זיהוי rootkit והגן על עצמך מפניו
חלק ניכר מהתוכנות הזדוניות שמשתמשים בהם פושעים ברחבי העולם לא מתגלות על ידי קורבנותיהם. זה נובע גם מתוכנות זדוניות כגון rootkit. אנו נראה לך בצורה קלה להבנה מהו rootkit, אילו סוגים קיימים וכיצד תוכל להגן על המחשב שלך מפניהם בעזרת הכלים הנכונים.
מהו rootkit?
Rootkit הוא תוכנה זדונית שמוסתרת עמוק מאוד במערכת ההפעלה. בגלל התכנות שלהם, בדרך כלל ניתן לזהות ולהסיר rootkits רק עם תוכנת האנטי וירוס המתאימה.
הפונקציה המרכזית של rootkits היא לאפשר לצד שלישי גישה למחשב זר. אתה יכול לשלוט בו מרחוק, לתפעל אותו או לגנוב נתונים. התקפות Rootkit משמשות גם, למשל, להתקנת תוכנות שבעזרתן התוקפים יכולים לשלוט ברשת botn מרחוק.
ערכת rootkit מורכבת בדרך כלל מחבילה של תוכנות זדוניות. ערכת rootkit יכולה להכיל keyloggers, בוטים או תוכנות כופר.
מידע: מאיפה השם "rootkit"?
המונח "rootkit" מורכב מהמילים "root" (גרמנית = root = הספרייה הגבוהה ביותר במערכת קבצים; משתמש עם כל זכויות הניהול) ו- "kit" (גרמנית = set). ה- rootkit הוא אוסף ניטרלי לחלוטין של יישומי תוכנה שיכולים להשתמש בזכויות מנהל. אך כאשר זכויות אלה משמשות לטעון מחדש של תוכנות זדוניות, ה- rootkit עצמו הופך לתוכנה זדונית.
Rootkit: ישנם סוגים אלה
בדרך כלל מסווגים ערכות Root על סמך העומק שבו הם פועלים במערכת הקבצים של המחשב הנוגע בדבר.
|
ערכות root של מצב משתמש |
העיקרי המושפע מערכי root אלה הוא חשבון מנהל המערכת במחשב שלך. לתוכנה הזדונית יש את כל היתרונות של גישת מנהל לקבצים או תוכניות והיא יכולה, למשל, לשנות את הגדרות האבטחה. הדבר המסובך ב ערכות השורש האלה: הם מופעלים אוטומטית בכל פעם שהמחשב מופעל מחדש. |
|
ערכות דגם ליבה |
ערכות root אלה פועלות ישירות ברמת מערכת ההפעלה ובכך יש להן אפשרות לתפעל את כל האזורים של מערכת ההפעלה. אפילו סריקות סורקי וירוסים עלולות להניב תוצאות לא נכונות אם הן נדבקות במערך מצב ליבה. עם זאת, ערכות rootel ליבה צריכות להתגבר על הרבה מכשולים לפני שהם יכולים להיתקע בגרעין. בדרך כלל מבחינים בהם מראש, למשל מכיוון שהמחשב ממשיך לקרוס. |
|
ערכות שורש קושחה |
ערכות root אלה יכולות להשתיל את הקושחה של מערכות מחשב. לאחר שנמחקו, הם יותקנו מחדש באופן אוטומטי בכל פעם שתפעיל מחדש. זה הופך את rootkits הקושחה להתמיד במיוחד ומקשה על הסרתם. |
|
ערכות אתחול |
ערכות rootkit אלה נתקעות בתחום האתחול. בעת הפעלת המחשב, המערכת משתמשת ברשומת האתחול הראשית. שם תמצא גם את ערכת האתחול, אשר נטענת בכל פעם שאתה מתחיל. למשתמשים במערכות הפעלה חדשות יותר של Windows כגון 8 או 10. יש הגנה חשובה. לגרסאות אלה יש כבר מערכות אבטחה המונעות ערכות אתחול כאשר המחשב מופעל. |
|
ערכות וירטואליות |
ערכות rootkit אלה מתקינות את עצמן במכונה וירטואלית ויכולות לגשת למחשב נגוע מחוץ למערכת ההפעלה בפועל. זה מקשה עליהם לאתר תוכנות להגנה מפני וירוסים. |
| ערכות root היברידיות | ערכות rootkits אלה מפצלות את התוכנה ומתקינות חלקים ממנה בגרעין וחלקים אחרים ברמת המשתמש. ערכות השורש הללו יתרון לפושעים מכיוון שהם פועלים ביציבות רבה ברמת המשתמש ובו זמנית פועלים בגרעין, כלומר מוסווים. |
על מנת להגן מפני איומים חתרניים אלה, סורקי וירוסים, בין היתר, חייבים להיות בעלי הגדרות עדכניות של וירוסים.
