รู้จัก Rootkit มัลแวร์อันตราย !!
Table of Contents
คำว่า “rootkit” (รูทคิท) สามารถเชื่อมโยงกับไวรัส หรือการโจมตีอุปกรณ์สำหรับผู้ใช้งานคอมพิวเตอร์ และโดยปกติจะเกี่ยวข้องกับ มัลแวร์ (malware) และด้วยเหตุผลที่ดี rootkit นั้น เป็นมัลแวร์ประเภทที่อันตรายที่สุด และนอกจากนี้ยังฉลาดมาก คุณจะไม่ทันสังเกตด้วยซ้ำ ว่ามันได้มีอยู่ในคอมพิวเตอร์ของคุณ ดังนั้นผู้คนจำนวนมากจึงไม่ทราบถึงการมีอยู่ของภัยคุกคามประเภทนี้ และยังมีการแอบติดอุปกรณ์ของพวกเขา เราจะไปค้นหาว่า rootkit คืออะไร วิธีการลบมันออกไป และคุณสามารถป้องกัน rootkit ได้หรือไม่
Rootkit คืออะไร?
คำจำกัดความของรูทคิตนั้น ประกอบด้วยคำสองคำ: “รูท” (root) และ “Putty” (พุตตี้) โดย Unix มักเรียกตัวเองว่า “root” ซึ่งหมายถึงผู้ใช้ที่มีสิทธิ์เข้าถึงระบบอย่างเต็มที่และไม่จำกัด “putty” นั้น เป็นเพียงชุดเครื่องมือ การรวมกันของคำเหล่านี้หมายถึงซอฟต์แวร์ที่เป็นอันตรายอย่างยิ่ง ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ติดไวรัสได้จากระยะไกล และถาวร ผ่านการติดตั้งเครื่องมือต่าง ๆ โดยปกติแล้วจุดประสงค์ของพวกมันก็คือการขโมยข้อมูล และผู้ใช้งานมักจะไม่รู้เลยว่าเขาสูญเสียการควบคุมอุปกรณ์ของตัวเอง – ดังนั้นจึงไม่สามารถมองข้ามภัยคุกคามที่เกิดจาก rootkit ได้
Rootkit หลีกเลี่ยงการตรวจจับ ซึ่งทำหน้าที่คล้ายกับคีย์ล็อกเกอร์ – มันจะพยายามซ่อนตัวให้ลึกที่สุดในระบบ และซ่อนตัวจากโปรแกรมป้องกันไวรัส และโปรแกรมความปลอดภัยอื่น ๆ อย่างชาญฉลาด มันมักจะทำตัวเหมือนเป็นแบ็คดอร์ เพื่อสร้าง”ประตูที่มองไม่เห็น” สำหรับอาชญากรไซเบอร์ ให้กับระบบของเหยื่อซึ่งไม่เพียงแต่ติดตั้งส่วนประกอบเพิ่มเติมในนั้น เท่านั้น ซึ่งเครื่องมือที่พบบ่อยที่สุดใน Rootkit ได้แก่ :
- โมดูลการโจรกรรม – การสกัดกั้นรหัสผ่านรายละเอียดบัตรเครดิตข้อมูลธนาคารออนไลน์
- บอทสำหรับการโจมตีในรูปแบบ DDoS
- keyloggers (กลไกในการตรวจจับการกดแป้นพิมพ์);
- ฟังก์ชันที่สามารถหลีกเลี่ยงและปิดใช้งานระบบรักษาความปลอดภัย
มัลแวร์ Rootkit ต้องได้รับการออกแบบสำหรับระบบเฉพาะ ดังนั้นสำหรับ Windows คุณสามารถแยกแยะ Rootkit ที่ใช้งานได้เช่น: Necurs, Alueron, ZeroAccess หรือ TDSS ปัจจุบัน Rootkit สามารถโจมตีระบบใดก็ได้ ไม่ว่าจะเป็น MacOS, Solaris, FreeBSD และโซลูชันอื่น ๆ ที่เป็นที่รู้จักไม่มากก็น้อย
ข้อสรุปก็คือ: ในทุกวันนี้ไม่มีระบบใดรับประกันความปลอดภัยได้ 100%
การใช้งาน rootkits
Rootkit นั้นไม่เป็นอันตราย แต่ก็ไม่เคยเกิดขึ้นเอง แพ็กเกจ rootkit มักมีโปรแกรมที่เป็นอันตรายเพิ่มเติมอยู่เสมอ งานของ rootkit คือการปิดกั้นความพยายามในการตรวจจับผู้บุกรุก ปัจจุบันรูทคิทส่วนใหญ่ใช้สำหรับการโจมตีผ่านทางอินเทอร์เน็ต แต่ยังมี Rootkit ของเครื่องมือที่ช่วยให้คุณสามารถข้ามการป้องกันการละเมิดลิขสิทธิ์ได้
Rootkits ยังเป็นโซลูชันที่ได้รับความนิยมเป็นพิเศษในหมู่นักเล่นเกมคอมพิวเตอร์ ที่สร้างดิสก์เสมือนจริงด้วยเกมเวอร์ชันละเมิดลิขสิทธิ์ โดยไม่ต้องใส่สื่อซีดีต้นฉบับลงในไดรฟ์
Rootkits สามารถถูกใช้ใน:
- สร้าง backdoor หรือประตูที่มองไม่เห็นของระบบ ซึ่งแฮ็กเกอร์สามารถควบคุมอุปกรณ์ที่ถูกโจมตีจากระยะไกลได้ สิ่งนี้ช่วยให้คุณข้ามกลไกการตรวจสอบสิทธการอนุญาตให้เข้าถึง โดยไม่ได้รับอนุญาต เช่น การขโมยข้อมูล หรือการปลอมแปลงข้อมูล
