ルートキットとは何ですか？

ルートキットは、ルートレベルの権限で何らかの方法でターゲットマシンにアクセスしたときにターゲットマシン上で実行するツールのセットです。ルートキットのポイントは、その一時的なアクセスを常に開いているドアに変換することです。ルートキットの例としては、sshdバイナリを変更したものがあります。そのため、「通常の」パスワードの種類に関係なく、「root」のパスワードとして常に「8gh347vb45」を受け入れます。ルートです。これにより、攻撃者は最初に使用したエクスプロイトのフープを再度経由する必要なく、後で戻ってくることができます。

ルートキットの最初のタスクは、それ自体を隠し、アップグレードに抵抗することです。ルートキットが単にsshdを変更するだけの場合（これは例です）、opensshパッケージの次のアップグレードでルートキットが削除されます。より耐性のあるルートキットはパッケージマネージャーも変更するため、opensshがアップグレードされると、新しいsshdが自動的に変更され、攻撃者用の追加のアクセスポイントが開いたままになります。

最も強力なルートキットは、ハードウェアを実際に管理するソフトウェアであるカーネルを変更します。すべてのプロセス（rootを含むすべてのユーザーの場合）がデータまたはハードウェアリソース（ファイルの読み取りや書き込みなど）にアクセスするときは、カーネルに適切に問い合わせてください。カーネルにインストールされたルートキットはファイルを非常に効果的に隠すことができ、カーネルのアップグレードのたびに再インストールできます。これは、そのようなアップグレードがカーネルコードを含むファイルの別のファイルへの置き換えになるためです。カーネル。

カーネルモジュールは、カーネルに動的にロードされるコードの一部です。 Linuxでは、1.3.xシリーズのある時点までは、ブートローダーによって一度にRAMにロードされた単一のモノリシックコードブロックでした。モジュールは、後でライブカーネルに追加できるコードのチャンクです。彼らの目的は、対応するドライバコードを常にRAMに含める必要なく、カーネルが数百種類のハードウェアを潜在的に処理できるようにすることでした。その考え方は、マシン上で新しいハードウェアが検出されると、対応するコードがロードされ、カーネルに最初から存在しているかのようにリンクされます。

rootユーザーには、モジュールのロードを要求する権限があります。したがって、これはroot特権を持ついくつかのコードがカーネル自体に挿入された任意のコードを取得し、カーネルに付与された権限で実行する方法です。つまり、すべてのハードウェアとプロセス（いわゆる「リング」 x86の世界では0 '）。これがまさにカーネルルートキットに必要なものです。

編集：3番目の質問（新人に対してパッチを当てることができます）の場合、一般的な答えはno（構造上、Unixシステムでは、rootはマシン上ですべてを実行できます）しかし、具体的な答えはyesです。たとえば、ほとんどのルートプロセスが実行できる処理に制約を追加するセキュリティフレームワーク（例： SELinux ）があり、カーネルモジュールのロードを禁止できます。これは、攻撃者が想定している一時的なルートアクセスがtrueルートアクセスではなく、「ほぼルート」のみであることを意味します。別の可能な機能は signed modules （カーネルは暗号で署名されていないモジュールを拒否するため、ルートキットは独自のモジュールをインストールする前に秘密鍵を見つけて使用する必要があり、これは不可能かもしれません）そのキーがマシン自体に保存されていない場合）（署名済みモジュールのサポートが現在Linuxカーネルに統合されているかどうかはわかりません）。また、モジュールはカーネルコードとリンクする必要があるため、カーネルバージョン間のばらつきに非常に敏感になります。したがって、実際の対策がない場合でも、ルートキットが確実にになるのは困難ですアップグレード時に新しいカーネルに再感染します。