ΚΕΦΑΛΑΙΟ 1. ΕΙΣΑΓΩΓΗ

Transcript

1 1 Εισαγωγή 1.1 Γενικά Οι εισβολείς και οι κακόβουλοι χρήστες είναι διαχρονικά μια συχνή και σημαντική απειλή στην ασφάλεια των υπολογιστικών συστημάτων. Έχουν παρατηρηθεί αμέτρητα κενά ασφαλείας και προγραμματιστικά σφάλματα στα πρωτόκολλα, στα λειτουργικά συστήματα, στις εφαρμογές και σε όλο το λογισμικό που αποτελεί το σύγχρονο υπολογιστικό περιβάλλον. Οι εισβολείς, εκμεταλλευόμενοι αυτά τα κενά ασφαλείας αποκτούν πρόσβαση και έλεγχο σε μη εξουσιοδοτημένα συστήματα, υποκλέπτουν δεδομένα, επιτίθενται σε άλλα συστήματα και δημιουργούν χάος. Η τεχνολογία των υπολογιστών έχει εξελιχθεί πολύ γρήγορα για να μπορέσει η τεχνολογία ασφαλείας να ακολουθήσει, και η πραγματικότητα είναι πως τα σημερινά υπολογιστικά συστήματα είναι εγγενώς εύκολο να παραβιαστούν. [1] Οι μοντέρνες τεχνικές στην ασφάλεια υπολογιστών σχετίζονται κυρίως με την πρόληψη (prevention) επιθέσεων, την ανίχνευση (detection) επιθέσεων και αποπειρών επιθέσεων και την αποκατάσταση (recovery) μετά από επιτυχείς επιθέσεις. Η πρόληψη εμπεριέχει δραστηριότητες όπως η χρήση ασφαλών εκδόσεων των λειτουργικών συστημάτων, απενεργοποίηση υπηρεσιών (services) οι οποίες έχουν γνωστές αδυναμίες ή σφάλματα ασφάλειας και η εγκατάσταση εξειδικευμένου λογισμικού πρόληψης επιθέσεων. Η ανίχνευση επιθέσεων ή αποπειρών επιθέσεων καλύπτεται από το ευρύ πεδίο έρευνας της ανίχνευσης εισβολής (intrusion detection), το οποίο χωρίζεται σε ανίχνευση εισβολής σε δίκτυο (network intrusion detection) ή σε μεμονωμένο σύστημα (host intrusion detection). Η αποκατάσταση μετά από επιτυχημένη επίθεση περιλαμβάνει τις κινήσεις εκείνες που πρέπει να γίνουν από τον διαχειριστή ώστε να επανέλθει το σύστημα σε κατάσταση κανονικής λειτουργίας και πολύ συχνά περιλαμβάνει την επαναφορά δεδομένων και 1

2 ΚΕΦΑΛΑΙΟ 1. ΕΙΣΑΓΩΓΗ εφαρμογών από αντίγραφα ασφαλείας. Η ανίχνευση εισβολής σε δίκτυο διεξάγεται συνήθως μέσω λογισμικού παρακολούθησης πακέτων όπως το Snort[2]. Τυπικά η κίνηση του δικτύου σε μορφή πακέτων tcp/ip αποθηκεύεται και αναλύεται αργότερα με τεχνικές εύρεσης ανωμαλιών και υπογραφών επιθέσεων. Η ανίχνευση εισβολής σε μεμονωμένο σύστημα επιτυγχάνεται συνήθως με λογισμικό παρακολούθησης της ακεραιότητας των αρχείων του συστήματος όπως το Tripwire[3]. Εκτός των παραπάνω, είναι διαθέσιμα και αρκετά εξειδικευμένα προγράμματα ανίχνευσης rootkits για μεμονωμένα συστήματα, στα οποία θα αναφερθούμε α- ναλυτικά σε επόμενες ενότητες. Τα rootkit είναι μια μέθοδος με την οποία οι εισβολείς διατηρούν τον έλεγχο του παραβιασμένου συστήματος, επιτίθενται σε άλλα συστήματα, καταστρέφουν τα αποδεικτικά στοιχεία και μειώνουν την πιθανότητα ανίχνευσής τους από τον νόμιμο διαχειριστή. Στο πεδίο της ασφάλειας υπολογιστών, η ανίχνευση των rootkits μπορεί να ενταχθεί στις μεθόδους ανίχνευσης επιθέσεων σε μεμονωμένα συστήματα. Οι μέθοδοι αυτές περιλαμβάνουν κυρίως τη συλλογή πληροφοριών για τις τεχνικές εισβολής, βασίζονται δηλαδή σε a priori αναλυτική γνώση των επιθέσεων για να είναι αποτελεσματική. Η εφαρμογή η οποία αναπτύχθηκε στα πλαίσια της εργασίας δεν χρειάζεται πρότερη γνώση και ανάλυση του κάθε συγκεκριμένου rootkit, αλλά μια γενικότερη γνώση του τρόπου λειτουργίας τους ανά κατηγορία. Ένα πρωταρχικό μέλημα των κακόβουλων χρηστών είναι όχι μόνο να αποκτήσουν πρόσβαση με αυξημένα δικαιώματα σε συστήματα στα οποία δεν έχουν άδεια να χρησιμοποιούν αλλά και να διατηρήσουν αυτή την πρόσβαση. Για να διατηρήσουν την πρόσβαση, οι επιτιθέμενοι πρέπει να αποκρύψουν τις δραστηριότητές του από τον νόμιμο διαχειριστή του συστήματος και από τους υπόλοιπους νόμιμους χρήστες. Με την πάροδο του χρόνου, η απόκρυψη αυτή έχει εξελιχθεί από απλή, χειροκίνητη τροποποίηση των αρχείων καταγραφής, στην ανάπτυξη εξειδικευμένων εργαλείων τα οποία αυτοματοποιούν την παραπάνω διαδικασία, και έχει κορυφωθεί με την ανάπτυξη εφαρμογών rootkit, από απλά μέχρι rootkit εικονικών μηχανών και rootkit τα οποία δρουν απευθείας στο υλικό των υπολογιστών. 2

3 2 Υπόβαθρο 2.1 Ορισμός Rootkit Ο όρος rootkit συνήθως προκαλεί μεγάλη σύγχυση στο πεδίο της ασφάλειας υ- πολογιστικών συστημάτων. Είναι ένας σύνθετος όρος ο οποίος αποτελείται από τις λέξεις root και kit. Ο όρος root αναφέρεται στο σύνηθες όνομα του λογαριασμού του διαχειριστή συστήματος σε λειτουργικό σύστημα Unix, ενώ ο όρος kit αναφέρεται σε μία ομάδα ή πακέτο εργαλείων και εφαρμογών. Ετυμολογικά ο όρος rootkit θα μπορούσε να ερμηνευτεί ως μια ομάδα εφαρμογών οι οποίες επιτρέπουν την απόκτηση πρόσβασης σε σύστημα με δικαιώματα υπερχρήστη, αλλά η ερμηνεία αυτή είναι λανθασμένη. Στην πραγματικότητα, ότι ο στόχος του rootkit είναι κυρίως να επιτρέψει στον εισβολέα να διατηρήσει την μη εξουσιοδοτημένη πρόσβαση που έχει αποκτήσει με άλλους τρόπους έτσι ώστε να μπορεί να χρησιμοποιήσει το σύστημα μελλοντικά. Ειδικότερα, ένα rootkit είναι μια συλλογή εργαλείων (προγραμμάτων) τα οποία χρησιμοποιεί ένας κακόβουλος χρήστης με σκοπό να συγκαλύψει μια επίθεση, να μπορεί να διατηρήσει την πρόσβασή του στο σύστημα σε μελλοντικό χρόνο χωρίς την ανάγκη εκ νέου επίθεσης και να καταστήσει τις ενέργειες του αόρατες στον διαχειριστή του συστήματος. Συχνά το rootkit περιλαμβάνει και προγράμματα τα οποία βοηθούν τον εισβολέα να εισβάλει σε νέα συστήματα και οτιδήποτε άλλο θα μπορούσε να του φανεί χρήσιμο μετά την επίθεση. Σε ένα περιβάλλον Unix, ο εισβολέας εγκαθιστά το rootkit αμέσως μετά την εισβολή, αφού πρώτα έχει αποκτήσει πρόσβαση επιπέδου υπερχρήστη (διαχειριστή) στο σύστημα. Η χρήση αυτού του επιπέδου πρόσβασης είναι απαραίτητη για την σωστή εγκατάσταση των rootkits και μπορεί να αποκτηθεί με πολλούς τρόπους, όπως η ανακάλυψη του κωδικού του διαχειριστή μετά από δοκιμή πολλών κωδι- 3

