Login

Lost your password?
Don't have an account? Sign Up

รู้จัก Rootkit มัลแวร์อันตราย !!

Table of Contents

คำว่า “rootkit” (รูทคิท) สามารถเชื่อมโยงกับไวรัส หรือการโจมตีอุปกรณ์สำหรับผู้ใช้งานคอมพิวเตอร์ และโดยปกติจะเกี่ยวข้องกับ มัลแวร์ (malware)  และด้วยเหตุผลที่ดี rootkit นั้น เป็นมัลแวร์ประเภทที่อันตรายที่สุด และนอกจากนี้ยังฉลาดมาก  คุณจะไม่ทันสังเกตด้วยซ้ำ ว่ามันได้มีอยู่ในคอมพิวเตอร์ของคุณ ดังนั้นผู้คนจำนวนมากจึงไม่ทราบถึงการมีอยู่ของภัยคุกคามประเภทนี้ และยังมีการแอบติดอุปกรณ์ของพวกเขา เราจะไปค้นหาว่า rootkit คืออะไร วิธีการลบมันออกไป และคุณสามารถป้องกัน rootkit ได้หรือไม่

Rootkit คืออะไร?

คำจำกัดความของรูทคิตนั้น ประกอบด้วยคำสองคำ: “รูท” (root) และ “Putty” (พุตตี้) โดย Unix มักเรียกตัวเองว่า “root” ซึ่งหมายถึงผู้ใช้ที่มีสิทธิ์เข้าถึงระบบอย่างเต็มที่และไม่จำกัด “putty” นั้น เป็นเพียงชุดเครื่องมือ การรวมกันของคำเหล่านี้หมายถึงซอฟต์แวร์ที่เป็นอันตรายอย่างยิ่ง ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ติดไวรัสได้จากระยะไกล และถาวร ผ่านการติดตั้งเครื่องมือต่าง ๆ โดยปกติแล้วจุดประสงค์ของพวกมันก็คือการขโมยข้อมูล และผู้ใช้งานมักจะไม่รู้เลยว่าเขาสูญเสียการควบคุมอุปกรณ์ของตัวเอง – ดังนั้นจึงไม่สามารถมองข้ามภัยคุกคามที่เกิดจาก rootkit ได้

Rootkit หลีกเลี่ยงการตรวจจับ ซึ่งทำหน้าที่คล้ายกับคีย์ล็อกเกอร์ – มันจะพยายามซ่อนตัวให้ลึกที่สุดในระบบ และซ่อนตัวจากโปรแกรมป้องกันไวรัส และโปรแกรมความปลอดภัยอื่น ๆ อย่างชาญฉลาด มันมักจะทำตัวเหมือนเป็นแบ็คดอร์ เพื่อสร้าง”ประตูที่มองไม่เห็น” สำหรับอาชญากรไซเบอร์ ให้กับระบบของเหยื่อซึ่งไม่เพียงแต่ติดตั้งส่วนประกอบเพิ่มเติมในนั้น เท่านั้น ซึ่งเครื่องมือที่พบบ่อยที่สุดใน Rootkit ได้แก่ :

  • โมดูลการโจรกรรม – การสกัดกั้นรหัสผ่านรายละเอียดบัตรเครดิตข้อมูลธนาคารออนไลน์
  • บอทสำหรับการโจมตีในรูปแบบ DDoS
  • keyloggers (กลไกในการตรวจจับการกดแป้นพิมพ์);
  • ฟังก์ชันที่สามารถหลีกเลี่ยงและปิดใช้งานระบบรักษาความปลอดภัย

มัลแวร์ Rootkit ต้องได้รับการออกแบบสำหรับระบบเฉพาะ ดังนั้นสำหรับ Windows คุณสามารถแยกแยะ Rootkit ที่ใช้งานได้เช่น: Necurs, Alueron, ZeroAccess หรือ TDSS ปัจจุบัน Rootkit สามารถโจมตีระบบใดก็ได้ ไม่ว่าจะเป็น MacOS, Solaris, FreeBSD และโซลูชันอื่น ๆ ที่เป็นที่รู้จักไม่มากก็น้อย

ข้อสรุปก็คือ: ในทุกวันนี้ไม่มีระบบใดรับประกันความปลอดภัยได้ 100%

การใช้งาน rootkits

Rootkit นั้นไม่เป็นอันตราย แต่ก็ไม่เคยเกิดขึ้นเอง แพ็กเกจ rootkit มักมีโปรแกรมที่เป็นอันตรายเพิ่มเติมอยู่เสมอ งานของ rootkit คือการปิดกั้นความพยายามในการตรวจจับผู้บุกรุก ปัจจุบันรูทคิทส่วนใหญ่ใช้สำหรับการโจมตีผ่านทางอินเทอร์เน็ต แต่ยังมี Rootkit ของเครื่องมือที่ช่วยให้คุณสามารถข้ามการป้องกันการละเมิดลิขสิทธิ์ได้

Rootkits ยังเป็นโซลูชันที่ได้รับความนิยมเป็นพิเศษในหมู่นักเล่นเกมคอมพิวเตอร์ ที่สร้างดิสก์เสมือนจริงด้วยเกมเวอร์ชันละเมิดลิขสิทธิ์ โดยไม่ต้องใส่สื่อซีดีต้นฉบับลงในไดรฟ์

Rootkits สามารถถูกใช้ใน:

  • สร้าง backdoor หรือประตูที่มองไม่เห็นของระบบ ซึ่งแฮ็กเกอร์สามารถควบคุมอุปกรณ์ที่ถูกโจมตีจากระยะไกลได้ สิ่งนี้ช่วยให้คุณข้ามกลไกการตรวจสอบสิทธการอนุญาตให้เข้าถึง โดยไม่ได้รับอนุญาต เช่น การขโมยข้อมูล หรือการปลอมแปลงข้อมูล
  • มัลแวร์ ตัวอย่างเช่น มัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อน รหัสผ่าน ฯลฯ เหล่านี้คือคีย์ล็อกเกอร์ และเป็นไวรัสที่ถูกพบบ่อยมากที่สุด
  • ใช้คอมพิวเตอร์หรือเครือข่ายที่ถูกโจมตีเพื่อโจมตีอุปกรณ์อื่น ๆ เพิ่มเติมโดยข้ามคอมพิวเตอร์ของแฮ็กเกอร์ คอมพิวเตอร์ที่ถูกโจมตีมักเรียกว่า “คอมพิวเตอร์ซอมบี้” โดยหลักการแล้วอุปกรณ์ใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตนั้น ก็สามารถเปลี่ยนเป็นซอมบี้ได้ หากไม่ระมัดระวังตัว

การโจมตีประเภทนี้ส่วนใหญ่เกิดขึ้นกับกลุ่มคอมพิวเตอร์ที่ติดมัลแวร์ (Botnet) สิ่งนี้ช่วยให้ผู้ใช้จากระยะไกล และมองไม่เห็น เพื่อทำการโจมตีที่เกี่ยวข้องกับ เช่น สแปมโดยการส่งลิงก์การคลิกหลอกลวง (Phishing) หรือการโจมตี DDoS สำหรับซอมบี้รุ่นหลังนั้นเหมาะสมเป็นอย่างยิ่ง – DDoS คือการโจมตีครั้งใหญ่จากคอมพิวเตอร์หลายเครื่อง ต่อหน่วยเดียว ซึ่งขัดขวางการทำงานที่เหมาะสม โดยแย่งทรัพยากรว่างทั้งหมด (หน่วยความจำเวลาตัวประมวลผล) ของคอมพิวเตอร์ที่ถูกโจมตี

ประเภทของไฟล์ rootkits มีอะไรบ้าง?

Rootkits นั้นมีหลายประเภท แต่เพื่อให้เข้าใจได้ดีคุณต้องพิจารณาสิ่งที่เรียกว่า protection rings พูดง่าย ๆ ก็คืออธิบายระดับสิทธิ์ของสถาปัตยกรรมระบบปฏิบัติการ ระดับประกอบด้วย 4 วงกลม ระดับที่เล็กที่สุดหรือต่ำสุด แต่มีสิทธิ์มากที่สุดคือวงแหวน “0” ซึ่งมีเคอร์เนลของระบบที่ควบคุมคอมพิวเตอร์ทั้งหมด ด้านบนคือวงแหวน “1” ตามด้วยวงแหวน “2” – ในนั้นจะมีไดรเวอร์ทั้งหมดเช่น จากการ์ดแสดงผล

ระดับสูงสุดสุดท้ายที่มีสิทธิ์ต่ำสุดคือวงแหวน “3” ซึ่งรวมถึงแอปพลิเคชันที่คุณใช้เช่น Microsoft Office, CorelDraw และ Photoshop เป็นที่น่าสังเกตว่าวงแหวน “0” ยังควบคุมการต่อต้านไวรัสที่อยู่ในระดับสูงสุด “3” ซึ่งมักจะไม่ถึงระดับ “1” ด้วยซ้ำ

Rootkits สามารถเล็งไปที่ระดับใดก็ได้ แต่สิ่งที่ยากที่สุดในการตรวจจับจะมุ่งเป้าไปที่เคอร์เนลของระบบ นอกจากนี้ยังมีรูทคิทแบบไฮบริด – นั่นคือรูทคิทที่ตีพร้อมกันตัวอย่างเช่นระดับผู้ใช้และระดับเคอร์เนลของระบบ

ก่อนที่คุณจะไปถึงระดับใดระดับหนึ่งคุณต้องใส่ใจกับ Persistent Rootkits และ Memory-Based Rootkits:

 

  • “Intrusive” คือ Rootkit ที่มีชื่อที่โดดเด่น เนื่องจากมีการเรียกใช้ทุกครั้งที่ระบบปฏิบัติการ เริ่มทำงานโดยปกติจะถูกจัดเก็บเป็นรหัส และโปรแกรมบนดิสก์ หรือรีจิสตรีจะทำงานในพื้นหลัง และไม่ปรากฏในรายการกระบวนการ และบริการของ ระบบนี่คือ Rootkit ประเภทที่พบมากที่สุด เนื่องจากไม่ต้องใช้รหัสพิเศษ และง่ายต่อการแจกจ่าย
  • Rootkit ในหน่วยความจำ สามารถทำงานในแคชของคอมพิวเตอร์ของคุณ เพื่อใช้แล้วทิ้ง – โดยการเปิดใช้งานเพียงครั้งเดียว และหายไปเมื่อระบบเริ่มต้นใหม่ นั่นเป็นสาเหตุที่ตรวจจับได้ยากกว่ามาก

ที่มา www.bitdefender.co.th

สามารถติดตามเราได้ตาม Social Media ต่าง ๆ เพื่อรับข้อมูลข่าวสารและเทคนิคคอมพิวเตอร์ดี ๆ จาก KODEFIX ได้ที่

Line : @kodefixth

Facebook Page : KODEFIXThailand

Blockdit : www.blockdit.com/kodefix

Blogger : kodefix.blogspot.com

Website : kodefix.com