- มัลแวร์ ตัวอย่างเช่น มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อน รหัสผ่าน ฯลฯ เหล่านี้คือคีย์ล็อกเกอร์ และเป็นไวรัสที่ถูกพบบ่อยมากที่สุด
- ใช้คอมพิวเตอร์หรือเครือข่ายที่ถูกโจมตีเพื่อโจมตีอุปกรณ์อื่น ๆ เพิ่มเติมโดยข้ามคอมพิวเตอร์ของแฮ็กเกอร์ คอมพิวเตอร์ที่ถูกโจมตีมักเรียกว่า “คอมพิวเตอร์ซอมบี้” โดยหลักการแล้วอุปกรณ์ใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตนั้น ก็สามารถเปลี่ยนเป็นซอมบี้ได้ หากไม่ระมัดระวังตัว
การโจมตีประเภทนี้ส่วนใหญ่เกิดขึ้นกับกลุ่มคอมพิวเตอร์ที่ติดมัลแวร์ (Botnet) สิ่งนี้ช่วยให้ผู้ใช้จากระยะไกล และมองไม่เห็น เพื่อทำการโจมตีที่เกี่ยวข้องกับ เช่น สแปมโดยการส่งลิงก์การคลิกหลอกลวง (Phishing) หรือการโจมตี DDoS สำหรับซอมบี้รุ่นหลังนั้นเหมาะสมเป็นอย่างยิ่ง – DDoS คือการโจมตีครั้งใหญ่จากคอมพิวเตอร์หลายเครื่อง ต่อหน่วยเดียว ซึ่งขัดขวางการทำงานที่เหมาะสม โดยแย่งทรัพยากรว่างทั้งหมด (หน่วยความจำเวลาตัวประมวลผล) ของคอมพิวเตอร์ที่ถูกโจมตี
ประเภทของไฟล์ rootkits มีอะไรบ้าง?
Rootkits นั้นมีหลายประเภท แต่เพื่อให้เข้าใจได้ดีคุณต้องพิจารณาสิ่งที่เรียกว่า protection rings พูดง่าย ๆ ก็คืออธิบายระดับสิทธิ์ของสถาปัตยกรรมระบบปฏิบัติการ ระดับประกอบด้วย 4 วงกลม ระดับที่เล็กที่สุดหรือต่ำสุด แต่มีสิทธิ์มากที่สุดคือวงแหวน “0” ซึ่งมีเคอร์เนลของระบบที่ควบคุมคอมพิวเตอร์ทั้งหมด ด้านบนคือวงแหวน “1” ตามด้วยวงแหวน “2” – ในนั้นจะมีไดรเวอร์ทั้งหมดเช่น จากการ์ดแสดงผล
ระดับสูงสุดสุดท้ายที่มีสิทธิ์ต่ำสุดคือวงแหวน “3” ซึ่งรวมถึงแอปพลิเคชันที่คุณใช้เช่น Microsoft Office, CorelDraw และ Photoshop เป็นที่น่าสังเกตว่าวงแหวน “0” ยังควบคุมการต่อต้านไวรัสที่อยู่ในระดับสูงสุด “3” ซึ่งมักจะไม่ถึงระดับ “1” ด้วยซ้ำ
Rootkits สามารถเล็งไปที่ระดับใดก็ได้ แต่สิ่งที่ยากที่สุดในการตรวจจับจะมุ่งเป้าไปที่เคอร์เนลของระบบ นอกจากนี้ยังมีรูทคิทแบบไฮบริด – นั่นคือรูทคิทที่ตีพร้อมกันตัวอย่างเช่นระดับผู้ใช้และระดับเคอร์เนลของระบบ
ก่อนที่คุณจะไปถึงระดับใดระดับหนึ่งคุณต้องใส่ใจกับ Persistent Rootkits และ Memory-Based Rootkits:
- “Intrusive” คือ Rootkit ที่มีชื่อที่โดดเด่น เนื่องจากมีการเรียกใช้ทุกครั้งที่ระบบปฏิบัติการ เริ่มทำงานโดยปกติจะถูกจัดเก็บเป็นรหัส และโปรแกรมบนดิสก์ หรือรีจิสตรีจะทำงานในพื้นหลัง และไม่ปรากฏในรายการกระบวนการ และบริการของ ระบบนี่คือ Rootkit ประเภทที่พบมากที่สุด เนื่องจากไม่ต้องใช้รหัสพิเศษ และง่ายต่อการแจกจ่าย
- Rootkit ในหน่วยความจำ สามารถทำงานในแคชของคอมพิวเตอร์ของคุณ เพื่อใช้แล้วทิ้ง – โดยการเปิดใช้งานเพียงครั้งเดียว และหายไปเมื่อระบบเริ่มต้นใหม่ นั่นเป็นสาเหตุที่ตรวจจับได้ยากกว่ามาก
ที่มา www.bitdefender.co.th
สามารถติดตามเราได้ตาม Social Media ต่าง ๆ เพื่อรับข้อมูลข่าวสารและเทคนิคคอมพิวเตอร์ดี ๆ จาก KODEFIX ได้ที่
Facebook Page : KODEFIXThailand
Blockdit : www.blockdit.com/kodefix
Blogger : kodefix.blogspot.com
Website : kodefix.com
