ก็กำลังเป็นที่นิยมใช้กันมากขึ้นโดยผู้เขียนไวรัสด้วยเช่นกัน

ตอนนี้พวกเขาเป็นSuper Spyware ประเภทใหม่ ที่ซ่อนอย่างมีประสิทธิภาพ & ส่งผลกระทบต่อเคอร์เนลของระบบปฏิบัติการโดยตรง ใช้เพื่อซ่อนการมีอยู่ของวัตถุที่เป็นอันตราย เช่น โทรจันหรือคีย์ล็อกเกอร์บนคอมพิวเตอร์ของคุณ หากภัยคุกคามใช้เทคโนโลยีรูทคิทเพื่อซ่อน เป็นการยากมากที่จะหามัลแวร์บนพีซีของคุณ

รูทคิทในตัวเองไม่มีอันตราย จุดประสงค์เดียวของพวกเขาคือการซ่อนซอฟต์แวร์และร่องรอยที่ทิ้งไว้ในระบบปฏิบัติการ ไม่ว่าจะเป็นซอฟต์แวร์ปกติหรือโปรแกรมมัลแวร์

โดยพื้นฐานแล้ว Rootkit(Rootkit)มีสามประเภทที่แตกต่างกัน ประเภทแรก “ Kernel Rootkits ” มักจะเพิ่มรหัสของตัวเองไปยังส่วนต่าง ๆ ของระบบปฏิบัติการหลัก ในขณะที่ประเภทที่สอง “ User-mode Rootkits ” นั้นมีเป้าหมายเป็นพิเศษสำหรับWindowsเพื่อเริ่มต้นขึ้นตามปกติในระหว่างการเริ่มต้นระบบ หรือฉีดเข้าสู่ระบบโดยที่เรียกว่า “หยด” ประเภทที่สามคือ MBR Rootkits หรือBootkits(MBR Rootkits or Bootkits)

เมื่อคุณพบว่าAntiVirus & AntiSpyware ของคุณ ล้มเหลว คุณอาจต้องรับความช่วยเหลือจากAnti-Rootkit Utility ที่(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)ดี RootkitRevealerจากMicrosoft Sysinternalsเป็นยูทิลิตี้การตรวจจับรูทคิตขั้นสูง ผลลัพธ์แสดงรายการ ความคลาดเคลื่อน APIของระบบไฟล์และรีจิสทรี(Registry)ที่อาจบ่งบอกถึงการมีอยู่ของรูทคิตโหมดผู้ใช้หรือโหมดเคอร์เนล

รายงานภัยคุกคามจากศูนย์ป้องกันมัลแวร์ของ Microsoft(Microsoft Malware Protection Center Threat Report)บน  รูทคิท(Rootkits)

Microsoft Malware Protection Centerเปิดให้ดาวน์โหลดรายงานภัยคุกคาม(Threat Report)บน รูท คิ(Rootkits)ท รายงานนี้จะตรวจสอบองค์กรและบุคคลที่คุกคามมัลแวร์ประเภทหนึ่งที่ร้ายกาจกว่าในปัจจุบัน นั่นคือรูทคิท รายงานนี้จะตรวจสอบว่าผู้โจมตีใช้รูทคิตอย่างไร และรูทคิตทำงานอย่างไรในคอมพิวเตอร์ที่ได้รับผลกระทบ นี่คือส่วนสำคัญของรายงาน โดยเริ่มจากRootkits คืออะไร สำหรับผู้เริ่มต้น

Rootkitคือชุดเครื่องมือที่ผู้โจมตีหรือผู้สร้างมัลแวร์ใช้เพื่อเข้าควบคุมระบบที่เปิดเผย/ไม่มีความปลอดภัย ซึ่งปกติแล้วจะสงวนไว้สำหรับผู้ดูแลระบบ ในช่วงไม่กี่ปีที่ผ่านมา คำว่า 'ROOTKIT' หรือ 'ROOTKIT FUNCTIONALITY' ได้ถูกแทนที่ด้วยMALWARE ซึ่ง(MALWARE –)เป็นโปรแกรมที่ออกแบบมาเพื่อให้มีผลที่ไม่พึงประสงค์ต่อคอมพิวเตอร์ที่มีสุขภาพดี หน้าที่หลักของมัลแวร์คือการถอนข้อมูลที่มีค่าและทรัพยากรอื่นๆ จากคอมพิวเตอร์ของผู้ใช้อย่างลับๆ และมอบให้ผู้โจมตี ทำให้เขาสามารถควบคุมคอมพิวเตอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์ ยิ่งไปกว่านั้น พวกมันตรวจจับและเอาออกได้ยาก และสามารถซ่อนไว้ได้เป็นเวลานาน อาจเป็นปีหากไม่มีใครสังเกตเห็น

