Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:hb53863 [2026/01/08 16:07]
Hrvoje Biloš Prijenos teksta s lokalnog uređivača na wiki stranicu 		racfor_wiki:seminari2025:hb53863 [2026/01/12 19:49] (trenutno)
Hrvoje Biloš [Sažetak]
Redak 3: Redak 3:
 ===== Sažetak ===== ===== Sažetak =====
  
-How do you write an abstract? Identify your purposeYou're writing about a correlation between lack of lunches in schools and poor grades… Explain the problem at hand. Abstracts state the “problem” behind your work… Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words. Napomena: sadržaj na vrhu stranice generira se automatski na temelju naslova dokumentu. +Rootkiti predstavljaju veliku opasnost u području računalne sigurnosti zbog svoje sposobnosti dugotrajne i prikrivene prisutnosti u sustavimaRootkit je tempirana bomba zbog svoje uloge u otvarajući vrata ostalim vrstama napadima dok sama ne sudjeluje u njihovom izvršavanju, ostavljajući na upit jeli uopće nanijela štetu ili čeka okidačU kontekstu računalne forenzike, stvaraju poseban izazov jer aktivno ometaju prikupljanju i analizi digitalnih dokaza, čime se ugrožava integritet forenzičkog postupkaOvaj rad pruža pregled temeljnih koncepata vezanih uz rootkite, uključujući njihovu definiciju, svrhu i klasifikaciju, te način kako se može otkriti, ukloniti i obraniti od njih. Na kraju su prikazani primjeri stvarnih napada koji ilustriraju praktičnu primjenu rootkita suvremenim kibernetičkim prijetnjama. Cilj rada je pružiti razumijevanje problema rootkita i njihove forenzičke analize te naglasiti važnost preventivnih mjera i pravilnog odgovora na incidente.
- +
-Keywords: rootkit; forenzika; malver; +
 ===== Uvod ===== ===== Uvod =====
  
Redak 55: Redak 52:
 ===== Otkrivanje rootkita ===== ===== Otkrivanje rootkita =====
  
-TODO...+Otkrivanje rootkita predstavlja jedan od zahtjevnijih zadataka jer su rootkiti po svojoj funkcionalnosti antiforenzičkiZa razliku od klasičnog zlonamjernog softvera, rootkiti aktivno mijenjaju ponašanje operativnog sustava kako bi lažirali rezultate sigurnosnih i forenzičkih alataJedna od prepreka u analizi rootkita je ograničenja forenzičaru u mogućim postupcima. Rootkit ne može aktivno kriti svoju prisutnost ako nije pokrenut, no nismo uvijek u stanju da sustav smijemo gasiti, jer može predstavljati veliki trošak klijentu da ga drži ugašenim. Forenzika nije brz proces treba kvalitetno i učinkovito istražiti sve dijelove kako bi donijeli odliku, što pridonosi vremenu kojim bi sustav trebao biti ugašen ako odlučimo tim postupkom.  Unatoč napretku forenzičkih alata i tehnika, ne postoji univerzalna metoda koja može pouzdano otkriti sve vrste rootkita. Napredni firmver i hardverski rootkiti mogu u potpunosti zaobići operativni sustav i ostati nevidljivi čak i tijekom offline analize. Zbog toga se u praksi preporučuje kombinacija više metoda detekcije te pretpostavka kompromitacije u slučajevima visoke razine rizika. U forenzičkom kontekstu, cilj detekcije rootkita nije samo njihovo pronalaženje, već i očuvanje integriteta dokaza, razumijevanje mehanizama skrivanja te procjena opsega kompromitacije sustava. Metode detekcije rootkita mogu se podijeliti u nekoliko osnovnih kategorija: detekcija temeljena na potpisima, detekcija temeljena na integritetu, usporedna (cross-view) analiza, analiza ponašanja te analiza izvan zaraženog sustava (offline i memory forenzika).
  