4 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ κών (brute-force attack) ή η εκμετάλλευση ενός κενού ασφαλείας (vulnerability) μιας εφαρμογής του συστήματος ή και του ίδιου του πυρήνα του λειτουργικού. Περιγράφουμε τη διαδικασία μιας τυπικής επίθεσης στην ενότητα A Ιστορικό Την δεκαετία του 1980 το Unix ήταν το κυρίαρχο λειτουργικό σύστημα για δικτυακά περιβάλλοντα. Τα συστήματα Unix παρείχαν κάποια εργαλεία στον διαχειριστή όπως το ps για την επίβλεψη των διεργασιών, το ls για την εμφάνιση αρχείων, το who για την εμφάνιση των συνδεδεμένων χρηστών στο σύστημα, το ifconfig για την επισκόπηση των ιδιοτήτων των καρτών δικτύου και άλλα. Εξαιτίας της ύπαρξης και χρήσης των εργαλείων αυτών από τους διαχειριστές συστημάτων, ο κακόβουλος ή επιτιθέμενος χρήστης είχε και έχει πάντα στόχο την παράκαμψη τους ώστε να είναι δυνατό να δράσει χωρίς να είναι εμφανείς οι κινήσεις του. Τα πρώτα προγράμματα τα οποία επέτρεπαν στον επιτιθέμενο να συγκαλύψει την ταυτότητα του σε ένα ξένο σύστημα εμφανίστηκαν στις αρχές της δεκαετίας του Το εμφανίστηκε το πρώτο πρόγραμμα καθαρισμού των αρχείων καταγραφής του συστήματος [4]. Ο επιτιθέμενος, παραποιώντας τα αρχεία καταγραφής (utmp, wtmp και lastlog) γινόταν αόρατος στο νόμιμο διαχειριστή ο οποίος έκανε χρήση των εντολών who, w ή last. Τα rootkits όπως τα γνωρίζουμε σήμερα, εμφανίστηκαν πρώτη φορά στα μέσα της δεκαετίας του Την εποχή αυτή, οι διαχειριστές συστημάτων με λειτουργικό SunOS 4.x άρχισαν να παρατηρούν περίεργη συμπεριφορά των συστημάτων τους, όπως ανεξήγητα κατειλημμένο χώρο αποθήκευσης, αυξημένη χρήση του ε- πεξεργαστή και συνδέσεις δικτύου τις οποίες τα εργαλεία διαχείρισης δεν εμφάνιζαν. Το πρώτο rootkit εμφανίστηκε τον Οκτώβριο του 1994, φτιαγμένο για λειτουργικό σύστημα SunOS 4.x [5]. Στο rootkit αυτό εμπεριέχονταν κακόβουλα τροποποιημένες εκδόσεις των προγραμμάτων ps, netstat και login. Ο κύριος στόχος του ήταν η απόκτηση πρόσβασης σε άλλα συστήματα αξιοποιώντας τεχνικές παρακολούθησης των πακέτων (sniffing) τα οποία μεταδίδονταν στο δίκτυο. Εκείνη την εποχή δεν υπήρχε κωδικοποίηση των δεδομένων στα πακέτα, και έτσι κάποιος τρίτος μπορούσε να διαβάσει το περιεχόμενο τους το οποίο πολλές φορές ήταν 1 Οι χρονολογίες αναφέρονται στο χρόνο όπου τα συγκεκριμένα προγράμματα έγιναν ευρέως γνωστά μέσω διαδικτύου, μπορεί όμως να ήταν σε χρήση για αρκετό καιρό πριν την δημόσια ανακοίνωση. 4

5 2.2. ΙΣΤΟΡΙΚΟ κωδικοί πρόσβασης σε άλλα συστήματα. Τα rootkits βελτιώθηκαν με τον χρόνο συμπεριλαμβάνοντας όλο και περισσότερα κακόβουλα εργαλεία που δρουν σαν αντικαταστάτες εργαλείων του Unix με τα οποία θα μπορούσε ο διαχειριστής να αντιληφθεί την ύπαρξη του προγράμματος παρακολούθησης πακέτων. Στη συνέχεια εξελίχθηκαν περαιτέρω, συμπεριλαμβάνοντας εργαλεία με τα οποία ο επιτιθέμενος μπορούσε να αλλάξει κάποιες ιδιότητες των τροποποιημένων (trojaned) προγραμμάτων κάνοντας τα να μοιάζουν με τα αρχικά. Μερικές από αυτές τις ιδιότητες είναι το μέγεθος, η ημερομηνία πρόσβασης, το άθροισμα ελέγχου (checksum), τα δικαιώματα χρήσης, και ο χρήστης κάτοχος του αρχείου. Με την εμφάνιση του λειτουργικού συστήματος Linux τα rootkits βρήκαν ένα νέο πεδίο δράσης χρησιμοποιώντας νέες τεχνικές, όπως τα αρθρώματα πυρήνα τα οποία υποστηρίζει το Linux. Τα πρώτα rootkits για το λειτουργικό σύστημα Linux εμφανίστηκαν το Τα rootkits τύπου αρθρώματος πυρήνα (Linux Kernel Module rootkits) προτάθηκαν για πρώτη φορά τον Απρίλιο του 1997 στο περιοδικό για hackers Phrack από τον Halflife, στο ιστορικό άρθρο Abusing the Linux Kernel for Fun and Profit [6] όπου παρουσιάστηκε το γνωστό heroin.c. Η πιο διαδεδομένη τεχνική την οποία χρησιμοποιούν τα rootkits μέχρι σήμερα είναι η αντικατάσταση κλήσεων συστήματος, μια τεχνική που προτάθηκε στο ίδιο περιοδικό το 1998 [7]. Τα δύο παραπάνω άρθρα αποτέλεσαν για πολλά χρόνια την βάση πάνω στην οποία δημιουργήθηκαν τα περισσότερα rootkits. Το 1998 ο Silvio Cesare παρουσίασε για πρώτη φορά την τεχνική εισαγωγής κώδικα στον πυρήνα χωρίς την χρήση αρθρωμάτων, μέσω της απευθείας εγγραφής στο δυαδικό αρχείο εικόνας της μνήμης /proc/(k)mem. Το 1999 εμφανίσθηκε το διάσημο Adore LKM rootkit από την ομάδα TESO, το οποίο χρησιμοποιεί τεχνική αρθρώματος πυρήνα. Το 2000 κυκλοφόρησε το T0rnkit v8 rootkit, το οποίο ανήκει στην κατηγορία των rootkits τα οποία χρησιμοποιούν αντικατάσταση βιβλιοθηκών και όχι εκτελέσιμων αρχείων του συστήματος. Το 2001 κυκλοφόρησαν τα KIS Trojan και SucKIT. Τα συγκεκριμένα χρησιμοποιούν τις τεχνικές απευθείας τροποποίησης του /proc/kmem. Το 2002 αρχίζουν να εμφανίζονται διάφορα εργαλεία τύπου δούρειου ίππου (backdoor) σαν στοιχεία των rootkits. Η διατήρηση της πρόσβασης στο σύστημα θύμα πραγματοποιείται τυπικά με προγράμματα backdoors. Τα rootkits είδαν τα φώτα της δημοσιότητας για το ευρύ κοινό το 2005, όταν η Sony συμπεριέλαβε ένα rootkit σε κάποια CD μουσικής. Θα αναφερθούμε στην περίπτωση της Sony BMG στην ενότητα