כיצד עולה rootkit למחשב?
Rootkits תמיד זקוקים ל"רכב "בעזרתו הם יכולים להשתיל את עצמם על מחשב. ככלל, ערכת rootkit מורכבת אפוא תמיד משלושה מרכיבים, ה- rootkit עצמו, הטפטפת והמטעין. הטפטפת דומה לנגיף מחשב שמדביק את המחשב שלך. כי הטפטפת מחפשת חור אבטחה על מנת לשמור את rootkit במכשיר הרצוי. לאחר מכן נעשה שימוש במטען. הוא מתקין את rootkit במחשב הנגוע, למשל בגרעין או ברמת המשתמש אם מדובר ב- rootkit במצב משתמש.
Rootkits משתמשים באמצעי ההדפסה הבאים להורדה:
|
שָׁלִיחַ |
לדוגמה, אם אתה מקבל קישור או קובץ זדוני באמצעות מסנג'ר ואתה פותח את הקישור או הקובץ, הטפטפת יכולה למקם את rootkit במכשיר שלך. |
|
תוכנות ואפליקציות שנפרצו: |
ניתן "להבריח" Rootkits לתוכנות או אפליקציות מהימנות על ידי האקרים. הקבצים מופצים באינטרנט כהצעות חינם, למשל. ברגע שתתקין תוכניות אלה, תוכל גם להוריד את ה- rootkit למחשב שלך. |
| קובצי PDF או אופיס: | Rootkits יכולים להסתתר בקבצי Office או במסמכי PDF, אם כקובץ מצורף לדואר או הורדה. ברגע שאתה פותח את הקובץ, הטפטפת מכניסה את הקובץ למחשב שלך והמטען מתחיל להתקין ברקע. |
כיצד אוכל לזהות rootkit במחשב שלי (סורק rootkit)?
על מנת לזהות rootkits באופן אמין ולאחר מכן להסיר אותם, יש צורך בסורק rootkit, הכלול בסריקת וירוסים של תוכנות אנטי וירוס חזקות. לדוגמה, סריקות אלה יכולות לזהות חתימות rootkit נפוצות. עם חתימות אלה, המספרים בקוד מסודרים בצורה מסוימת. אבל יש גם כמה סימנים במחשב שלך שיכולים להצביע על זיהום אפשרי עם rootkit.
- התנהגות יוצאת דופן של המחשב שלך: ערכות Root מאופיינות בחוסר הבולטות שלהן. עם זאת, יכול לקרות כי המחשב שלך מתנהג בצורה שונה מהרגיל, למשל פתיחת תוכניות בכוונה או הפעלת תהליכים שלא הפעלת.
- הגדרות המערכת שלך משתנות ללא כל פעולה מצידך: אם אתה מגלה, למשל, כי המחשב שלך מאפשר בדרך כלל גישה מרחוק או פותח יציאות, ייתכן ש- rootkit הוא הגורם לכך.
- ניתוח זריקת הזיכרון: כאשר מחשב קורס, Windows יוצר תמונת זיכרון מערכת. מומחים יכולים להשתמש בקובץ זה כדי לזהות דפוסים יוצאי דופן ש- rootkit יוצר.
- חיבור האינטרנט שלך תמיד אינו יציב: Rootkits יכול, למשל, להבטיח זרימות נתונים גדולות שדרכן האקרים יכולים לגשת לנתונים. תנועות נתונים אלה יכולות להפוך את קו האינטרנט שלך לאיטי מאוד או אפילו לגרום לו לקרוס.
כיצד אוכל להגן על עצמי מ- rootkit?
ההגנה החשובה ביותר מפני rootkits היא השימוש בתוכנית עדכנית להגנה מפני וירוסים. מצויד בהגדרות הווירוסים העדכניות ביותר, הגנה בזמן אמת יכולה להזהיר אותך מפני הורדות והתקנות מסוכנות ולהשתמש בסורק וירוסים כדי לבדוק באופן קבוע אם יש מחשב rootkits במחשב שלך.
בנוסף, מומלץ לנקוט באמצעים הבאים:
- השתמש בחשבון משתמש אחד בלבד בחיי היומיום ולא בגישת מנהל: אם אתה נכנס ל- Windows או iOS עם חשבון אורח, יש לך זכויות מוגבלות בלבד. אם אתה מדביק את המחשב שלך ב- rootkit במהלך תקופה זו, הטפטפת יכולה לגשת רק לרמת משתמש זו, למשל לא לגשת ישירות לגרעין.
