Что такое rootkits, и как с ними бороться

Сергей Яремчук

На новый сервер установлен Linux последнего выпуска, убраны все лишние сервисы, firewall настроен так, что завидуют друзья. Теперь можно сидеть почитывать художественную литературу и попивать кофе. А вот и нет. Так может думать админ, который ни разу не пробовал свои силы во взломе своих систем.

К сожалению, находясь на курсах, заметил странную закономерность. Некоторые из присутствующих вслепую доверяли firewall, основываясь, как правило, на очень простом предположении, что если он отсеивает ненужную часть трафика, то взломщику просто нет путей для проникновения на компьютер. Да, действительно, firewall, действуя по классической схеме «свой-чужой», отсекает неугодные администратору пакеты. Но если, например, открыт 80 порт для доступа к веб-серверу, то и пакеты, направленные на такой порт, беспрепятственно пройдут через него и, естественно, следуя законам Мерфи, обязательно найдется уязвимость в таком «легальном» сервисе, не говоря уже, что сам firewall может стать объектом атаки. Дальше, как говорится, все это уже дело времени.

Чтобы иметь возможность и далее возвращаться во взломаную систему, при этом, чтобы сисадмин не мог их увидеть, а система их действия не регистрировала, нападающий устанавливает современный вариант троянского коня, набор утилит – rootkits. Обычно в этот набор входит sniffer, при помощи которого прослушивается сеть для возможного перехвата ценной информации (пароля, например), модифицированный набор основных системных программ (ps, ls, who, find, netstat, ifconfig ...), скрипты для чистки логов. Для дистанционного управления запускается нелегальный демон удаленного доступа, открывающий сетевой порт, который «не замечают» модифицированные утилиты. При этом, чтобы сохранить максимальное приближение к оригинальному файлу, трояненные утилиты имитируют ту же дату создания файла и размер.

Небольшая история развития rootkits

В начале 80-х все было скучно до безобразия. Команда last показывала, кто и когда хулиганил в системе, команды ls и ps выдавали новые файлы и неизвестные процессы, netstat сообщала текущие сетевые подключения и порты, на которых слушались входящие подключения, команда ifconfig сообщала администратору, если интерфейс локальной сети на основе протокола ethernet был установлен в «неопределенный» (PROMISCIOUS) режим, означающий работу программы-сниффера, следы его пребывания можно было также отыскать в /var/log/messages. Естественно, такое положение дел не устраивало взломщиков, и были придуманы методы, позволяющие скрыть их действия. Описание этих методов появились в некоторых электронных и печатных журналах, таких, как 2600 (http://www.2600.com/phrack) или Phrack (http://www.phrack.org). Например, статья «Hiding Out Under Unix» Black Tie Affair (25 номер, файл р25-06) описывает возможность, и приводится исходный код, позволяющий путем модификации файла /etc/wtmp скрыть свое пребывание в системе. И понеслось, через некоторое время появились программы, «умеющие» модифицировать свой timestamp и подгонять размер под требуемый. Теперь такие программы, содержащие троян, отличить от оригинальных очень было затруднительно, и сисадмин считал, что работает на чистой системе. Эти программы были объединены в единый комплект утилит, названный «Root Kits», исходно разработанные Lord Somer, сегодня находятся уже в шестой версии с несколькими вариантами. Версия 3 – Linux Root Kit 3 (lrk3) от декабря 1996 года содержала обычные методы перехвата паролей и сокрытия действий. Администратор, зная входящие в комплект файлы, мог вычислить зараженные путем просмотра в текстовом редакторе, сравнивая строки в файлах, кроме того, команда find могла сообщить обо всех измененных за 24 часа файлах. Следующая версия lrk4, выпущенная в ноябре 1998 года, получила еще несколько измененных программ (pidof, killall, find, top, crontab ...), позволяющих взять систему под больший контроль. Чтобы администратор системы не заметил изменений, они были защищены паролем (по умолчанию satori), который можно было заменить при компиляции. Но у rootkits такого класса есть один существенный недостаток, а именно они изменяют файлы на диске и поэтому могут быть обнаружены при сравнении контрольных сумм. Так что при ее контроле такой rootkit выявить труда не составляло. Но прогресс на месте не стоял, и был разработан новый класс rootkit, способных поражать ядро, использующих модули ядра (Linux Kernel Module – LKM). Номер 50 (от апреля 1997 года) журнала Phrack содержал краткую, но очень поучительную статью «Abuse of the Linux Kernel for Fun and Profit» (p50-05), после которой уже нельзя было полностью доверять своему ядру. Принцип работы такого rootkit прост.