6 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ Για λόγους πληρότητας πρέπει να αναφερθεί ότι το πρώτο rootkit για λειτουργικό σύστημα Microsoft Windows NT εμφανίστηκε το 1999 [8]. Επέτρεπε την α- πόκρυψη κλειδιών του μητρώου του συστήματος και ανακατεύθυνση εκτέλεσης προγραμμάτων. Πλέον τα rootkits για λειτουργικά συστήματα της Microsoft έχουν ξεπεράσει σε δημοτικότητα τα rootkits για Unix. Οι μοντέρνοι επεξεργαστές της Intel και της AMD περιέχουν μια σειρά δυνατοτήτων για την υποστήριξη εικονικών λειτουργικών συστημάτων (virtualized OS). Έτσι, το 2006 στο συνέδριο Black Hat στο Las Vegas εμφανίσθηκε το πρώτο rootkit το οποίο χρησιμοποιεί τεχνικές εικονικής μηχανής με υποβοήθηση και εκμεταλλευόμενο τις παραπάνω δυνατότητες των επεξεργαστών, με όνομα BluePill. Τα rootkits αυτού του τύπου δρουν σε ένα τελείως ξεχωριστό επίπεδο, έξω από το λειτουργικό σύστημα, με αποτέλεσμα να είναι πολύ πιο δύσκολα ανιχνεύσιμα. Ω- στόσο έχουν αναπτυχθεί κάποιες τεχνικές και εργαλεία ανίχνευσης προς αυτή την κατεύθυνση. Το 2007 αλλά και το 2008 εμφανίσθηκαν τα rootkit mood-nt και DR rootkit τα οποία εκμεταλλεύονται μια ειδική λειτουργία των επεξεργαστών σχετική την διαδικασία εκσφαλμάτωσης των προγραμμάτων κατά την ανάπτυξή τους. Τα rootkits αυτά είναι πρακτικά μη ανιχνεύσιμα, καθώς υπάρχουν μόνο θεωρητικές προσεγγίσεις ως προς την ανίχνευση τους σε ερευνητικό επίπεδο. Στις μέρες μας, τα rootkits είναι πεδίο σημαντικής έρευνας τόσο για τους hacker όσο και για την διεθνή επιστημονική κοινότητα, ενώ στοχεύουν όλα τα διαφορετικά είδη λειτουργικών συστημάτων Unix (Linux, HP-UX, BSD, Solaris, AIX, IRIX, MacOS ) και Windows. Πρόσφατα δημοσιεύθηκε εργασία πάνω στην κατασκευή rootkit το οποίο δρα σε embedded λειτουργικό σύστημα, για την ακρίβεια στο λειτουργικό σύστημα Cisco IOS με το οποίο λειτουργούν οι διακομιστές δικτύου της εταιρίας Cisco. [9]. Τέλος υπάρχουν ερευνητικές εργασίες πάνω στην υλοποίηση rootkits για το bios του συστήματος, για firmware συσκευών και για rootkits τα οποία εγκαθιστώνται στη μνήμη καρτών επέκτασης του συστήματος μέσω του διαύλου PCI και δρουν με απευθείας πρόσβαση στη μνήμη (DMA) Η περίπτωση της Sony BMG Στις 31 Οκτωβρίου 2005, ένα μεγάλο σκάνδαλο ήρθε το φως της δημοσιότητας. Ο ερευνητής Mark Russinovich ανακάλυψε [10] ότι κάποιοι ψηφιακοί δίσκοι μουσικής τους οποίους κατασκεύαζε η εταιρία παραγωγής Sony BMG χρησιμοποιούν μια ειδική τεχνολογία προστασίας από αντιγραφή (DRM) με λειτουργίες rootkit. 6

7 2.2. ΙΣΤΟΡΙΚΟ Εκατομμύρια CD, συνολικά 70 διαφορετικών τίτλων, πωλήθηκαν είτε με την τεχνολογία προστασίας αντιγραφής XCP της εταιρίας First4Internet είτε την τεχνολογία MediaMax της εταιρίας SunComm. Η τεχνολογία XCP είναι η πιο διάσημη, καθώς είναι μοιάζει περισσότερο σε ιό υπολογιστή. Η βασική ιδέα πίσω από την τεχνολογία προστασίας DRM είναι η εξής: Ο ψηφιακός δίσκος περιέχει ένα πρόγραμμα αναπαραγωγής και ελέγχου μουσικής το οποίο περιορίζει τον αριθμό αντιτύπων που μπορούν να δημιουργηθούν, ενώ δεν μπορεί να γίνει αναπαραγωγή των μουσικών αρχείων μέσω υπολογιστή με κάποιο άλλο πρόγραμμα αναπαραγωγής μουσικής πέραν αυτού που περιλαμβάνει το CD. Με σκοπό τον έλεγχο των περιορισμών DRM, το rootkit εγκαθίσταται κρυφά στο σύστημα του αγοραστή ενώ το πρόγραμμα αναπαραγωγής ερευνά τον υπολογιστή έτσι ώστε να ελέγξει τον τρόπο με τον οποίο ο χρήστης χρησιμοποιεί τον ψηφιακό δίσκο. Μετά τη συλλογή των πληροφοριών το rootkit τις στέλνει σε έναν ιστότοπο της εταιρίας στο Internet. To εργαλείο αναπαραγωγής μουσικής του CD σταματάει να λειτουργεί σε περίπτωση που με κάποιο τρόπο το rootkit απομακρυνθεί από το σύστημα. Τόσο το XCP όσο και το MediaMax στοχεύουν σε συστήματα Windows εκμεταλλευόμενα την λειτουργία αυτόματης εκτέλεσης (autorun). Η εγκατάσταση του rootkit αρχίζει αυτόματα με την εισαγωγή του CD στον υπολογιστή του χρήστη. Το XCP rootkit ανακατευθύνει αρκετές κλήσεις συστήματος (χρησιμοποιώντας κακόβουλα τον πίνακα κλήσεων συστήματος) και έτσι κρύβει αρχεία, φακέλους, κλειδιά του μητρώου και τις διεργασίες των οποίων το όνομα ξεκινά με $sys$. Οι πληροφορίες οι οποίες μεταδίδονται στην εταιρία περιλαμβάνουν την διεύθυνση IP καθώς και τις ακριβείς ημερομηνίες και ώρες εισαγωγής ψηφιακών δίσκων στον υ- πολογιστή. Τόσο το XCP όσο και το MediaMax σχεδιάστηκαν ώστε να μην μπορούν να ανιχνευθούν και να απομακρυνθούν εύκολα. Αρχικά δεν υπήρχαν προγράμματα απεγκατάστασης, ενώ μετά το σκάνδαλο η Sony πρότεινε ένα πρόγραμμα απεγκατάστασης, ωστόσο ακόμη και αυτό δεν διέγραφε πλήρως όλα τα στοιχεία του rootkit από το σύστημα του χρήστη. Εκτός των προφανών και άμεσων συνεπειών της εγκατάστασης των συγκεκριμένων rootkit, με τον τρόπο αυτό ουσιαστικά δημιουργείται ακόμη ένα μεγάλο κενό ασφαλείας στο σύστημα, καθώς οποιοδήποτε άλλο κακόβουλο λογισμικό μπορεί πια να παραμείνει κρυφό χρησιμοποιώντας όνομα διεργασίας που ξεκινά με το ίδιο πρόθεμα. Πολλά κακόβουλα προγράμματα (ιοί, δούρειοι ίπποι..) εκμεταλλεύτηκαν αυτό το κενό κατά το διάστημα μετά την ευρεία κυκλοφορία των CD. Στις 11 Νοεμβρίου 2005 η Sony ανακοίνωσε ότι διέκοψε προσωρινά την πα- 7

8 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ ραγωγή των τίτλων με το συγκεκριμένο λογισμικό, ενώ στις 14 Νοεμβρίου 2005 ανακοίνωσε ότι έχει αρχίσει να αποσύρει από την κυκλοφορία τους δίσκους με το λογισμικό XCP και MediaMax, ενώ αναλαμβάνει την αντικατάσταση των δίσκων των χρηστών χωρίς χρέωση για τους συγκεκριμένους τίτλους. 2.3 Λειτουργικότητα των Rootkit Η λειτουργικότητα των rootkits, βάσει των εργαλείων που περιλαμβάνουν και των μεθόδων που χρησιμοποιούν, μπορεί να κατηγοριοποιηθεί σε τρεις κύριες ομάδες [11]: Διατήρηση της πρόσβασης Επίθεση σε άλλα συστήματα Καταστροφή αποδείξεων Στη συνέχεια αναλύουμε τις παραπάνω ομάδες με περισσότερες λεπτομέρειες Διατήρηση της πρόσβασης Ο τυπικός τρόπος διατήρησης της πρόσβασης στο σύστημα μετά από μια επιτυχή εισβολή, και χωρίς να χρειάζεται εκ νέου εισβολή είναι μέσω προγραμμάτων κερκόπορτας (backdoors). Υπάρχουν δύο διαφορετικά είδη τέτοιων προγραμμάτων, αυτά που δρουν σε τοπικό επίπεδο στο σύστημα και επιτρέπουν την αναβάθμιση των δικαιωμάτων ενός απλού χρήστη σε δικαιώματα υπερχρήστη, και αυτά που δρουν με απομακρυσμένο τρόπο, τα οποία επιτρέπουν σε έναν απομακρυσμένο χρήστη- εισβολέα να συνδεθεί στο σύστημα. Παρακάτω θα περιγράψουμε τις βασικές τεχνικές των προγραμμάτων κερκόπορτας τα οποία δρουν με απομακρυσμένο τρόπο, κατά σειρά αυξανόμενης δυνατότητας συγκάλυψης της λειτουργίας τους από τον διαχειριστή του συστήματος. Δαίμονας telnet ή κέλυφος συνδεδεμένο με θύρα TCP. Ο εισβολέας μετά την επίθεση μπορεί απλά να συνδέσει ένα κέλυφος ή ένα δαίμονα telnet σε μια TCP πόρτα δικτύου (συνήθως μεγάλου αύξοντα αριθμού). Με αυτό τον τρόπο θα μπορεί να επιστρέψει στο σύστημα συνδεόμενος στη συγκεκριμένη θύρα TCP μέσω Internet. O δαίμονας telnet και το κέλυφος έχουν το μειονέκτημα 8

