Системная интеграция
Что делают традиционные RootKit?
Вопреки собственному названию, RootKit1 не позволяют атакующему получить доступ с правами супервизора к системе. RootKit зависят от атакующего, уже имеющего доступ с правами супервизора, вероятно полученный при помощи методов (переполнение буфера, использование ошибок программирования и пр.). Лишь после получения атакующим доступа с правами супервизора RootKit становится комплектом инструментальных средств, позволяющих поддерживать доступ на имеющемся уровне посредством создания черного хода и сокрытия доказательств взлома системы.
Центральная часть традиционного RootKit в UNIX: замена /bin/login
Как RootKit реализуют черные ходы? Чтобы понять черные ходы RootKit, важно знать, что происходит, когда вы получаете доступ к UNIX-машине. Когда вы входите в систему UNIX при помощи локальной клавиатуры либо через сеть (посредством telnet или других приложений), запускается программа /bin/login.
Система использует эту программу для сбора и проверки имени пользователя и пароля. Программа /bin/ login - один из фундаментальных инструментов безопасности в UNIX, требующий от пользователей предоставления их имен и паролей для идентификации в процессе входа в систему, /bin/login собирает имя и пароль, напечатанные пользователем, и консультируется с файлом паролей, чтобы определить, был ли пароль верным. Если пароль верный, процедура /bin/login впускает пользователя в систему.
Хотите отдохнуть после тяжелого дня? Заходите в казино русский вулкан и получайте заряд положительных эмоций.
RootKit заменяет /bin/ login измененной версией, включающей пароль черного хода для RootKit. Если атакующий использует RootKit черного хода, то модифицированная программа /bin/login предоставит доступ к системе. Даже если системный администратор изменяет пароль для пользователя root системы (или удаляет файл паролей), атакующий все еще может входить как root, применяя свой пароль. Таким образом, утилита /bin/login из RootKit является черным ходом, поскольку служит для обмана элемента управления безопасностью системы. Кроме того, это троянский конь, хотя и напоминающий нормальную процедуру входа в систему, на самом деле представляющий собой черный ход.