จะตรวจจับรูทคิทบน Windows, Linux และ Mac ได้อย่างไร

คุณมาถูกที่แล้ว หากคุณต้องการเรียนรู้วิธีตรวจหารูทคิตบนระบบปฏิบัติการต่างๆ และวิธีป้องกัน

รูทคิทเป็นมัลแวร์ที่แฝงตัวและเป็นอันตรายถึงชีวิตที่แฮ็กเกอร์ใช้เพื่อควบคุมคอมพิวเตอร์หรือเครือข่ายอย่างสมบูรณ์ เมื่อใช้รูทคิท ผู้โจมตีสามารถจัดการและขโมยข้อมูลจากระบบได้อย่างง่ายดาย

รูทคิทอาจดูเหมือนเป็นซอฟต์แวร์ชิ้นเดียว แต่โดยปกติแล้วจะเป็นชุดเครื่องมือที่ช่วยให้ผู้โจมตีเข้าถึงระบบเป้าหมายโดยไม่ได้รับอนุญาตจากผู้ดูแลระบบในขณะที่ปกปิดการมีอยู่ของมันอย่างแข็งขัน

เมื่อรูทคิทถูกวางลงในระบบแล้ว ผู้โจมตีจะสามารถเรียกใช้ไฟล์ระยะไกลและเปลี่ยนการกำหนดค่าระบบของเครื่องโฮสต์ได้ วิธีที่ง่ายที่สุดในการระบุการติดรูทคิตในระบบหรือเซิร์ฟเวอร์คือการเรียกใช้การสแกนรูทคิต

มาเริ่มกันเลย.

จะตรวจจับรูทคิทในระบบได้อย่างไร?

การตรวจจับรูทคิตด้วยตนเองบนคอมพิวเตอร์หรือเซิร์ฟเวอร์ไม่ใช่เรื่องง่าย รูทคิทมักจะปลอมตัวอยู่ในรูปแบบของแอปพลิเคชันอื่นหรือไฟล์ การตรวจจับการปรากฏตัวของพวกเขาจึงเป็นเรื่องยาก อย่างไรก็ตาม มีเครื่องมือบรรทัดคำสั่ง ซอฟต์แวร์ และวิธีการตรวจสอบรูทคิตในระบบปฏิบัติการต่างๆ โดยอัตโนมัติ

Windows

สำหรับ windows ไม่มีเครื่องมือบรรทัดคำสั่งในการตรวจหารูทคิต อย่างไรก็ตาม แอปพลิเคชั่นสแกนเนอร์ที่ทรงพลังและละเอียดถี่ถ้วนที่เรียกว่า GMER จะตรวจจับและแม้กระทั่งลบรูทคิตออกจากระบบ Windows อย่างมีประสิทธิภาพ

เครื่องมือนี้ค้นหาทั้งระบบสำหรับเธรดที่ซ่อนอยู่ รีจิสตรีคีย์ และกระบวนการที่ซ่อนอยู่อื่นๆ ทำการวิเคราะห์ทุกประเภท เช่น พฤติกรรม ลายเซ็น และการตรวจสอบความสมบูรณ์เพื่อตรวจจับและลบรูทคิต

แอปพลิเคชันนี้มีประโยชน์ในการตรวจหารูทคิตทุกประเภท เช่น โหมดเคอร์เนล แอปพลิเคชัน หน่วยความจำ และรูทคิตสำหรับบูตโหลดเดอร์ มันทำงานบนระบบปฏิบัติการ Windows ที่สำคัญทั้งหมด

Linux และ Mac OS

ในการแจกจ่าย Linux และ Mac OS ทั้งหมด คุณสามารถตรวจหารูทคิตได้อย่างง่ายดายโดยใช้เครื่องมือบรรทัดคำสั่ง chkrootkit และ rkhunter

ใช้ chkrootkit

chkrootkit ค้นหาโทรจัน มัลแวร์ และรหัสที่เป็นอันตรายประเภทอื่นๆ ในระบบไบนารีของเครื่องอย่างละเอียด ค้นหาการเปลี่ยนแปลงที่รูทคิททำในไบนารีที่ปฏิบัติการได้ของระบบ chkrootkit ไม่ได้ติดตั้งไว้ล่วงหน้าในการแจกจ่าย Linux