9 2.3. ΛΕΙΤΟΥΡΓΙΚΟΤΗΤΑ ΤΩΝ ROOTKIT ότι μεταφέρουν την πληροφορία (εντολές) στο δίκτυο χωρίς καμία κρυπτογράφηση. Η μέθοδος αυτή είναι εύκολο να ανιχνευθεί με διάφορους τρόπους από τον διαχειριστή του συστήματος, και έχει εγκαταλειφθεί. Δαίμονας SSH συνδεδεμένος με θύρα TCP. Είναι μια μέθοδος που χρησιμοποιείται από τους λιγότερο προχωρημένους εισβολείς. Παρέχει σχετικά μεγάλη συγκάλυψη του εισβολέα εξαιτίας του γεγονότος ότι η σύνδεση μεταξύ εισβολέα και παραβιασμένου συστήματος είναι κρυπτογραφημένη. Πολλές φορές χρησιμοποιείται ειδικά τροποποιημένο πρόγραμμα SSH το οποίο δεν αφήνει ίχνη στα αρχεία καταγραφής του συστήματος. Η μέθοδος αυτή μπορεί να προδοθεί μετά από μια προσεκτική εξωτερική εξέταση των ανοιχτών θυρών του συστήματος, με εργαλεία όπως το nmap. Κέλυφος CGI ή PHP. Είναι μια ιδιαίτερα δημοφιλής τεχνική στις μέρες μας και χρησιμοποιείται συχνά σε συνδυασμό με άλλες τεχνικές. Αν το παραβιασμένο σύστημα είναι διακομιστής περιεχομένου Internet (web server), ο εισβολέας μπορεί να χρησιμοποιήσει ένα ειδικά γραμμένο σενάριο σε γλώσσα PHP ή CGI, το οποίο θα του επιτρέπει να τρέξει εντολές στο σύστημα απευθείας μέσω μιας ιστοσελίδας με τα δικαιώματα του χρήστη του διακομιστή περιεχομένου. Ανάποδο κέλυφος (reverse shell). Είναι άλλη μια πολύ διαδεδομένη τεχνική και αρκετά δύσκολη στην ανίχνευση. Η ιδέα είναι ότι το πρόγραμμα κερκόπορτα αντί να διατηρεί συνεχώς ανοιχτή μια θύρα του συστήματος ώστε να συνδεθεί απομακρυσμένα ο εισβολέας, το ίδιο το σύστημα συνδέεται πίσω στον εισβολέα. Η σύνδεση αυτή πολλές φορές είναι κωδικοποιημένη όπως στην παραπάνω περίπτωση. Ο μόνος τρόπος να ανιχνευθεί η μέθοδος αυτή είναι μέσω ενός εξωτερικού συστήματος παρακολούθησης δικτύου ή με ένα τοίχος προστασίας το οποίο δεν θα επιτρέπει τις συνδέσεις από έναν διακομιστή προς ένα σύστημα στο Internet. Πράγματι, τέτοιες συνδέσεις είναι πολύ ασυνήθιστες για τους περισσότερους διακομιστές και για αυτό το λόγο ένα σύστημα βασισμένο σε τεχνικές ανίχνευσης ανωμαλιών συμπεριφοράς μπορεί να τις ανιχνεύσει. Ανάποδο κέλυφος με συρράγωση (reverse tunneled shell). Είναι μια τεχνική που αντιμετωπίζει το παραπάνω πρόβλημα της απαγόρευσης εξωτερικής επικοινωνίας μέσω τοίχους προστασίας, όταν έστω και μια θύρα είναι επιτρεπόμενη. Μέσω ειδικών προγραμμάτων ο εισβολέας μπορεί να καταφέρει να 9

10 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ επικοινωνήσει από το παραβιασμένο σύστημα προς το σύστημα μέσω μιας ανοιχτής θύρας, όπως η θύρα 80 η οποία είναι ανοιχτή στους περισσότερους σταθμούς εργασίας. Η τεχνική αυτή είναι πολύ δύσκολα ανιχνεύσιμη από περιφερειακό επίπεδο, και προσπάθειες μπορούν να γίνουν μόνο στο ίδιο το σύστημα (host based intrusion detection). Κερκόπορτα βασισμένη σε τεχνικές παρακολούθησης πακέτων δικτύου. Η μέθοδος αυτή παρέχει ένα πολύ υψηλό ποσοστό συγκάλυψης για τον εισβολέα. Στην περίπτωση αυτή το κακόβουλο πρόγραμμα παρακολουθεί τα πακέτα του δικτύου που φτάνουν στο παραβιασμένο σύστημα παθητικά, και με την παραλαβή ενός πακέτου φτιαγμένου από τον εισβολέα με συγκεκριμένο τρόπο, εκτελεί μια προγραμματισμένη εργασία ή εντολή. Οι απαντήσεις στον εισβολέα δίνονται με τροποποιημένη την διεύθυνση δικτύου του αποστολέα, ώστε να μην μπορεί κάποιος να ξέρει από πιο σύστημα προήλθαν. Η τεχνική αυτή είναι πολύ νέα στα rootkit και υπάρχουν τρόποι ανίχνευσης πολύ περιορισμένης αποτελεσματικότητας, βασισμένοι σε συστήματα παρακολούθησής πακέτων στο ίδιο τοπικό δίκτυο με το παραβιασμένο σύστημα. Αξίζει να τονίσουμε ότι ορισμένες από τις παραπάνω κατηγορίες προγραμμάτων κερκόπορτας απομακρυσμένου τρόπου δράσης είναι πολύ δύσκολο να ανιχνευθούν. Το γεγονός αυτό οδηγεί πολλούς διαχειριστές συστημάτων σε πλήρη επανεγκατάσταση του λειτουργικού συστήματος σε περιπτώσεις που αντιληφθούν ίχνη από πιθανό rootkit, καθώς δεν μπορούν ποτέ να είναι σίγουροι για την πλήρη α- φαίρεση όλων των στοιχείων του. Τα προγράμματα κερκόπορτας τα οποία δρουν σε τοπικό επίπεδο κατηγοριοποιούνται κυρίως ανάλογα με το είδος του rootkit, αν πρόκειται δηλαδή για rootkits επιπέδου χρήστη ή επιπέδου πυρήνα. Στα κεφάλαια 3 και 4 θα δούμε τις δυο κατηγορίες αναλυτικά. Συνοπτικά, στα rootkits επιπέδου χρήστη η διατήρηση τοπικής πρόσβασης στον εισβολέα παρέχεται συνήθως από τροποποιημένα προγράμματα (trojans) τα οποία το rootkit εγκαθιστά. Τα προγράμματα αυτά παρέχουν αυξημένα δικαιώματα όταν τα ζητήσει ο κακόβουλος χρήστης μέσω μιας ειδικής αλληλουχίας εντολών ενώ o κανονικός χρήστης δεν παρατηρεί κάποια διαφορά στο σύστημα. Στα rootkits επιπέδου πυρήνα η διατήρηση τοπικής πρόσβασης παρέχεται μέσω μηχανισμών του πυρήνα και έτσι μπορούν να δοθούν αυξημένα δικαιώματα σε συγκεκριμένους χρήστες του συστήματος με βάση το όνομα χρήστη ή τον αριθμό ταυτοποίησης χρήστη. 10