 +==== Detekcija temeljena na potpisima ====
 +
 +Detekcija temeljena na potpisima koristi unaprijed definirane obrasce poznatih rootkita, slično kao i klasični antivirusni alati. Ovi potpisi mogu se temeljiti na hash vrijednostima datoteka, specifičnim sekvencama instrukcija ili poznatim strukturama u memoriji. Iako je ova metoda učinkovita protiv poznatih rootkita, njezina glavna slabost je nemogućnost otkrivanja novih, prilagođenih ili modificiranih varijanti. Napadači često koriste polimorfizam i enkripciju kako bi izbjegli detekciju potpisima, čime se ova metoda čini nedovoljnom kao jedini mehanizam obrane.
 +
 +==== Provjera integriteta sustava ====
 +
 +Metode temeljene na integritetu oslanjaju se na usporedbu trenutačnog stanja sustava s poznatim ispravnim (baseline) stanjem. To uključuje provjeru kriptografskih hash vrijednosti kritičnih sistemskih datoteka, upravljačkih programa i konfiguracijskih zapisa. Ako rootkit izmijeni jezgru operativnog sustava, sistemske biblioteke ili upravljačke programe, takve promjene mogu se otkriti odstupanjem od referentnih vrijednosti. Međutim, ova metoda pretpostavlja da je referentno stanje sustava stvoreno prije kompromitacije i da se provjera provodi iz pouzdanog okruženja. Rootkiti na razini jezgre mogu presresti sistemske pozive i vratiti lažne podatke alatima za provjeru integriteta, čime se dodatno otežava njihova detekcija. Imajte na umu da se registar često mijenja, a privremene datoteke se redovito stvaraju i brišu u odgovarajućim mapama. Autori rootkita su toga svjesni i mogu pokušati oponašati ove normalne obrasce skrivanjem rootkita u /tmp ili .tmp datoteci. Potražite promjene u svim kritičnim direktorijima operativnog sustava i usporedite ih sa zapisnicima kako biste utvrdili jesu li to bile ovlaštene promjene. Posebnu pozornost treba posvetiti i unosima u registar koji bi se mogli koristiti za učitavanje rootkita u memoriju, neki primjeri bi bili:
 +  * HKLM\SYSTEM\CurrentControlSet\Services
 +  * HKLM\Software\Microsoft\Windows\CurrentVersion\*
 +  * HKCU\Software\Microsoft\Windows\CurrentVersion\*
 +  * HKLM\Software\Microsoft\Internet Explorer\*
 +  * HKCU\Software\Microsoft\Internet Explorer\*
 +  * HKCR\exefile\shell\open\command
 +  * HKLM\Software\Classes\exefile\shell\open\command
 +  * HKLM\Software\Microsoft\ActiveSetup\InstalledComponents
 +
 +==== Cross-view analiza ====
 +
 +Cross-view analiza jedna je od najčešće korištenih tehnika za otkrivanje rootkita. Temelji se na usporedbi informacija dobivenih iz različitih izvora ili različitih razina sustava. Na primjer, popis aktivnih procesa dobiven putem standardnih API poziva operativnog sustava može se usporediti s izravnim očitavanjem memorije ili tablica jezgre. Ako se uoče razlike (npr. proces postoji u memoriji, ali nije vidljiv standardnim alatima), to može upućivati na prisutnost rootkita. Ova metoda je posebno učinkovita protiv korisničkih i rootkita na razini jezgre koji skrivaju procese, datoteke ili mrežne veze, ali postaje manje pouzdana u slučaju naprednih rootkita koji uspješno manipuliraju svim razinama prikaza podataka.
 +
 +==== Analiza ponašanja ====
 +
 +Analiza ponašanja usmjerena je na prepoznavanje neuobičajenih ili sumnjivih aktivnosti sustava koje mogu ukazivati na prisutnost rootkita. To uključuje neočekivane promjene u ponašanju sistemskih poziva, neobjašnjive mrežne veze, anomalije u vremenskim mjerenjima izvršavanja instrukcija ili nestabilnost sustava. Hipervizorski rootkiti, primjerice, mogu se otkriti analizom vremenskih razlika u izvođenju određenih procesorskih instrukcija. Iako analiza ponašanja može otkriti i nepoznate rootkite, ona često pati od velikog broja lažno pozitivnih rezultata te zahtijeva visoku razinu stručnosti analitičara za ispravnu interpretaciju podataka.
 +
 +==== Offline forenzika i analiza memorije ====
 +
 +Najpouzdaniji pristup detekciji rootkita jest analiza sustava izvan kompromitiranog okruženja. To uključuje pokretanje sustava s pouzdanog medija (npr. forenzičkog live sustava) ili analizu kloniranog diska i snimke radne memorije (memory dump). Budući da rootkit u tom slučaju nije aktivan, ne može manipulirati rezultatima analize. Analiza radne memorije posebno je važna jer mnogi rootkiti, osobito memorijski i rootkiti na razini jezgre, ostavljaju minimalne tragove na disku. Alati za memorijsku forenziku omogućuju otkrivanje skrivenih procesa, jezgrenih hookova, izmijenjenih tablica sistemskih poziva i drugih artefakata koji nisu vidljivi standardnim alatima operativnog sustava.
 +
 +==== Anti-rootkit programi/alati ====
 +
 +Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod  legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod prikazuje aplikaciju Icesword koji prijavljuje niz jezgrenih hookova. {{ :racfor_wiki:seminari2025:rootkit-icesword.png?direct&600 |    Primjer skeniranja hookova koristeći Icesword }} Zlonamjerni kod ubrizgan je u ntoskrnl.exe jezgre operativnog sustava Windows koji je hooko SSDT API za NtOpenProcess, NtTerminateThread, NtCreateThread, NtCreateProcessEx, NtTerminateProcess i NtOpenThread. Ovaj rootkit može pratiti i kontrolirati svaki pokušaj pokretanja novog procesa ili ubijanja postojećeg. 
 ===== Zaštita od rootkita ===== ===== Zaštita od rootkita =====
  
