Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:hb53863 [2026/01/11 15:29] Hrvoje Biloš [Zaštita od rootkita] |
racfor_wiki:seminari2025:hb53863 [2026/01/12 19:49] (trenutno) Hrvoje Biloš [Sažetak] |
||
|---|---|---|---|
| Redak 3: | Redak 3: | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| - | How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https:// | + | Rootkiti predstavljaju veliku opasnost u području računalne sigurnosti zbog svoje sposobnosti dugotrajne i prikrivene prisutnosti u sustavima. Rootkit je tempirana bomba zbog svoje uloge u otvarajući vrata ostalim vrstama napadima dok sama ne sudjeluje u njihovom izvršavanju, |
| - | + | ||
| - | Keywords: rootkit; forenzika; malver; | + | |
| ===== Uvod ===== | ===== Uvod ===== | ||
| Redak 55: | Redak 52: | ||
| ===== Otkrivanje rootkita ===== | ===== Otkrivanje rootkita ===== | ||
| - | TODO... | + | Otkrivanje rootkita predstavlja jedan od zahtjevnijih zadataka jer su rootkiti po svojoj funkcionalnosti antiforenzički. Za razliku od klasičnog zlonamjernog softvera, rootkiti aktivno mijenjaju ponašanje operativnog sustava kako bi lažirali rezultate sigurnosnih i forenzičkih alata. Jedna od prepreka u analizi rootkita je ograničenja forenzičaru u mogućim postupcima. Rootkit ne može aktivno kriti svoju prisutnost ako nije pokrenut, no nismo uvijek u stanju da sustav smijemo gasiti, jer može predstavljati veliki trošak klijentu da ga drži ugašenim. Forenzika nije brz proces treba kvalitetno i učinkovito istražiti sve dijelove kako bi donijeli odliku, što pridonosi vremenu kojim bi sustav trebao biti ugašen ako odlučimo tim postupkom. |
| + | ==== Detekcija temeljena na potpisima ==== | ||
| + | |||
| + | Detekcija temeljena na potpisima koristi unaprijed definirane obrasce poznatih rootkita, slično kao i klasični antivirusni alati. Ovi potpisi mogu se temeljiti na hash vrijednostima datoteka, specifičnim sekvencama instrukcija ili poznatim strukturama u memoriji. Iako je ova metoda učinkovita protiv poznatih rootkita, njezina glavna slabost je nemogućnost otkrivanja novih, prilagođenih ili modificiranih varijanti. Napadači često koriste polimorfizam i enkripciju kako bi izbjegli detekciju potpisima, čime se ova metoda čini nedovoljnom kao jedini mehanizam obrane. | ||
| + | |||
| + | ==== Provjera integriteta sustava ==== | ||
| + | |||
| + | Metode temeljene na integritetu oslanjaju se na usporedbu trenutačnog stanja sustava s poznatim ispravnim (baseline) stanjem. To uključuje provjeru kriptografskih hash vrijednosti kritičnih sistemskih datoteka, upravljačkih programa i konfiguracijskih zapisa. Ako rootkit izmijeni jezgru operativnog sustava, sistemske biblioteke ili upravljačke programe, takve promjene mogu se otkriti odstupanjem od referentnih vrijednosti. Međutim, ova metoda pretpostavlja da je referentno stanje sustava stvoreno prije kompromitacije i da se provjera provodi iz pouzdanog okruženja. Rootkiti na razini jezgre mogu presresti sistemske pozive i vratiti lažne podatke alatima za provjeru integriteta, | ||
| + | * HKLM\SYSTEM\CurrentControlSet\Services | ||
| + | * HKLM\Software\Microsoft\Windows\CurrentVersion\* | ||
| + | * HKCU\Software\Microsoft\Windows\CurrentVersion\* | ||
| + | * HKLM\Software\Microsoft\Internet Explorer\* | ||
| + | * HKCU\Software\Microsoft\Internet Explorer\* | ||
| + | * HKCR\exefile\shell\open\command | ||
| + | * HKLM\Software\Classes\exefile\shell\open\command | ||
| + | * HKLM\Software\Microsoft\ActiveSetup\InstalledComponents | ||
| + | |||
| + | ==== Cross-view analiza ==== | ||
| + | |||