- עדכן את מערכת ההפעלה והתוכנה שלך באופן קבוע: היצרנים סוגרים פערי אבטחה ידועים בעזרת עדכונים שוטפים. לכן חובה שתבצע את כל העדכונים הדרושים.
- הורדת קבצים מהאינטרנט רק מאתרים בעלי מוניטין: הימנע מהורדות שעלולות להיות מסוכנות, צמצם את הסיכון להפוך לקורבן של rootkit.
- פתח רק קבצים מצורפים לדואר אלקטרוני משולחים שאתה סומך עליהם: אם אתה מקבל הודעות דואר אלקטרוני משולחים עם כתובות דואר אלקטרוני, עדיף למחוק אותם. אם קובץ מצורף לדואר אלקטרוני מכתובת מוכרת נשמע לך מוזר, עדיף לפנות שוב לשולח לפני פתיחת הקובץ המצורף לדואר האלקטרוני.
- התקן יישומי סמארטפון רק מחנויות האפליקציות הרשמיות: אם אתה מקבל אפליקציות ממקורות רשמיים, הן כבר עוברות בדיקת אבטחה. זה יקטין את הסיכון של טעינת rootkit לסמארטפון שלך.
הסר rootkit - כיצד להמשיך
אתה תמיד צריך להסיר rootkits עם תוכנת אנטי וירוס מיוחדת. מכיוון שתוכנה זדונית זו יכולה להימצא עמוק בתוך מערכת ההפעלה של המחשב שלך, הסרה ידנית בדרך כלל קשה מאוד. אם תשכח שאריות קטנות של rootkit כאשר אתה מוחק אותו, בדרך כלל הוא יתקין את עצמו מחדש בעת הפעלה מחדש.
הדרך הטובה ביותר להסיר rootkits היא להשתמש בתוכנית אנטי וירוס עדכנית הכוללת את הגדרות הנגיף העדכניות ביותר. לאחר מכן מומלץ לבצע סריקת וירוסים במצב בטוח כך ש- rootkit לא תוכל למשל לטעון נתונים מהאינטרנט. לעתים קרובות יש צורך להריץ את סריקת הווירוסים או התוכנות הזדוניות מספר פעמים בכדי לחסל לחלוטין ערכת rootkit.
מאמר זה יספק לך הוראות מפורטות כיצד למצוא ולמחוק ערכות rootkits.
ערכות שורש ידועות
ערכות Rootkits הן איומי אינטרנט ישנים מאוד. אחד מערכי השורש הראשונים הידועים הוא תוכנות זדוניות שתקפו בעיקר מערכות הפעלה של יוניקס בשנת 1990. ה- rootkit הראשון הידוע למחשבי Windows היה ה- NTR rootkit, שהיה במחזור בשנת 1999. זהו rootkit של גרעין.
בין השנים 2003-2005 אירעו התקפות גדולות שונות עם rootkits, כולל התקפה על טלפונים סלולריים שהופעלו ברשת Vodafone יוון. ערכת השורש הזו נודעה בשם "ווטרגייט היוונית" מכיוון שבין היתר הושפע ראש ממשלת יוון.
בשנת 2008 השתוללה ערכת האתחול TDL-1. פושעי סייבר השתמשו בו כדי לבנות רשת בוט גדולה בעזרת סוס טרויאני.
בשנת 2009 התגלה לראשונה rootkit שנדבק גם במערכות ההפעלה של אפל. הוא הוטבל "מקיאוולי".
בשנת 2010 השתוללה תולעת Stuxnet. בין היתר הוא השתמש ב- rootkit שאמור היה לרגל אחר תוכנית הגרעין האיראנית. חשאי כי שירותי החשאי הישראלי וארה"ב אמריקאים הם מפתחים ותוקפים.
עם LoJax התגלה rootkit בשנים 2022-2023 שמדביק לראשונה את הקושחה בלוח האם של מחשב. זה מאפשר לתוכנה הזדונית להפעיל את עצמה מחדש כאשר מערכת ההפעלה מותקנת מחדש.
מסקנה: קשה לאתר, אך בעזרת תוכנת אנטי-וירוס עדכנית וזהירות ניתן להפחית את הסיכון
מכיוון ש- rootkits מוטמעים עמוק במערכת ההפעלה של מחשב, מניעה חשובה במיוחד. לאחר התקנת rootkit, קשה לאנשים הדיוט לזהות זיהום. עם זאת, כל מי שנזהר באינטרנט עם מערכת הגנה וירוסים עדכנית והכלים המתאימים ושאינו פותח קבצים לא ידועים מקטין ברשלנות את הסיכוי ליפול קורבן ל- rootkit.