-Rootkit može biti izuzetno teško ukloniti, ali se može spriječiti zaraza računala na isti način kao i s drugim oblicima zlonamjernog softvera. Opasniji rootkiti zahtijevaju napadaču fizički pristup uređaju što za obične korisnike se rijetko događa, dok firme mogu se služiti van softverskim metodama kao ograničen pristup bitnoj infrastrukturi (npr server) ili koristeći hardverskog rootkita za nadzor prometa i aktivnosti na poslovnim uređajima. Među ostalog ispod su navedeni osnovni koraci koji mogu pomoći u sprječavanju zaraze.+Rootkit može biti izuzetno teško ukloniti, ali se može spriječiti zaraza računala na isti način kao i s drugim oblicima zlonamjernog softvera. Opasniji rootkiti zahtijevaju napadaču fizički pristup uređaju što za obične korisnike se rijetko događa, dok firme mogu se služiti van softverskim metodama kao ograničen pristup bitnoj infrastrukturi (npr server) ili koristeći hardverskog rootkita za nadzor prometa i aktivnosti na poslovnim uređajima. Među ostalog ispod su navedeni osnovni koraci koji mogu pomoći u sprječavanju zaraze:
   * Svijest o phishingu: Phishing napadi jedna su od najčešćih metoda zaraze računala zlonamjernim softverom. Napadač šalje neželjenu poštu na popis e-mail adresa s porukama koje se čine legitimnima, ali sadrže zlonamjerne priloge ili poveznice koje mogu koristiti za infiltraciju u korisnikovo računalo. Stoga je ključno da krajnji korisnici budu svjesni uobičajenih taktika phishing napada, uvijek provjeravaju e-mail adresu pošiljatelja i nikada ne slijede poveznice izravno iz e-mail poruka.   * Svijest o phishingu: Phishing napadi jedna su od najčešćih metoda zaraze računala zlonamjernim softverom. Napadač šalje neželjenu poštu na popis e-mail adresa s porukama koje se čine legitimnima, ali sadrže zlonamjerne priloge ili poveznice koje mogu koristiti za infiltraciju u korisnikovo računalo. Stoga je ključno da krajnji korisnici budu svjesni uobičajenih taktika phishing napada, uvijek provjeravaju e-mail adresu pošiljatelja i nikada ne slijede poveznice izravno iz e-mail poruka.
   * Ažuriranja softvera: Softver koji je zastario ili je došao do kraja svog životnog vijeka te ih izdavač više ne podržava čine program ili sustav ranjivijim na napade nepopravljeni ili novootkrivenim ranjivostima.   * Ažuriranja softvera: Softver koji je zastario ili je došao do kraja svog životnog vijeka te ih izdavač više ne podržava čine program ili sustav ranjivijim na napade nepopravljeni ili novootkrivenim ranjivostima.
   * Koristite antivirusna rješenja: Sam antivirusni softver nije čvrsta obrana od napada. Međutim, antivirusni sustavi kao dio sveobuhvatnog sigurnosnog rješenja dio su borbe protiv zlonamjernog softvera i pomažu korisnicima u otkrivanju prisutnosti rootkitova.   * Koristite antivirusna rješenja: Sam antivirusni softver nije čvrsta obrana od napada. Međutim, antivirusni sustavi kao dio sveobuhvatnog sigurnosnog rješenja dio su borbe protiv zlonamjernog softvera i pomažu korisnicima u otkrivanju prisutnosti rootkitova.
   * Skeniranje i filtriranje mrežnog prometa: Uz antivirusne sustave, koristite softver za filtriranje prometa, praćenje i skeniranje prometa koji ulazi i izlazi iz mreža u svakom trenutku. Ovaj softver skenira dolazni i odlazni promet kako bi otkrio zlonamjerni softver prije nego što se može infiltrirati u računala.   * Skeniranje i filtriranje mrežnog prometa: Uz antivirusne sustave, koristite softver za filtriranje prometa, praćenje i skeniranje prometa koji ulazi i izlazi iz mreža u svakom trenutku. Ovaj softver skenira dolazni i odlazni promet kako bi otkrio zlonamjerni softver prije nego što se može infiltrirati u računala.
-Na kraju najbolja obrana protiv malvera jest zdrav razumne otvarati, skidati sumnjive stvari, ne vjerovati porukama koje tvrde da imaš dugove za nešto što ne koristišu najgorem slučaju imati sigurnosnu kopiju najbitnijih stvari itd.+  * Upaliti sigurno pokretanje (secure boot): Sigurnosna mana koju iskorištavaju MBR rootkiti jest ta da ako mogu dobiti izravan pristup hardveru prilikom pokretanjasve buduće provjere softvera postaju besmislene. UEFI uključuje sigurnosnu kontrolu za uklanjanje ove prijetnje u samom hardveru koja se naziva sigurno pokretanje. Sigurno pokretanje zahtjeva kriptografske potpise na svim kodovima učitanim prilikom pokretanja. Potpisi stvaraju lanac povjerenja od programera softvera do tijela za certificiranje koje certificira softver kao pouzdan. Bilo kakve neovlaštene izmjene potpisanog bootloadera uzrokovat će neuspjeh provjere integriteta i spriječiti pokretanje sustava. Iako ovo nije pouzdano, pruža visok stupanj zaštite od rootkita i drugog zlonamjernog softvera koji može pokušati modificirati bootloader ili ključne komponente pokretanjatj. NTLDR, bootmgr, winload.exe, winresume.exe ili kdcom.dll. UEFI postaje sve uobičajeniji i široko ga podržavaju proizvođači hardvera i većina modernih operativnih sustava.
  
