Rootkit Development: অপারেটিং সিস্টেমের কার্নেল লেভেলে ম্যালওয়্যার লুকিয়ে রাখার সাইবার কৌশল!

Rootkit-গুলো operating system-এর বিভিন্ন স্তরে কাজ করে:

User-mode Rootkit (Ring 3): User space-এ কাজ করে, সাধারণত DLL injection, API hooking-এর মাধ্যমে। তুলনামূলক সহজ কিন্তু modern EDR দ্বারা সহজে detected। উদাহরণ: HackerDefender, Vanquish।

Kernel-mode Rootkit (Ring 0): Operating system-এর kernel-এ কাজ করে। সম্পূর্ণ system control থাকে। অনেক বেশি stealthy এবং detection কঠিন। উদাহরণ: TDL3, ZeroAccess, Necurs।

Bootkit: Master Boot Record (MBR) বা UEFI firmware-এ থাকে। OS চালু হওয়ার আগেই execute হয়। উদাহরণ: Mebroot, TDL4, MoonBounce (UEFI)।

Hypervisor Rootkit (Ring -1): একটি hardware virtualization layer তৈরি করে যেখানে original OS একটি VM হিসেবে চলে। তত্ত্বগত হলেও Joanna Rutkowska-র Blue Pill প্রমাণ করেছে এটি সম্ভব।

SMM Rootkit (Ring -2): System Management Mode-এ থাকে—একটি অত্যন্ত privileged CPU mode যা OS-এর সম্পূর্ণ বাইরে চলে।

Firmware/Hardware Rootkit: BIOS, network card firmware, hard drive firmware-এ embedded। NSA-র "Equation Group"-এর মতো nation-state actor এই ধরনের rootkit ব্যবহার করেছিল।

আধুনিক operating system-এ kernel-mode access-এর জন্য একটি driver load করতে হয়। Windows-এ এটি একটি .sys file (Kernel Mode Driver), Linux-এ একটি LKM (Loadable Kernel Module), macOS-এ kext (kernel extension)।

Windows-এ একটি rootkit driver সাধারণত DriverEntry function থেকে শুরু হয়। তারপর এটি বিভিন্ন kernel data structure manipulate করে এবং hooking technique প্রয়োগ করে।

Object Manipulation (DKOM - Direct Kernel Object Manipulation)

Windows kernel-এ প্রতিটি running process একটি EPROCESS structure দ্বারা represented। এই structure-গুলো একটি double-linked list-এ থাকে যেখানে ActiveProcessLinks field দ্বারা link করা। Task Manager এবং অধিকাংশ process enumeration API এই linked list traverse করে।

একটি rootkit এই linked list থেকে নিজের process-এর EPROCESS entry remove করতে পারে—PrevLink এবং NextLink pointer manipulate করে। ফলে process running থাকে (থ্রেড schedule হতে থাকে কারণ thread scheduling আলাদা mechanism দিয়ে হয়), কিন্তু কোনো enumeration tool-এ দেখা যায় না।

একইভাবে driver hiding সম্ভব KLDR_DATA_TABLE_ENTRY linked list manipulation-এর মাধ্যমে।

System Service Dispatch Table (SSDT) Hooking

প্রতিটি system call (NtCreateFile, NtOpenProcess, ইত্যাদি)-এর জন্য একটি function pointer SSDT-তে থাকে। যদি rootkit এই table-এর একটি entry override করে নিজের function-এর pointer-এ পরিবর্তন করে, তখন প্রতিটি system call rootkit-এর code-এ পাস হয়।

উদাহরণ: NtQuerySystemInformation-কে hook করে rootkit তার process এবং files-কে result থেকে filter out করতে পারে।

Windows x64-এ Microsoft PatchGuard (Kernel Patch Protection) এই ধরনের SSDT hooking থেকে রক্ষা করার চেষ্টা করে। PatchGuard random interval-এ SSDT integrity check করে এবং tampering শনাক্ত করলে blue screen (BSOD)। তবে advanced rootkit PatchGuard bypass করার চেষ্টা করে।

IRP Hooking

Windows-এ I/O Request Packet (IRP) একটি driver-এর dispatch routine-এর মাধ্যমে handle হয়। File system filter driver বা attaching driver হিসেবে rootkit IRP intercept এবং modify করতে পারে। এটি একটি legitimate technique-ও—anti-virus এই pattern ব্যবহার করে।

Inline Hooking

Target function-এর প্রথম কয়েকটি byte overwrite করে একটি JMP instruction-এ যা rootkit-এর function-এ redirect করে। Trampoline pattern ব্যবহার করে original function execution-ও বজায় রাখা যায়। PatchGuard এই ধরনের modification detect করে।

Filter Driver

Windows-এ legitimate filter driver pattern রয়েছে file system, network এবং disk I/O monitor করার জন্য। একটি rootkit এই legitimate framework ব্যবহার করে নিজেকে integrate করতে পারে।

Linux-এ rootkit সাধারণত LKM হিসেবে আসে। প্রধান techniques:

Syscall Table Hooking: sys_call_table modify করে। Modern kernel-এ এই table read-only memory-তে থাকে, কিন্তু cr0 register-এ Write Protect bit toggle করে modifiable করা যায়।

Kprobes Abuse: Legitimate kernel debugging facility ব্যবহার করে hidden hook।

Hidden Files: VFS layer-এ readdir function hook করে specific filename hide।

Hidden Processes: /proc filesystem-এ entry hide।

Network Hiding: tcp_seq_show hook করে netstat output থেকে specific port hide।

LD_PRELOAD: User-space technique, যা libc function override করে।

বিখ্যাত উদাহরণ: Adore-NG, Diamorphine, Reptile।

পুরনো BIOS-based system-এ MBR-modifying bootkit একটি প্রধান হুমকি ছিল। TDL4, Mebroot, Petya—এই সব MBR rewrite করে boot সিকোয়েন্সে আগে interrupt করত।