เครื่องมือนี้ใช้งานง่ายและสามารถติดตั้งได้ด้วยคำสั่งต่อไปนี้:

 sudo apt-get install chkrootkit

หรือคุณสามารถติดตั้งได้โดยการโคลนที่เก็บ Git

 git clone https://github.com/Magentron/chkrootkit.git

ถัดไป ไปที่ไดเร็กทอรีนั้นและเรียกใช้ chkrootkit

 ./chkrootkit

คำสั่งนี้เริ่มการค้นหารูทคิทในระบบ คุณสามารถใช้คำสั่ง help สำหรับคำแนะนำเพิ่มเติมเกี่ยวกับการใช้เครื่องมือนี้

 ┌──(rootkali)-[/home/geekflare/chkrootkit] └─# ./chkrootkit -help Usage: ./chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs

เครื่องมือนี้ทำงานเป็นหลักในการวิเคราะห์ลายเซ็นและการตรวจสอบความสมบูรณ์เพื่อค้นหารูทคิตในระบบหรือเซิร์ฟเวอร์

ใช้ rkhunter

อีกทางหนึ่งมีเครื่องมือบรรทัดคำสั่งอื่นเพื่อค้นหารูทคิตในลีนุกซ์รุ่นต่างๆ นั่นคือ rkhunter เครื่องมือนี้ยังสามารถตรวจจับการแสวงประโยชน์จากระยะไกลและแบ็คดอร์ในระบบได้อีกด้วย เพียงติดตั้งเครื่องมือนี้โดยใช้คำสั่งต่อไปนี้

 $ sudo apt-get install rkhunter

ขั้นตอนต่อไปคือการเรียกใช้ rkhunter เพื่อตรวจหาแบ็คดอร์และรูทคิท

 $ rkhunter -c

มันทำการค้นหาและสถานะจะได้รับตามค่าเริ่มต้น หากมีปัญหาใดๆ จะแสดงเป็นสีแดง

นี่เป็นเครื่องมือที่สมบูรณ์แบบสำหรับการวิเคราะห์ทางนิติเวช เนื่องจากจะทำการทดสอบเครือข่ายเพิ่มเติม การตรวจสอบโมดูลเคอร์เนล และการทดสอบอื่นๆ ที่ chrootkit ไม่ทำ

เครื่องมือนี้ทำงานเกี่ยวกับการวิเคราะห์พฤติกรรม การวิเคราะห์ลายเซ็น และใช้เงื่อนไขการบูตบนสื่อต่างๆ เพื่อตรวจหารูทคิต

ตรวจสอบให้แน่ใจว่าคุณอัปเดตฐานข้อมูลเครื่องมือ chkrootkit และ rkhunter ก่อนทำการสแกน เมื่อนั้นคุณจะสามารถตรวจพบรูทคิทล่าสุดที่ออกอยู่ในปัจจุบันได้ เพื่อสิ่งนี้ ตรวจสอบให้แน่ใจว่าระบบ Linux ของคุณอัปเดตด้วยแพตช์ใหม่ล่าสุดโดยใช้คำสั่งด้านล่าง

 $ sudo apt update && sudo apt upgrade

เครื่องมือกำจัดรูทคิท

แอปพลิเคชั่นและเครื่องมือลบรูทคิตที่แสดงด้านล่างนั้นใช้งานง่ายและมีประสิทธิภาพ เครื่องมือเหล่านี้สามารถตรวจจับและลบรูทคิทออกจากระบบได้โดยอัตโนมัติ

#1. เครื่องมือ Avast Rootkit Scanner มีประสิทธิภาพในการตรวจจับและลบรูทคิตออกจากการสแกนลายเซ็นระบบ การวิเคราะห์การถ่ายโอนข้อมูลหน่วยความจำและการค้นหาหน่วยความจำระบบเป็นคุณลักษณะบางอย่าง โปรแกรมนี้ยังติดตามการเรียกไลบรารี DLL (Dynamic-Link Libraries) ทั้งหมดที่นำเข้า