11 2.3. ΛΕΙΤΟΥΡΓΙΚΟΤΗΤΑ ΤΩΝ ROOTKIT Είναι ενδιαφέρον να αναφερθεί ότι κάποια rootkits, στα πλαίσια της λειτουργίας διατήρησης της πρόσβασης την οποία εξετάζουμε, αφιερώνουν χρόνο στην αναβάθμιση της προστασίας του συστήματος. Στην ερευνά μας παρατηρήσαμε κάποια rootkits τα οποία εγκαθιστούν ανανεώσεις ασφαλείας του λειτουργικού συστήματος και των προγραμμάτων το οποίο αυτό φιλοξενεί ή ακόμη ακολουθούν μια σειρά βημάτων ισχυροποίησης της ασφάλειας του συστήματος μέσω αλλαγών σε αρχεία ρυθμίσεων. Η ισχυροποίηση αυτή είναι χρήσιμη έτσι ώστε να μην παραβιαστεί εκ νέου το σύστημα από διαφορετικό εισβολέα, κάτι το οποίο πιθανώς θα έχει ως αποτέλεσμα ο αρχικός εισβολέας να χάσει τα δικαιώματά του. Φυσικά οι τεχνικές αυτές τείνουν να εγκαταλειφθούν καθώς είναι πολύ παρεμβατικές στη λειτουργία του συστήματος και έτσι ένας μέτριος διαχειριστής θα τις εντοπίσει Επίθεση σε άλλα συστήματα Σχεδόν όλα τα rootkit επιπέδου χρήστη αλλά και κάποια από τα rootkit επιπέδου πυρήνα, περιλαμβάνουν προγράμματα επίθεσης σε άλλα συστήματα, με στόχο την αύξηση την περιοχής πρόσβασης του εισβολέα ή άλλους κακόβουλους σκοπούς. Γενικά τα προγράμματα αυτά εμπίπτουν σε τρεις κατηγορίες. Εργαλεία επίθεσης σε τοπικό επίπεδο. Οι τοπικές επιθέσεις (local exploits) γίνονται κυρίως για την επανάκτηση των αυξημένων δικαιωμάτων πρόσβασης στην περίπτωση που ο διαχειριστής του συστήματος έχει εντοπίσει το rootkit. Εργαλεία αυτής της κατηγορίας τυπικά περιλαμβάνουν προγράμματα παρακολούθησης πακέτων δικτύου (sniffers) και προγράμματα εύρεσης κωδικών (password crackers). Εργαλεία επίθεσης σε απομακρυσμένους στόχους. Τα εργαλεία αυτά περιλαμβάνουν συνήθως ένα απλό πρόγραμμα καταγραφής πακέτων δικτύου το ο- ποίο κρυφακούει την κίνηση του δικτύου του παραβιασμένου συστήματος και συγκεντρώνει ζεύγη ονομάτων χρηστών με κωδικούς τα οποία διακινούνται πολλές φορές σαν απλό κείμενο (clear text) σε πρωτόκολλα όπως το POP3, IMAP, SMPT, telnet, ftp και πολλά άλλα. Τα προγράμματα αυτά πολλές φορές συγκεντρώνουν ολόκληρο το κείμενο των ηλεκτρονικών μηνυμάτων που διακινούνται μέσω των υπολογιστών του τοπικού δικτύου του παραβιασμένου συστήματος, καθώς το πρωτόκολλο SMTP βασίζεται σε απλό κείμενο. Σε αυτή την κατηγορία εργαλείων επίθεσης περιλαμβάνονται ακόμη προγράμματα σάρωσης δικτύου για ευάλωτες εφαρμογές και ανοιχτές θύρες (network 11

12 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ scanners) και προγράμματα αυτόματης επίθεσης για συγκεκριμένες αδυναμίες (autorooters). Για παράδειγμα, ένα rootkit μπορεί να ερευνήσει ο- λόκληρο το τοπικό δίκτυο για συστήματα τα οποία δρουν σαν διακομιστές περιεχομένου web. Στη συνέχεια, η λίστα αυτή των συστημάτων μπορεί να τροφοδοτηθεί σε ένα εργαλείο autorooter το οποίο θα εκμεταλλευθεί μια α- δυναμία ασφαλείας του προγράμματος διακομιστή περιεχομένου έτσι ώστε να αποκτήσει πρόσβαση στο σύστημα. Εργαλεία επίθεσης τύπου άρνησης πρόσβασης. (Denial of Service - DoS) Τα περισσότερα rootkit περιλαμβάνουν τουλάχιστον ένα πρόγραμμα για διεξαγωγή επιθέσεων άρνησης πρόσβασης σε άλλα συστήματα τα οποία καθορίζει ο εισβολέας. Πολλές φορές αυτός είναι και ο μοναδικός στόχος του επιτιθέμενου, δηλαδή να συγκεντρώσει ένα μεγάλο αριθμό από συστήματα στα οποία έχει πρόσβαση οποιαδήποτε στιγμή, ώστε στη συνέχεια αυτά τα συστήματα να μπορούν να επιτεθούν σε κάποιο στόχο ταυτόχρονα Απόκρυψη αποδείξεων Η τρίτη και τελευταία κατηγορία λειτουργικότητας των rootkit είναι αυτή που έχει να κάνει με την απόκρυψη ή την καταστροφή αποδεικτικών στοιχείων. Η δραστηριότητα αυτή περιλαμβάνει την απόκρυψη ή καταστροφή αποδείξεων που δημιουργήθηκαν κατά την φάση της εισβολής και την παρεμπόδιση την δημιουργίας νέων. Η πρώτη φάση, αυτή της αφαίρεσης των αποδείξεων της επίθεσης, περιλαμβάνει την προσεκτική επεξεργασία των αρχείων καταγραφής του λειτουργικού συστήματος, του ιστορικού χρήσης του κελύφους (shell history) και των αρχείων καταγραφής συγκεκριμένων εφαρμογών. Για παράδειγμα, στο λειτουργικό σύστημα Linux, στο αρχείο /var/log/wtmp καταγράφεται ο χρόνος εισαγωγής του κάθε χρήστη στο σύστημα. Το αρχείο αυτό είναι σε δυαδική μορφή στο σύστημα με συνέπεια να μην είναι εύκολη η επεξεργασία του από τους χρήστες. Για το σκοπό αυτό έχει εμφανιστεί ένα μεγάλο πλήθος εργαλείων που αυτοματοποιούν την διαδικασία όπως τα zap, zap2, και wted. Η παρεμπόδιση δημιουργίας νέων αποδεικτικών στοιχείων ή εγγραφών στα αρχεία καταγραφής επιτυγχάνεται με διαφορετικούς τρόπους ανάλογα τον τύπο του rootkit. Στα rootkits επιπέδου χρήστη η συνήθης τακτική ήταν παλαιότερα η τροποποίηση του δαίμονα syslog o οποίος είναι υπεύθυνος για την δημιουργία των αρχείων καταγραφής, με τρόπο τέτοιο ώστε να μην δημιουργούνται εγγραφές από 12

13 2.4. ΤΑΞΙΝΟΜΗΣΗ ΤΩΝ ROOTKIT τις διεργασίες του παραβιασμένου συστήματος τις οποίες ελέγχει ο εισβολέας. Συνήθης τακτική είναι και η γενική απενεργοποίηση της δημιουργίας του ιστορικού κελύφους (shell history) για τον λογαριασμό του κακόβουλου χρήστη. Τα rootkit επιπέδου πυρήνα υπερέχουν σε αυτές τις δραστηριότητες. Χρησιμοποιώντας προχωρημένες τεχνικές τροποποίησης κώδικα του πυρήνα του λειτουργικού συστήματος μπορούν να επιτύχουν μεγάλη συγκάλυψη των πράξεων του κακόβουλου χρήστη, όπως πλήρη απουσία καταγραφής από τον δαίμονα syslog για οτιδήποτε σχετικό με συγκεκριμένα αρχεία ή συγκεκριμένες διεργασίες, χωρίς να τροποποιηθεί ποτέ το εκτελέσιμο του δαίμονα. Βάση της ερευνάς μας, ένα rootkit συνήθως κρύβει από τον διαχειριστή τα ίδια του τα αρχεία, άλλα αρχεία του εισβολέα τα οποία ταυτοποιούνται από μέρος του ονόματός τους ή της θέσης τους, τις διεργασίες που ανήκουν στον εισβολέα (όπως προγράμματα κερκόπορτας, προγράμματα παρακολούθησης πακέτων και προγράμματα εύρεσης κωδικών) και συγκεκριμένες συνδέσεις δικτύου από και προς το σύστημα του εισβολέα. 2.4 Ταξινόμηση των Rootkit Η ομαδοποίηση των προγραμμάτων rootkit σε κατηγορίες γίνεται κυρίως με βάση τον τρόπο λειτουργίας τους, ο οποίος βέβαια έχει συνήθως άμεση σχέση με τον χρόνο κατά τον οποίο εμφανίστηκε το rootkit και τον βαθμό συγκάλυψης που ε- πιτυγχάνει. Μπορεί να παρατηρηθεί ότι με την πάροδο του χρόνου έχουμε την δημιουργία νέων κατηγοριών στις οποίες εντάσσονται rootkits τα οποία χρησιμοποιούν όλο και πιο προχωρημένες τεχνικές συγκάλυψης. Δεν μπορεί να γίνει απόλυτος διαχωρισμός των κατηγοριών καθώς είναι σύνηθες φαινόμενο η ενσωμάτωση τεχνικών από χρονολογικά γειτονικές κατηγορίες σε ένα rootkit, όπου χρησιμοποιείται η κάθε νέα μέθοδος ώστε να συγκαλύψει τις ανεπάρκειες των προηγούμενων μεθόδων. Στις υποενότητες που ακολουθούν εξετάζονται διεξοδικά οι διάφορες κατηγορίες των rootkits, εκτός των rootkit επιπέδου χρήστη και επιπέδου πυρήνα, καθώς υπάρχουν ειδικά κεφάλαια για την ανάλυσή αυτών Rootkits επιπέδου χρήστη Τα πρώτα rootkits που εμφανίσθηκαν ήταν τα rootkits επιπέδου χρήστη ή διαφορετικά επιπέδου εφαρμογής (application rootkits). Συχνά αποκαλούνται και 13

