Sơ lược về Rootkit

Tác Giả : Mẫn Thắng

Hằng ngày ngao du trên Internet, bạn thường phải đối mặt với nhiều rủi ro về an toàn thông tin như: dữ liệu bị đánh cắp hoặc bị phá hủy, truyền thông bị nghe lén, máy tính bị chiếm quyền điều khiển,… Một trong các mối đe dọa gây nên những rủi ro trên chính là những phần mềm rootkit.

Vậy thì rootkit là gì? rootkit làm được những gì? Biện pháp nào giúp phát hiện, ngăn chặn và tiêu diệt rootkit? Chúng ta sẽ cùng tìm ra câu trả lời qua bài viết dưới đây.

1- Rootkit là gì?

Rootkit là một tập các công cụ phần mềm được hacker cài đặt lên hệ thống mục tiêu sau khi hệ thống này bị hacker thâm nhập thành công.

Sau khi hacker đột nhập được vào hệ thống mục tiêu bằng các kỹ thuật như: khai thác các lỗ hổng, bẻ khóa mật khẩu, social engineering,… bước kế tiếp mà hacker thường làm là cài đặt một rootkit. Về cơ bản, một con rootkit là một tập các công cụ và các script nhằm tự động hóa các công việc nào đó mà hacker mong muốn. Cụ thể rootkit có thể bao gồm:

• Cài đặt backdoor để lần sau hacker truy cập vào hệ thống bị tấn công này dễ dàng hơn. Ví dụ, cho phép tài khoản nào đó có thể đăng nhập mà không cần mật khẩu hoặc leo thang đặc quyền.

• Cài đặt trojan để ghi lại thao tác gõ phím, đánh cắp mật khẩu, tạo các covert channel để lén lút tuồn thông tin mật ra ngoài,… và nhiều mục đích bất chính khác.

• Lợi dụng Mount hay Cron và một số công cụ khác trên hệ thống Linux/Unix để đoạt quyền root bằng cách sử dụng các exploit phổ biến.

• Cài đặt các công cụ quản trị từ xa (RAT) để điều khiển từ xa các hệ thống đã bị xâm nhập.

• Cài đặt các trình bắt gói tin (packet sniffer) để “chụp” lấy mật khẩu và các thông tin nhạy cảm khác được lưu chuyển trong môi trường mạng.

• Thay thế các file hệ thống (như netstat) mà có thể phát hiện sự hiện diện của rootkit.

• Dọn dẹp các file log để xóa dấu vết chứng minh sự thâm nhập của hacker trên hệ thống.

Rootkit xuất hiện lần đầu vào đầu những năm 1990 trên các nền tảng Unix và SunOS 4.x khi hacker khai thác thành công các lỗ hổng trong ứng dụng BIND và Xlib. Rootkit hoạt động trên Linux xuất hiện ngay sau đó và cuối cùng các công cụ rootkit tương tự cũng tấn công vào các hệ thống MS-DOS, Windows. Một vài rootkit chạy trên Windows như Hacker Defender, HE4K, Null.sys, Slanret,…

Bước tiến xa trong kỹ thuật viết rootkit là sự xuất hiện của các loại kernel rootkit – rootkit ẩn mình bên trong kernel của hệ điều hành. Điều này làm cho việc phát hiện rootkit trở nên khó khăn hơn các loại rootkit thông thường. Knark và Adore là 2 ví dụ của kernel rootkit nhắm tới nền tảng Linux.

2- Phòng trừ rootkit như thế nào?

Có khá nhiều công cụ miễn phí dùng để phát hiện sự có mặt của rootkit trên các hệ thống Linux/Unix và chúng làm việc với mức độ hiệu quả khác nhau.

• Tiện ích có tên Rkdet hoạt động ngầm (run in background) nhằm phát hiện các hành vi cài đặt rootkit. Nếu cố gắng cài đặt rootkit, Rkdet sẽ shutdown hệ thống, ngắt kết nối mạng, hoặc gửi email cảnh báo.

• Tripwire là 1 tool khác để trị rootkit.

• Còn Chkrootkit được dùng để kiểm tra xem hệ thống có bị tấn công bởi rootkit hay không. Hầu hết các hệ thống IDS đều xây dựng cơ sở dữ liệu nhận dạng (signature) nhằm phát hiện các loại rootkit phổ biến.

Cách thường áp dụng để khôi phục một máy tính đã bị nhiễm rootkit mà không thể “tẩy sạch” được là ngắt kết nối máy tính khỏi hệ thống mạng, làm sạch ổ cứng và thực hiện cài đặt mới hệ điều hành từ nguồn cài đặt “sạch” nhằm đảm bảo hệ thống mới cài hoàn toàn không có malware. Khôi phục hệ thống từ bản lưu trữ dự phòng là một giải pháp khác, nhanh chóng và hiệu quả hơn, nhưng trước tiên cần đảm bảo bản backup này được tạo tại thời điểm hệ thống hoạt động bình thường.