रूटकिट: Difference between revisions
No edit summary |
No edit summary |
||
| Line 3: | Line 3: | ||
रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/> | रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/> | ||
रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]] रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि | रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]] रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है। | ||
रूटकिट का पता लगाना | रूटकिट का पता लगाना कठिन है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात|मेमोरी डंप]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है। | ||
== इतिहास == | == इतिहास == | ||
| Line 503: | Line 503: | ||
| work = USENIX | | work = USENIX | ||
| publisher=[[USENIX]] | | publisher=[[USENIX]] | ||
}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]]िंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना | }}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]]िंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web | ||
|url = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf | |url = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf | ||
|title = Defeating Rootkits and Keyloggers | |title = Defeating Rootkits and Keyloggers | ||
| Line 668: | Line 668: | ||
== हटाना == | == हटाना == | ||
एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद | एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद कठिन होता है,<ref name="McAfee2">{{cite web | ||
| url=http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf | | url=http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf | ||
| title=रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर| publisher=[[McAfee]] | | title=रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर| publisher=[[McAfee]] | ||
Revision as of 19:57, 26 December 2022
रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।[1] शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।[2] रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।[1]
रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।[3] इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
रूटकिट का पता लगाना कठिन है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और मेमोरी डंप विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
इतिहास
शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के दुर्भावनापूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।[4] यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।Cite error: Closing </ref> missing for <ref> tag 1983 में ट्यूरिंग पुरस्कार प्राप्त करने पर दिए गए व्याख्यान में, बेल लैब्स के केन थॉम्पसन, यूनिक्स के रचनाकारों में से एक, ने यूनिक्स वितरण में सी संकलक को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा login आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त पिछले दरवाजे (कंप्यूटिंग) पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा login कमांड या अपडेटेड कंपाइलर किसी भी दुर्भावनापूर्ण कोड को प्रकट नहीं करेगा।[5] यह कारनामा एक रूटकिट के बराबर था।
व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन (कंप्यूटर वायरस) ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां इसकी एक प्रति थी। मूल बूट सेक्टर रखा गया था।[1] समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।[1]
विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला दुर्भावनापूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था।[6]इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।[1]पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया,[7] जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।[8]
सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल
2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।[9] सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की।[1]आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।[10] स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।[1]बीबीसी के एक विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा।[11] सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच (कंप्यूटिंग) जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।[12] कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक वर्ग कार्रवाई | क्लास-एक्शन मुकदमा लाया गया था।[13]
ग्रीक वायरटैपिंग मामला 2004–05
ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,[14] वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाषों की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।[15] रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को sysadmin स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।[15]घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की