14 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ παραδοσιακά rootkits. Τα προγράμματα της κατηγορίας αυτής αρχικά δεν ή- ταν τίποτε παραπάνω από απλά προγράμματα τα οποία εκτελούνταν με μορφή δαίμονα παρέχοντας πρόσβαση στον κακόβουλο χρήστη τη στιγμή που το επιθυμεί, δρούσαν δηλαδή σαν προγράμματα κερκόπορτας (βλ ). Αυτά τα προγράμματα γίνονταν πολύ εύκολα αντιληπτά από κάποιον πεπειραμένο διαχειριστή συστημάτων, με μεθόδους όπως εύρεση νέων διεργασιών οι οποίες εκτελούνται στο σύστημα ή εύρεση λογισμικού που έχει εγκατασταθεί πρόσφατα χωρίς άδεια. Η ευκολία αυτή στην ανίχνευση οδήγησε τους κακόβουλους χρήστες στην ανάπτυξη πιο πολύπλοκων προγραμμάτων rootkit. Τα προγράμματα αυτά περιλαμβάνουν μια ομάδα από εκτελέσιμα αρχεία και κάποια σενάρια εγκατάστασης (install scripts) καθώς και το πρόγραμμα κερκόπορτα το οποίο θα επιτρέψει την μελλοντική πρόσβαση στο σύστημα για τον επιτιθέμενο. Κατά την επίθεση, μέσω του σεναρίου εγκατάστασης, τα αυθεντικά εκτελέσιμα αρχεία του συστήματος αντικαθιστώνται με αυτά που παρέχει το πακέτο του rootkit. Τα εκτελέσιμα αυτά είναι εντολές και προγράμματα τα οποία ο διαχειριστής χρησιμοποιεί στην καθημερινή του επαφή με το σύστημα και άρα βασίζεται σε αυτά για τον έλεγχο του συστήματος. Με την αντικατάστασή τους με εκδόσεις τροποποιημένες από τον κακόβουλο χρήστη ώστε να συγκαλύπτουν συγκεκριμένα αρχεία και συνδέσεις δικτύου, ο διαχειριστής δεν μπορεί πλέον να ελέγξει αξιόπιστα το σύστημα, καθώς δημιουργείται ένα κενό εμπιστοσύνης του διαχειριστή στα εργαλεία διαχείρισης. Η ανίχνευση των rootkits αυτής της κατηγορίας γίνεται μέσω μεθόδων ελέγχου της ακεραιότητας των σημαντικών αρχείων του συστήματος, χρησιμοποιώντας ψηφιακές υπογραφές και τιμές κατακερματισμού (hash values) για κάθε ένα από τα αρχεία. Αναλυτική παρουσίαση των rootkit της κατηγορίας αυτής καθώς και των μεθόδων ανίχνευσής θα γίνει στο κεφάλαιο Rootkits με χρήση βιβλιοθηκών Μια συχνή παραλλαγή των rootkits της πρώτης κατηγορίας είναι αυτά τα οποία εκμεταλλεύονται την χρήση κοινών βιβλιοθηκών από τα εκτελέσιμα του λειτουργικού συστήματος. Για την επιστήμη υπολογιστών οι βιβλιοθήκες είναι συλλογές υπορουτίνων και κλάσεων οι οποίες χρησιμοποιούνται κατά την ανάπτυξη, αλλά και κατά την ε- κτέλεση τρίτων προγραμμάτων. Οι βιβλιοθήκες περιέχουν υποβοηθητικό κώδικα και δεδομένα, παρέχοντας με αυτό τον τρόπο υπηρεσίες σε προγράμματα. Αυτό 14

15 2.4. ΤΑΞΙΝΟΜΗΣΗ ΤΩΝ ROOTKIT επιτρέπει το διαμοιρασμό και τη χρήση του κώδικα και των δεδομένων με αρθρωτό τρόπο. Τα εκτελέσιμα αρχεία και οι βιβλιοθήκες αναφέρονται το ένα στον κώδικα και τα δεδομένα του άλλου μέσω μιας διαδικασίας που ονομάζεται σύνδεση και την πραγματοποιεί ο συνδέτης. Τα σύγχρονα λειτουργικά συστήματα παρέχουν βιβλιοθήκες οι οποίες υλοποιούν την πλειονότητα των υπηρεσιών του συστήματος. Έτσι, το μεγαλύτερο μέρος του κώδικα που χρησιμοποιούν οι σύγχρονες εφαρμογές παρέχεται από αυτές τις βιβλιοθήκες και δε χρειάζεται να γραφεί από την αρχή για κάθε φορά. Τα rootkits της κατηγορίας αυτής εκμεταλλεύονται την παραπάνω λειτουργία, αντικαθιστώντας αυθεντικές βιβλιοθήκες του συστήματος με κατάλληλα τροποποιημένες εκδόσεις οι οποίες, εκτός των κανονικών λειτουργιών, παρέχουν και κάποιες ιδιαίτερες δυνατότητες στον κακόβουλο χρήστη. Το πιο διάσημο rootkit της κατηγορίας είναι το T0rnKit v8. Το συγκεκριμένο χρησιμοποιεί μια ειδικά τροποποιημένη βιβλιοθήκη με όνομα libproc.a, η οποία αντικαθιστά την αντίστοιχη βιβλιοθήκη συστήματος η οποία χρησιμοποιείται για την παροχή πληροφοριών για τις διεργασίες από τον χώρο πυρήνα (μέσω του συστήματος αρχείων /proc) σε εργαλεία χρήστη όπως το ps και το top. Με την αντικατάσταση της βιβλιοθήκης αυτής ο κακόβουλος χρήστης επιτυγχάνει την αλλαγή των αποτελεσμάτων τα οποία επιστρέφουν τα παραπάνω εκτελέσιμα, αποφεύγοντας όμως την αντικατάσταση των ίδιων των εκτελέσιμων. Για παράδειγμα, η χρήση μιας τέτοιας τροποποιημένης βιβλιοθήκης μπορεί να αποκρύψει την εμφάνιση διεργασιών με συγκεκριμένο όνομα, φιλτράροντας τα δεδομένα που παρέχει το σύστημα αρχείων /proc. Ο συγκεκριμένος τρόπος δράσης είναι δυνατό να αποκαλυφθεί με αρκετούς τρόπους. Ένας τρόπος είναι ο διαχειριστής του συστήματος να χρησιμοποιήσει κάποιο εργαλείο, το οποίο κοιτώντας απευθείας στο σύστημα αρχείων /proc να συγκρίνει τα δεδομένα με τα αποτελέσματα που παρέχει η εντολή ps. Ένας διαφορετικός και πολύ αποτελεσματικός τρόπος ανίχνευσης είναι να χρησιμοποιήσει στατικά μεταγλωττισμένες εκδόσεις των εκτελέσιμων αρχείων όπως το ps. Οι εκδόσεις αυτές δεν κάνουν χρήση των δυναμικών βιβλιοθηκών του συστήματος, και έτσι παρέχουν αξιόπιστα αποτελέσματα 2. Στη συνέχεια μπορεί να γίνει σύγκριση των αποτελεσμάτων των δύο εκδόσεων του κάθε εκτελέσιμου ώστε να γίνουν εμφανείς οι διαφορές. 2 Πάντα στο βαθμό που τα περιεχόμενα του συστήματος αρχείων /proc είναι αξιόπιστα! 15