มีระบบการรายงานที่ครอบคลุมซึ่งช่วยให้คุณดูผลการสแกนในปัจจุบันและก่อนหน้าและรายงานการแจ้งเตือนทางอีเมลหลังจากการสแกนแต่ละครั้ง

ไม่เพียงแค่คอมพิวเตอร์เท่านั้น แต่คุณยังสามารถลบรูทคิตออกจากอุปกรณ์พกพา Android หรือ iOS โดยใช้ Avast

#2. Malware Bytes ป้องกันรูทคิต แอดแวร์ สปายแวร์ และภัยคุกคามอื่นๆ ไม่ให้ติดคอมพิวเตอร์ของคุณ โปรแกรมนี้ตรวจสอบความสมบูรณ์ของหน่วยความจำเคอร์เนลและแจ้งเตือนผู้ใช้ถึงปัญหาที่อาจเกิดขึ้น ช่วยให้คุณสามารถสแกนระบบของคุณเพื่อหารูทคิทด้วยการคลิกเพียงครั้งเดียว สิ่งนี้จะช่วยให้คุณปลอดภัยทางออนไลน์ในขณะที่คอมพิวเตอร์ของคุณทำงานได้อย่างราบรื่น

#3. Lynis เป็นเครื่องมือตรวจสอบความปลอดภัยที่ยอดเยี่ยมสำหรับระบบ Linux & BSD โดยจะตรวจสอบองค์ประกอบต่างๆ ของการรักษาความปลอดภัยและการกำหนดค่าระบบของคุณอย่างละเอียด Lynis สามารถตรวจพบปัญหาด้านความปลอดภัย เช่น รูทคิทและแบ็คดอร์ ตลอดจนข้อบกพร่องในการกำหนดค่า

แทนที่จะระบุข้อบกพร่องเพียงอย่างเดียว แต่ยังให้วิธีแก้ไข เช่น ไฟล์ที่จะลบและสิ่งที่ต้องทำเพื่อหลีกเลี่ยงการติดเชื้อซ้ำ

#4. Malware Fox ใช้ไลบรารีรูทคิทบนคลาวด์ จะตรวจสอบระบบสำหรับรูทคิททุกประเภท นอกจากนี้ยังสามารถตรวจพบ รู ทคิต ขั้น สูง เช่น คีย์ล็อกเกอร์ มันสามารถตรวจจับและลบรูทคิททุกประเภทและปิดแบ็คดอร์ที่แฮกเกอร์อาจใช้เพื่อเข้าถึงคอมพิวเตอร์ของคุณ ฐานข้อมูลยังได้รับการอัปเดตเป็นประจำเพื่อให้มั่นใจในความปลอดภัยสูงสุด

#5. Sophos เป็นเครื่องมือแสนสะดวกที่ตรวจจับและลบรูทคิทอย่างรวดเร็ว เครื่องมือนี้ใช้การวิเคราะห์พฤติกรรมเป็นหลัก ( ตรวจสอบพฤติกรรมของทุกไฟล์และแอปพลิเคชัน ) และหากไฟล์หรือโปรแกรมใดทำงานคล้ายกับรูทคิต ไฟล์เหล่านั้นจะถูกลบออกทันที มันยังปกป้องรีจิสตรีคีย์และตำแหน่งไฟล์จากการติดไวรัสอีกครั้ง

บทสรุป

ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่ซับซ้อนและทรงพลังบนคอมพิวเตอร์ของคุณและคอยระวังตลอดเวลาขณะเปิดไฟล์แนบและอีเมลที่ไม่รู้จัก ดาวน์โหลดไฟล์และโปรแกรมจากแหล่งที่เชื่อถือได้เท่านั้น การป้องกันรูทคิตที่ดีที่สุดคือการตั้งค่ากระบวนการสำรองข้อมูลอัตโนมัติและเข้ารหัสไปยังที่เก็บข้อมูลบนคลาวด์

หากรูทคิตติดไวรัสระบบของคุณอย่างสุดซึ้ง วิธีเดียวที่จะลบออกคือติดตั้งระบบปฏิบัติการใหม่

คุณอาจสนใจที่จะเรียนรู้เกี่ยวกับเครื่องมือในการสแกนเซิร์ฟเวอร์ Linux เพื่อหามัลแวร์และข้อบกพร่องด้านความปลอดภัย