โดยธรรมชาติแล้ว อาการของคอมพิวเตอร์ที่ถูกบุกรุกจะต้องถูกปกปิดและนำมาพิจารณาก่อนที่ผลลัพธ์จะเป็นอันตรายถึงชีวิต โดยเฉพาะอย่างยิ่ง ควรใช้มาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้นเพื่อเปิดเผยการโจมตี แต่ดังที่กล่าวไว้ เมื่อมีการติดตั้งรูทคิท/มัลแวร์เหล่านี้ ความสามารถในการซ่อนตัวของมันจะทำให้ลบออกและส่วนประกอบที่อาจดาวน์โหลดได้ยาก ด้วยเหตุนี้Microsoftจึงได้สร้างรายงานเกี่ยวกับROOTKITS

รายงานความยาว 16 หน้าจะสรุปวิธีที่ผู้โจมตีใช้รูทคิตและการทำงานของรูทคิตเหล่านี้ในคอมพิวเตอร์ที่ได้รับผลกระทบ

จุดประสงค์เพียงอย่างเดียวของรายงานนี้คือเพื่อระบุและตรวจสอบมัลแวร์ที่อาจคุกคามองค์กรต่างๆ โดยเฉพาะอย่างใกล้ชิด นอกจากนี้ยังกล่าวถึงกลุ่มมัลแวร์ที่แพร่หลายและนำเสนอวิธีการที่ผู้โจมตีใช้ในการติดตั้งรูทคิตเหล่านี้เพื่อจุดประสงค์ที่เห็นแก่ตัวในระบบที่แข็งแรง ในส่วนที่เหลือของรายงาน คุณจะพบผู้เชี่ยวชาญที่ให้คำแนะนำเพื่อช่วยให้ผู้ใช้บรรเทาภัยคุกคามจากรูทคิท

ประเภทของรูทคิท

มีหลายที่ที่มัลแวร์สามารถติดตั้งตัวเองลงในระบบปฏิบัติการได้ ดังนั้น ประเภทของรูทคิทส่วนใหญ่จะถูกกำหนดโดยตำแหน่งที่ทำการโค่นล้มเส้นทางการดำเนินการ ซึ่งรวมถึง:

  1. รูทคิทโหมดผู้ใช้
  2. รูทคิทโหมดเคอร์เนล
  3. MBR Rootkits/bootkits

ผลกระทบที่เป็นไปได้ของการประนีประนอมรูทคิตในโหมดเคอร์เนลนั้นแสดงให้เห็นผ่านภาพหน้าจอด้านล่าง

ประเภทที่สาม แก้ไขMaster Boot Recordเพื่อเข้าควบคุมระบบและเริ่มกระบวนการโหลดจุดที่เร็วที่สุดในลำดับการบู๊ต3 มันซ่อนไฟล์ การแก้ไขรีจิสตรี หลักฐานการเชื่อมต่อเครือข่าย รวมถึงตัวบ่งชี้ที่เป็นไปได้อื่นๆ ที่สามารถบ่งชี้ถึงการมีอยู่ของมัน

กลุ่ม มัลแวร์(Malware)เด่นที่ใช้ฟังก์ชันรูทคิท(Rootkit)