16 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ Φυσικά και σε αυτή την κατηγορία ο τρόπος ανίχνευσης που βασίζεται σε ε- πιβεβαίωση της ακεραιότητας και αυθεντικότητας των αρχείων είναι εφαρμόσιμος και αποτελεσματικός Rootkits επιπέδου πυρήνα Οι κακόβουλοι χρήστες γρήγορα κατάλαβαν ότι χρειάζονται πιο εξεζητημένες τεχνικές απόκρυψης πληροφοριών για να διατηρούν για περισσότερο χρόνο την πρόσβαση στα παραβιασμένα συστήματα και έτσι δημιουργήθηκαν τα rootkits ε- πιπέδου πυρήνα. Εμφανίστηκαν αρχικά σαν κακόβουλα αρθρώματα πυρήνα. Σε αντίθεση μετά παραδοσιακά rootkit τα οποία αντικαθιστούν εκτελέσιμα αρχεία ή βιβλιοθήκες των συστημάτων τα οποία έχουν παραβιαστεί, τα rootkits αυτής της κατηγορίας τροποποιούν τον ίδιο τον πυρήνα του λειτουργικού συστήματος και διάφορες δομές αυτού, με πιο διαδεδομένη δομή τον πίνακα κλήσεων συστήματος. Με τον τρόπο αυτό ο επιτιθέμενος μπορεί να αποφύγει την ανίχνευση εύκολα, καθώς μπορεί να ελέγξει σε πολύ μεγάλο βαθμό τον τρόπο με τον οποίο συμπεριφέρονται τα προγράμματα που χρησιμοποιεί ο διαχειριστής. Ο πυρήνας του λειτουργικού συστήματος Linux καθώς και τα rootkits της κατηγορίας αυτής θα εξεταστούν διεξοδικά στο κεφάλαιο Rootkits βασισμένα σε εικονικές μηχανές Η ιδέα πίσω από τα rootkits αυτά είναι το γεγονός ότι τα χαμηλότερα στρώματα σε ένα σύστημα έχουν θεμελιώδη πλεονεκτήματα σε σχέση με τα ανώτερα, καθώς τα ανώτερα στρώματα εξαρτώνται από τις λειτουργίες τις οποίες τους παρέχουν τα χαμηλότερα. Έτσι, όσο χαμηλότερα στην διαστρωμάτωση του λειτουργικού συστήματος κρύβεται το rootkit, τόσο πιο δύσκολο είναι να ανιχνευθεί. Όπως αναφέραμε ήδη στην ενότητα 2.2 το 2006 εμφανίσθηκε το rootkit BluePill [12] το οποίο χρησιμοποιεί τις τεχνολογίες υποστήριξης εικονικών λειτουργικών συστημάτων τις οποίες διαθέτουν οι σύγχρονοι επεξεργαστές, και συγκεκριμένα την τεχνολογία AMD-V (Pacifica) της εταιρίας AMD. To BluePill σύμφωνα με τον προγραμματιστή του είναι σε θέση να εγκλωβίσει ένα υπάρχον λειτουργικό σύστημα μέσα σε μία εικονική μηχανή και στη συνέχεια να δράσει σαν σύστημα εποπτείας (hypervisor) για αυτή την μηχανή. Με αυτό τον τρόπο, αφού το εικονικό σύστημα εξ ορισμού υποτίθεται ότι δεν είναι δυνατόν να γνωρίζει ότι είναι εικονικό, το rootkit δεν μπορεί να ανιχνευθεί. Εκτός του BluePill, 16

17 2.4. ΤΑΞΙΝΟΜΗΣΗ ΤΩΝ ROOTKIT έχει παρουσιαστεί ένα ακόμη rootkit σε αυτή την κατηγορία, το SubVirt [13], με αντίστοιχες δυνατότητες. Σχήμα 2.1: Το σχήμα αυτό δείχνει πως ένα υπάρχον λειτουργικό σύστημα μπορεί να μεταφερθεί και να τρέξει μέσα σε μία εικονική μηχανή η οποία παρέχεται από έναν επόπτη εικονικών μηχανών. Τα γκρι μέρη του σχήματος ορίζουν τα κομμάτια που παρέχονται από το rootkit Τι συμβαίνει όταν ένα rootkit βρίσκεται σε επίπεδο χαμηλότερο από το ίδιο το λειτουργικό σύστημά; Για την εγκατάσταση ενός rootkit της κατηγορίας αυτής πρέπει να τροποποιηθεί η εγγραφή εκκίνησης του κύριου δίσκου του συστήματος (MBR - Master Boot Record) η οποία αποτελεί τα πρώτα 512 bytes του δίσκου τα οποία καθορίζουν το λειτουργικό σύστημα το οποίο θα εκκινήσει. Αυτό εξασφαλίζει ότι το rootkit θα ενεργοποιηθεί πριν το λειτουργικό σύστημα στόχος. Η τεχνική αυτή είναι εύκολα ανιχνεύσιμη με συστήματα ενάντια στο κακόβουλο λογισμικό. Μια απλή τεχνική για την αποφυγή της ανίχνευσης είναι η τροποποίηση του MBR κατά το τελευταίο στάδιο της διαδικασίας απενεργοποίησης του υπολογιστή. Με την εκκίνηση του το rootkit, εκκινεί το λειτουργικό σύστημα στόχος σαν εικονική 17

18 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ μηχανή πάνω στην οποία έχει τον απόλυτο έλεγχο. Μηχανισμοί με στόχο την αποτροπή εγκατάστασης rootkit της κατηγορίας αυτής περιλαμβάνουν: Ασφαλές Υλικό Secure Hardware (Intel LaGrande [14]/ AMD platform for trustworthy computing) [15] Στατικό MBR (MBR μόνο ανάγνωσης, όπου δεν επιτρέπεται η εγγραφή) Εικονική μηχανή χαμηλότερου επιπέδου η οποία δρα ως ασφαλές μέσο εκκίνησης και ελέγχει πιο λειτουργικό σύστημα εκκινεί στον υπολογιστή παίρνοντας τον έλεγχο της ακολουθίας εκκίνησης πριν κάθε άλλη συσκευή. Ανίχνευση εικονικής μηχανής Το παρακάτω πρόγραμμα το οποίο παραθέτουμε, ανιχνεύει εάν το λειτουργικό σύστημα από το οποίο το εκτελούμε βρίσκεται μέσα σε μία εικονική μηχανή ή όχι. [16] 1 #include <stdio.h> 3 int insidevm() { unsigned char m[6]; 5 unsigned char shellcode[] = \x0f\x01\x0d\x00\x00\x00\x00\xc3 ; *((unsigned*)&shellcode[3]) = (unsigned)m; 7 ((void(*)())&shellcode)(); return (m[5]>0xd0)?1:0; 9 } int main(){ 11 if (insidevm()) printf( We are inside a Virtual Machine\n ); else printf( We are not inside a Virtual Machine\n ); 13 } Απόσπασμα κώδικα 2.1: Κώδικας ανίχνευσης εικονικής μηχανής Το βασικό σημείο του παραπάνω κώδικα είναι η εντολή της assembly SIDT (κωδικοποιημένη σε γλώσσα μηχανής σαν 0F010D[addr]). Η εντολή αυτή αποθηκεύει τα περιεχόμενα του καταχωρητή IDTR (καταχωρητής πίνακα διακοπών) στον τελεστή προορισμού, ο οποίος στην περίπτωση αυτή είναι μια διεύθυνση μνήμης. Το ενδιαφέρον χαρακτηριστικό της εντολής SIDT είναι ότι ενώ μπορεί να εκτελεστεί σε επίπεδο χρήστη (non privileged mode - CPL3) αλλά επιστρέφει τα περιεχόμενα ενός ευαίσθητου για την ασφάλεια του συστήματος καταχωρητή, ο οποίος 18

