Thomas Tortelboom & Jasper Zuallaert

Wat zijn rootkits?

Rootkits in opmars

Verschillende gebruiksmethodes

Soorten rootkits

Integratie van een rootkit

De strijd tegen rootkits

Conclusie

2

3

Moeilijk te

verwijderen

Moeilijk te

detecteren

Tools installeren op

computer

Toegang verkrijgen

4

Gezond Besmet

3 10 10

100

200+

0

50

100

150

200

250

<2003 2003 2004 2005 2006

Aantal rootkit aanvallen per jaarAantal

5

Jaar Bron: Panda Software

6

Aanvallen doeltreffender maken

Informatie verkrijgen

vb. door antivirus uit te schakelen

vb. phishing, pharming, sniffers

7

Hacker

Zombie Computer

Zombie Computer

Spam-doelwit

Spam-doelwit

Spam-doelwit

Spam-doelwit

Spam-doelwit

Spam-doelwit

Hacker dringt binnen en installeert rootkit

Rootkit vervangt een programma

Gebruiker detecteert en verwijdert de rootkit

Gebruiker zit zonder programma

8

9

Copyright bescherming op CD’s

Maar: geen uninstaller

Tegen deleten van belangrijke

files

Maar: niet detecteerbaar door

antivirus mogelijk doelwit

10

User-mode

In het OS, buiten de kernel

Specifieke geheugensegmentenvb. drivers vervangen

Info onderscheppen

Kernel-level

In de kern van het OS

Controle over het OS

Info vervalsen

Binnenbreken op computer

bv. Trojan horse

Uploaden en installeren van

de rootkit op de computer

Rootkit vervangt

bestanden, commands, …

11

Lopende processen lezen en wijzigenbv. keyloggers, virussen verspreiden

12

Verscheidene security tools

Bepaald gedrag herkennen

Zoeken naar ‘code signatures’

typisch voor rootkits

13

Steeds meer en betere rootkits

Om het probleem op te lossen

Meer en betere anti-rootkitsoftwareProbleem: wordt vaak weer omzeild

Coöperatie tussen partijen die normaal

niet samenwerken vb. OS ontwikkelaars, ISP’s, …