 ===== Uklanjanje rootkita ===== ===== Uklanjanje rootkita =====
Redak 86: Redak 114:
 ===== Zaključak ===== ===== Zaključak =====
  
-TODO... +Rootkiti predstavljaju jednu od najsloženijih kategorija zlonamjernog softvera zbog svoje sposobnosti duboke integracije u operativni sustav i aktivnog prikrivanja tragova kompromitacijeNjihova prisutnost značajno otežava forenzičku analizu jer narušavaju pouzdanost standardnih alata i tehnika prikupljanja dokazaRazina na kojoj rootkit djeluje izravno utječe na šansu otkrivanja, štetni potencijal i složenost uklanjanja. Analiza različitih vrsta rootkita pokazuje da napadači kontinuirano pomiču granice prema nižim razinama sustava, uključujući boot mehanizme, firmver i hardver, čime dodatno smanjuju mogućnost otkrivanja i povećavaju perzistentnost napada. Dok su proizvođači i akademici u utrci za naoružanjem osmišljavajući sve bolje mehanizme zaštite kritičnim dijelovima sustava. Iako postoje brojni alati i metode za detekciju rootkita, nijedna pojedinačna tehnika ne može se smatrati univerzalnim rješenjem. U praksi je nužna kombinacija više forenzičkih pristupa. Preventivne mjere, poput redovitog ažuriranja softvera, edukacije korisnika, praćenja mrežnog prometa, imaju ključnu ulogu u smanjenju vjerojatnosti uspješne infekcije. Rootkiti ostaju ozbiljna prijetnja suvremenim informacijskim sustavima, osobito u okruženjima s visokim zahtjevima za povjerljivost i integritet podataka. Razumijevanje njihovih mehanizama rada i ograničenja forenzičkih metoda ključno je za učinkovit odgovor na incidente i očuvanje digitalnih dokaza u modernim kibernetičkim napadima.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/seminari2025/hb53863.1767888445.txt.gz · Zadnja izmjena: 2026/01/08 16:07 od Hrvoje Biloš
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0