19 2.4. ΤΑΞΙΝΟΜΗΣΗ ΤΩΝ ROOTKIT χρησιμοποιείται εσωτερικά στο λειτουργικό σύστημα. Με τα υπάρχοντα συστήματα εικονικών μηχανών, όλες οι εντολές επιπέδου χρήστη εκτελούνται απευθείας στον επεξεργαστή, ενώ οι εντολές επιπέδου αυξημένων δικαιωμάτων (πυρήνα) ε- κτελούνται μέσω της εικονικής μηχανής. Επειδή υπάρχει μόνο ένας καταχωρητής IDTR, αλλά τουλάχιστον δυο λειτουργικά συστήματα τρέχουν ταυτόχρονα (το φιλοξενούμενο και το λειτουργικό ξενιστής), εργαλείο επισκόπησης εικονικών μηχανών (VMM) πρέπει να επανατοποθετήσει το IDTR του φιλοξενούμενου λειτουργικού σε ένα ασφαλές μέρος, έτσι ώστε να μην υπάρχει διένεξη με αυτό του ξενιστή. Το VMM δεν μπορεί να ξέρει αν και πότε μια διεργασία του φιλοξενούμενου συστήματος εκτελεί την εντολή SIDT, μιας και η εντολή αυτή τρέχει σε επίπεδο χρήστη και έτσι δεν παράγει εξαίρεση (exception). Έτσι, η διεργασία με την εκτέλεση την εντολής παίρνει τη διεύθυνση του επανατοποθετημένου πίνακα διακοπών. Παρατηρήσαμε ότι σε πλατφόρμα VMWare η επανατοποθετημένη διεύθυνση του IDT είναι σε μια μεγάλη διεύθυνση όπως 0xffXXXXXX (συγκεκριμένα 0xffc18000), ενώ σε κανονικό σύστημα είναι σε μικρή διεύθυνση (συγκεκριμένα 0xc στο σύστημα της ερευνάς μας). Ακόμη έχουν αναπτυχθεί κάποιες άλλες προηγμένες τεχνικές για την ανίχνευση μόλυνσης με rootkit βασισμένο σε εικονικές μηχανές. Κάποιες από αυτές είναι: Ανάλυση χρόνων απόκρισης του συστήματος (timing attacks). Ένα λειτουργικό σύστημα που λειτουργεί σαν εικονική μηχανή έχει αρκετά διαφορετικές επιδόσεις και αποκρίσεις σε συγκεκριμένες κλήσεις συστήματος σε σχέση με ένα κανονικό λειτουργικό σύστημα. Μετρώντας τους χρόνους αυτούς είμαστε σε θέση να καταλάβουμε εάν βρισκόμαστε μπροστά σε σύστημα το οποίο λειτουργεί σαν εικονική μηχανή ή όχι. Ανάλυση χρήσης επεξεργαστή/μνήμης/δίσκου/δικτύου. Ένα rootkit της κατηγορίας αυτής αναπόφευκτα χρησιμοποιεί ένα σημαντικό μέρος των πόρων του συστήματος για να λειτουργήσει καθώς στην ουσία αποτελεί ένα ολόκληρο λειτουργικό σύστημα. Αναλύοντας την χρήση του επεξεργαστή, της μνήμης, του χώρου στο δίσκο και την χρήση δικτύου μπορούμε να ανακαλύψουμε μη συνηθισμένες συμπεριφορές. Το μεγαλύτερο μειονέκτημα όλων των παραπάνω μεθόδων είναι το γεγονός ότι δεν ανιχνεύουν εάν η εικονική μηχανή είναι κακόβουλη ή όχι, αν πρόκειται για rootkit ή για νόμιμη χρήση εικονικών μηχανών. Έτσι, οι παραπάνω μέθοδοι 19

20 ΚΕΦΑΛΑΙΟ 2. ΥΠΟΒΑΘΡΟ θα είναι προβληματικές μελλοντικά, δεδομένης της ολοένα αυξανόμενης χρήσης εικονικών μηχανών σε επιχειρηματικές δραστηριότητες Rootkits καταχωρητών εκσφαλμάτωσης Ένα από τα νεότερα είδη rootkit είναι αυτά τα οποία χρησιμοποιούν τους καταχωρητές εκσφαλμάτωσης του επεξεργαστή για να παραμείνουν κρυμμένα, και πιο συγκεκριμένα την λειτουργία διακοπής εκτέλεσης (breakpoint). Στην κατηγορία αυτή ανήκουν τα mood-nt [17] και DR rootkit [18]. Απλούστερα, τα rootkit αυτά δρουν σαν εργαλεία εκσφαλμάτωσης. Περιμένουν την εκτέλεση συγκεκριμένων κλήσεων συστήματος και όταν την ανιχνεύσουν τις τροποποιούν άμεσα. Κάποιες από τις κλήσεις συστήματος τις οποίες τροποποιούν είναι η getdents64, getdents, chdir, open, execve, socketcall, for, exit, kill, getpriority. Τα rootkit αυτά καταφέρνουν να πραγματοποιήσουν αναχαίτιση των κλήσεων συστήματος χωρίς να τροποποιήσουν κάποια δομή του πυρήνα, όπως ο πίνακας κλήσεων συστήματος ή ο πίνακας διακοπών. Για να το καταφέρουν αυτό, ορίζουν ένα breakpoint υλικού στον κώδικα του χειριστή των κλήσεων συστήματος (system call handler). Η παγίδα (trap) που προκύπτει αναλαμβάνει την παρακολούθηση μνήμης (memory watch) της εγγραφής του πίνακα κλήσεων συστήματος η οποία αντιστοιχεί στον αριθμό της κλήσης συστήματος η οποία πρέπει να αναχαιτιστεί. Με τον τρόπο αυτό, όταν η παρακολούθηση μνήμης για τη συγκεκριμένη εγγραφή του πίνακα κλήσεων συστήματος ανιχνεύσει πρόσβαση, ο χειριστής της παγίδας που έχουμε θέσει ανακατευθύνει την εκτέλεση της συγκεκριμένης κλήσης συστήματος σε ένα κομμάτι κώδικα του κακόβουλου χρήστη. Τα συγκεκριμένα rootkit δεν έχουν φθάσει ακόμη στο βαθμό πολυπλοκότητας που θα μπορούσαν να έχουν και μέχρι τώρα οι δυνατότητες τους είναι σχετικά περιορισμένες, παρόλα αυτά δεν έχουν εμφανισθεί πρακτικοί τρόποι ανίχνευσης. Θεωρητικά, οι ακόλουθες τεχνικές θα μπορούσαν να βοηθήσουν στην ανίχνευση τους: Ανίχνευση μέσω κάποιας μεθόδου περιορισμού της πρόσβασης μόνο με ε- ξουσιοδοτημένο τρόπο στους καταχωρητές εκσφαλμάτωσης. 20 Ανίχνευση μέσω μεθόδων μέτρησης χρόνων απόκρισης ή καταστάσεων ανταγωνισμού όπως και με τα rootkit εικονικής μηχανής.

21 2.4. ΤΑΞΙΝΟΜΗΣΗ ΤΩΝ ROOTKIT Ανίχνευση μέσω γενικών τεχνικών εύρεσης κρυφών διεργασιών, όπως πρόσβαση σε όλα τα δυνατά PID διεργασιών μέσω του /proc/<pid>/stat. Οι παραπάνω τεχνικές αποτελούν πεδίο έρευνας και στόχο επέκτασης της εργασίας μας στο μέλλον Άλλα Rootkits Τα rootkits επιπέδου λογισμικού συσκευών (firmware rootkits) είναι το επόμενο επίπεδο εξέλιξης. Αυτό το είδος rootkit μπορεί να ανήκει σε οποιαδήποτε από τις προηγούμενες κατηγορίες, με μια ιδιαιτερότητα. Όταν ο υπολογιστής κλείνει, έχει την δυνατότητα να αποθηκεύει τον εαυτό του στη μνήμη κάποιας συσκευής του συστήματος, και έτσι κατά την εκκίνηση του συστήματος επανεγκαθιστά τον εαυτό του μέσω της λειτουργίας DMA. Το αλλοιωμένο λογισμικό συσκευής μπορεί να ανήκει σε οποιαδήποτε συσκευή, από κάποιον μικροεπεξεργαστή μέχρι σε μια κάρτα επέκτασης PCI. Ακόμη και αν ο διαχειριστής επιχειρήσει να εξουδετερώσει το rootkit κατά την εκτέλεση του λειτουργικού συστήματος, αυτό θα επανέλθει μετά από επανεκκίνηση. Η τεχνική αυτή παρουσιάστηκε από τον John Heasman [19]. 21