আধুনিক UEFI environment-এ Secure Boot এই attack ভেক্টর কঠিন করেছে। কিন্তু এতেও দুর্বলতা পাওয়া গেছে:

LoJax (2018): APT28-এর rootkit যা UEFI-তে persistence অর্জন করেছিল। Disk wipe বা OS reinstall-ও এটি মুছতে পারত না।

MosaicRegressor (2020): Chinese-speaking APT-এর UEFI implant।

MoonBounce (2022): APT41-এর UEFI rootkit যা SPI flash-এ থাকত।

CosmicStrand (2022): Asus motherboard target করা UEFI rootkit।

এই rootkit-গুলো অত্যন্ত sophisticated এবং সম্ভবত nation-state-sponsored। Detection-এর জন্য specialized firmware analysis tool (CHIPSEC, UEFITool) প্রয়োজন।

আধুনিক Windows এবং Linux multiple layer of defense প্রয়োগ করেছে:

Windows

Driver Signature Enforcement (DSE): x64 Windows-এ সব driver-কে Microsoft দ্বারা signed হতে হবে। Self-signed test certificate দিয়ে loadable হলেও test mode-এ চলতে হয় যা বিশেষ markers দেখায়।

PatchGuard (Kernel Patch Protection): Kernel-এর critical data structure-এর integrity continuous check।

Hypervisor-Protected Code Integrity (HVCI): VBS (Virtualization-Based Security) ব্যবহার করে kernel memory-কে protect। Code Integrity check Hyper-V hypervisor-এর মাধ্যমে enforce।

Secure Boot: Boot chain-এ সব component signed হতে হবে।

Driver Block List: Microsoft একটি vulnerable driver list maintain করে যেগুলো BYOVD (Bring Your Own Vulnerable Driver) attack-এ ব্যবহৃত হয়। HVCI enabled থাকলে এই driver block।

Kernel CET (Control-Flow Enforcement Technology): Hardware-assisted shadow stack এবং indirect branch tracking।

Linux

Module Signing: Linux 3.7+ এ kernel module signing enforced করা যায়।

Kernel Lockdown Mode: Root user-ও runtime-এ kernel modify করতে পারে না।

SELinux/AppArmor: Mandatory access control।

KASLR (Kernel Address Space Layout Randomization): Kernel base address randomization।

KPTI (Kernel Page Table Isolation): Spectre/Meltdown-এর response।

eBPF: Kernel-এ unprivileged code execute করার আধুনিক mechanism—যা legitimate use এবং rootkit potential দুটোই।

Rootkit detection একটি challenging field:

Cross-View Detection: System-এর state দুই ভিন্ন level থেকে দেখা—যেমন API call থেকে এবং raw disk read থেকে। যদি দুটো view-এ পার্থক্য থাকে, এটি hiding-এর ইন্ডিকেটর। GMER, Rootkit Revealer এই principle ব্যবহার করে।

Memory Forensics: Volatility, Rekall দিয়ে memory dump analysis। Unlinked process detection, kernel structure inspection।

Behavioral Detection: Kernel-এর activity profile করা—কোন driver কী API call করছে।

Hardware Performance Counters: কিছু গবেষণায় HPC ব্যবহার করে stealthy malware detection করার চেষ্টা।

Firmware Validation: CHIPSEC, ESET-এর UEFI scanner দিয়ে firmware integrity check।

EDR Kernel Sensors: Modern EDR (CrowdStrike, SentinelOne, Microsoft Defender) kernel-level callback ব্যবহার করে driver load, process creation, এবং sensitive object access monitor।

Enterprise level-এ rootkit threat-এর বিরুদ্ধে কার্যকর প্রতিরক্ষা:

Modern Hardware: TPM 2.0, Secure Boot, Intel CET, Intel TXT, AMD SVM-সম্পন্ন hardware deploy। Pre-2018 hardware এড়ানো।

HVCI এবং Memory Integrity: Windows 11/Server 2022-এ HVCI enable করা। Hyper-V-based isolation।

Application Control: Windows Defender Application Control (WDAC) policy—শুধু signed এবং trusted code execute।

EDR with Kernel Visibility: Mature EDR সলিউশন যা kernel-level events monitor করে।

Driver Management: Allowed driver list maintain। Suspicious vulnerable driver (Dell-এর dbutil, MSI-এর LiveUpdate driver) block।

Patch Management: OS এবং firmware-এর latest patches। Lenovo, Dell, HP-এর firmware update process automate।

Secure Boot Verification: Boot integrity continuously verify। Microsoft Defender for Endpoint-এর Secured-core PC initiative।

Network Segmentation: যদি একটি system compromise হয়, lateral movement কঠিন করা।

Threat Hunting: Proactive memory analysis, unusual driver behavior investigation।

Backup এবং Recovery: Verified, offline backup। Rootkit detection হলে rebuild from clean image।

Supply Chain Security: Trusted hardware vendor। OEM-এর firmware update channel verify।

Rootkit development knowledge dual-use—malicious এবং defensive। Researchers কীভাবে rootkit কাজ করে তা না জানলে effective defense build করতে পারবেন না। তবে real-world deployment-এ ব্যবহার করা—target system-এর owner-এর permission ছাড়া—সব jurisdiction-এ অপরাধ। Authorized red team engagement বা personal research lab-এ এই knowledge প্রয়োগ legitimate।