| + | Cross-view analiza jedna je od najčešće korištenih tehnika za otkrivanje rootkita. Temelji se na usporedbi informacija dobivenih iz različitih izvora ili različitih razina sustava. Na primjer, popis aktivnih procesa dobiven putem standardnih API poziva operativnog sustava može se usporediti s izravnim očitavanjem memorije ili tablica jezgre. Ako se uoče razlike (npr. proces postoji u memoriji, ali nije vidljiv standardnim alatima), to može upućivati na prisutnost rootkita. Ova metoda je posebno učinkovita protiv korisničkih i rootkita na razini jezgre koji skrivaju procese, datoteke ili mrežne veze, ali postaje manje pouzdana u slučaju naprednih rootkita koji uspješno manipuliraju svim razinama prikaza podataka. | ||
| + | |||
| + | ==== Analiza ponašanja ==== | ||
| + | |||
| + | Analiza ponašanja usmjerena je na prepoznavanje neuobičajenih ili sumnjivih aktivnosti sustava koje mogu ukazivati na prisutnost rootkita. To uključuje neočekivane promjene u ponašanju sistemskih poziva, neobjašnjive mrežne veze, anomalije u vremenskim mjerenjima izvršavanja instrukcija ili nestabilnost sustava. Hipervizorski rootkiti, primjerice, mogu se otkriti analizom vremenskih razlika u izvođenju određenih procesorskih instrukcija. Iako analiza ponašanja može otkriti i nepoznate rootkite, ona često pati od velikog broja lažno pozitivnih rezultata te zahtijeva visoku razinu stručnosti analitičara za ispravnu interpretaciju podataka. | ||
| + | |||
| + | ==== Offline forenzika i analiza memorije ==== | ||
| + | |||
| + | Najpouzdaniji pristup detekciji rootkita jest analiza sustava izvan kompromitiranog okruženja. To uključuje pokretanje sustava s pouzdanog medija (npr. forenzičkog live sustava) ili analizu kloniranog diska i snimke radne memorije (memory dump). Budući da rootkit u tom slučaju nije aktivan, ne može manipulirati rezultatima analize. Analiza radne memorije posebno je važna jer mnogi rootkiti, osobito memorijski i rootkiti na razini jezgre, ostavljaju minimalne tragove na disku. Alati za memorijsku forenziku omogućuju otkrivanje skrivenih procesa, jezgrenih hookova, izmijenjenih tablica sistemskih poziva i drugih artefakata koji nisu vidljivi standardnim alatima operativnog sustava. | ||
| + | |||
| + | ==== Anti-rootkit programi/ | ||
| + | |||
| + | Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod prikazuje aplikaciju Icesword koji prijavljuje niz jezgrenih hookova. {{ : | ||
| ===== Zaštita od rootkita ===== | ===== Zaštita od rootkita ===== | ||
| Redak 86: | Redak 114: | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| - | TODO... | + | Rootkiti predstavljaju jednu od najsloženijih kategorija zlonamjernog softvera zbog svoje sposobnosti duboke integracije u operativni sustav i aktivnog prikrivanja tragova kompromitacije. Njihova prisutnost značajno otežava forenzičku analizu jer narušavaju pouzdanost standardnih alata i tehnika prikupljanja dokaza. Razina na kojoj rootkit djeluje izravno utječe na šansu otkrivanja, štetni potencijal i složenost uklanjanja. Analiza različitih vrsta rootkita pokazuje da napadači kontinuirano pomiču granice prema nižim razinama sustava, uključujući boot mehanizme, firmver i hardver, čime dodatno smanjuju mogućnost otkrivanja i povećavaju perzistentnost napada. Dok su proizvođači i akademici u utrci za naoružanjem osmišljavajući sve bolje mehanizme zaštite kritičnim dijelovima sustava. Iako postoje brojni alati i metode za detekciju rootkita, nijedna pojedinačna tehnika ne može se smatrati univerzalnim rješenjem. U praksi je nužna kombinacija više forenzičkih pristupa. Preventivne mjere, poput redovitog ažuriranja softvera, edukacije korisnika, praćenja mrežnog prometa, imaju ključnu ulogu u smanjenju vjerojatnosti uspješne infekcije. Rootkiti ostaju ozbiljna prijetnja suvremenim informacijskim sustavima, osobito u okruženjima s visokim zahtjevima za povjerljivost i integritet podataka. Razumijevanje njihovih mehanizama rada i ograničenja forenzičkih metoda ključno je za učinkovit odgovor na incidente i očuvanje digitalnih dokaza u modernim kibernetičkim napadima. |
| ===== Literatura ===== | ===== Literatura ===== | ||