Post on 11-Jul-2015
Thomas Tortelboom & Jasper Zuallaert
Wat zijn rootkits?
Rootkits in opmars
Verschillende gebruiksmethodes
Soorten rootkits
Integratie van een rootkit
De strijd tegen rootkits
Conclusie
2
3
Moeilijk te
verwijderen
Moeilijk te
detecteren
Tools installeren op
computer
Toegang verkrijgen
4
Gezond Besmet
3 10 10
100
200+
0
50
100
150
200
250
<2003 2003 2004 2005 2006
Aantal rootkit aanvallen per jaarAantal
5
Jaar Bron: Panda Software
6
Aanvallen doeltreffender maken
Informatie verkrijgen
vb. door antivirus uit te schakelen
vb. phishing, pharming, sniffers
7
Hacker
Zombie Computer
Zombie Computer
Spam-doelwit
Spam-doelwit
Spam-doelwit
Spam-doelwit
Spam-doelwit
Spam-doelwit
Hacker dringt binnen en installeert rootkit
Rootkit vervangt een programma
Gebruiker detecteert en verwijdert de rootkit
Gebruiker zit zonder programma
8
9
Copyright bescherming op CD’s
Maar: geen uninstaller
Tegen deleten van belangrijke
files
Maar: niet detecteerbaar door
antivirus mogelijk doelwit
10
User-mode
In het OS, buiten de kernel
Specifieke geheugensegmentenvb. drivers vervangen
Info onderscheppen
Kernel-level
In de kern van het OS
Controle over het OS
Info vervalsen
Binnenbreken op computer
bv. Trojan horse
Uploaden en installeren van
de rootkit op de computer
Rootkit vervangt
bestanden, commands, …
11
Lopende processen lezen en wijzigenbv. keyloggers, virussen verspreiden
12
Verscheidene security tools
Bepaald gedrag herkennen
Zoeken naar ‘code signatures’
typisch voor rootkits
13
Steeds meer en betere rootkits
Om het probleem op te lossen
Meer en betere anti-rootkitsoftwareProbleem: wordt vaak weer omzeild
Coöperatie tussen partijen die normaal
niet samenwerken vb. OS ontwikkelaars, ISP’s, …