  • Win32/Sinowal 13 – กลุ่มมัลแวร์ที่มีหลายองค์ประกอบที่พยายามขโมยข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้และรหัสผ่านสำหรับระบบต่างๆ ซึ่งรวมถึงพยายามขโมยรายละเอียดการตรวจสอบสิทธิ์สำหรับบัญชีFTP , HTTPและอีเมลต่างๆ ตลอดจนข้อมูลประจำตัวที่ใช้สำหรับธนาคารออนไลน์และธุรกรรมทางการเงินอื่นๆ
  • Win32/Cutwail 15 – โทรจัน(Trojan)ที่ดาวน์โหลดและรันไฟล์โดยอำเภอใจ ไฟล์ที่ดาวน์โหลดอาจถูกเรียกใช้จากดิสก์หรือส่งไปยังกระบวนการอื่นโดยตรง แม้ว่าฟังก์ชันของไฟล์ที่ดาวน์โหลดจะแปรผัน แต่Cutwailมักจะดาวน์โหลดส่วนประกอบอื่นๆ ที่ส่งสแปม ใช้รูทคิตในโหมดเคอร์เนลและติดตั้งไดรเวอร์อุปกรณ์หลายตัวเพื่อซ่อนส่วนประกอบจากผู้ใช้ที่ได้รับผลกระทบ
  • Win32/Rustockโทรจัน(Trojans)  แบ็คดอร์ที่เปิดใช้งานรูทคิตซึ่งมีหลายองค์ประกอบในขั้นต้น พัฒนาขึ้นเพื่อช่วยในการแจกจ่ายอีเมล "สแปม" ผ่าน บอ ตเน็ต (botnet)บ็อตเน็ตคือเครือข่ายคอมพิวเตอร์ขนาดใหญ่ที่ควบคุมโดยผู้โจมตี

การป้องกันรูทคิท

การป้องกันการติดตั้งรูทคิทเป็นวิธีที่มีประสิทธิภาพสูงสุดในการหลีกเลี่ยงการติดรูทคิท ด้วยเหตุนี้ จึงจำเป็นต้องลงทุนในเทคโนโลยีการป้องกัน เช่น ผลิตภัณฑ์ป้องกันไวรัสและไฟร์วอลล์ ผลิตภัณฑ์ดังกล่าวควรใช้แนวทางที่ครอบคลุมในการป้องกันโดยใช้การตรวจจับตามลายเซ็นแบบดั้งเดิม การตรวจจับฮิวริสติก ความสามารถด้านลายเซ็นแบบไดนามิกและตอบสนอง และการตรวจสอบพฤติกรรม

ชุดลายเซ็นทั้งหมดเหล่านี้ควรได้รับการอัปเดตโดยใช้กลไกการอัปเดตอัตโนมัติ โซลูชันแอนติไวรัส ของ Microsoft(Microsoft)มีเทคโนโลยีจำนวนหนึ่งที่ออกแบบมาโดยเฉพาะเพื่อลดรูทคิท รวมถึงการตรวจสอบพฤติกรรมเคอร์เนลแบบสดที่ตรวจจับและรายงานความพยายามที่จะแก้ไขเคอร์เนลของระบบที่ได้รับผลกระทบ และการแยกวิเคราะห์ระบบไฟล์โดยตรงที่อำนวยความสะดวกในการระบุและลบไดรเวอร์ที่ซ่อนอยู่

หากพบว่าระบบถูกบุกรุก เครื่องมือเพิ่มเติมที่อนุญาตให้คุณเริ่มระบบไปยังสินค้าที่รู้จักหรือสภาพแวดล้อมที่เชื่อถือได้อาจเป็นประโยชน์ เนื่องจากอาจแนะนำมาตรการแก้ไขที่เหมาะสมบางประการ(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

ภายใต้สถานการณ์ดังกล่าว

  1. เครื่องมือกวาดระบบแบบสแตนด์อโลน(Standalone System Sweeper) (ส่วนหนึ่งของชุดเครื่องมือการวินิจฉัย(Diagnostics)และ การ กู้คืน ของ (Recovery Toolset)Microsoft ( DaRT )
  2. Windows Defender Offlineอาจมีประโยชน์

สำหรับข้อมูลเพิ่มเติม คุณสามารถดาวน์โหลด รายงาน PDFได้จากMicrosoft Download Center



วรวุฒิ วรรณดำรง

About the author

ฉันเป็นวิศวกรซอฟต์แวร์เต็มเวลาที่มีประสบการณ์มากกว่า 10 ปีในการทำงานกับซอฟต์แวร์ Windows และ Mac ฉันรู้วิธีออกแบบ ทดสอบ และปรับใช้แอปพลิเคชันบนทั้งสองแพลตฟอร์ม ฉันยังมีประสบการณ์ด้านความปลอดภัยและการจัดการระบบ ทักษะและความรู้ของฉันสามารถช่วยให้คุณสร้างระบบคอมพิวเตอร์ที่ดีขึ้นและมีประสิทธิภาพมากขึ้น


Related posts