Definiția și sensul rootkit-ului
Un rootkit este un tip de malware conceput pentru a oferi hackerilor acces și control asupra unui dispozitiv țintă. Deși majoritatea rootkit-urilor afectează software-ul și sistemul de operare, unele pot infecta și hardware-ul și firmware-ul computerului. Rootkit-urile sunt adepți în a-și ascunde prezența, dar în timp ce rămân ascunse, sunt active.
Odată ce obține acces neautorizat la computere, rootkiturile permite infractorilor cibernetici pentru a fura date personale și informații financiare, instalați computerele malware sau de a folosi ca parte a unui botnet de a spam – ului Circulate și să participe la DDoS (negare distribuite de serviciu) atacuri .
Numele „rootkit” derivă din sistemele de operare Unix și Linux, unde cel mai privilegiat administrator de cont este numit „rădăcină”. Aplicațiile care permit accesul neautorizat la nivel de rădăcină sau administrator la dispozitiv sunt cunoscute sub denumirea de „kit”.
Modalități de utilizare a rootkit-ului
Hackerii instalează rootkit-uri pe mașinile țintă în mai multe moduri:
- Cel mai frecvent este prin phishing sau alt tip de atac de inginerie socială . Victimele descarcă și instalează fără să știe malware care se ascunde în alte procese care rulează pe mașinile lor și le oferă hackerilor controlul asupra aproape tuturor aspectelor sistemului de operare.
- O altă modalitate este prin exploatarea unei vulnerabilități – adică o slăbiciune a software-ului sau a unui sistem de operare care nu a fost actualizat – și forțarea rootkit-ului pe computer.
- Programele malware pot fi, de asemenea, combinate cu alte fișiere, cum ar fi PDF-uri infectate, medii piratate sau aplicații obținute din magazine terțe suspecte.
Rootkit-urile funcționează în apropierea sau în interiorul nucleului sistemului de operare, ceea ce le oferă posibilitatea de a iniția comenzi către computer. Orice lucru care utilizează un sistem de operare este o țintă potențială pentru un rootkit – care, pe măsură ce Internetul lucrurilor se extinde, poate include articole precum frigiderul sau termostatul.
Rootkit-urile pot ascunde keylogger-urile, care captează apăsările de taste fără consimțământul dvs. Acest lucru face ca infractorii cibernetici să vă fure cu ușurință informațiile personale, cum ar fi cardul de credit sau detaliile bancare online. Rootkit-urile pot permite hackerilor să vă folosească computerul pentru a lansa atacuri DDoS sau pentru a trimite e-mailuri spam. Ele pot chiar dezactiva sau elimina software-ul de securitate.
Unele rootkit-uri sunt folosite în scopuri legitime – de exemplu, furnizarea de asistență IT de la distanță sau asistarea autorităților de aplicare a legii. În mare parte, totuși, sunt folosite în scopuri rău intenționate. Ceea ce face rootkit-urile atât de periculoase sunt diferitele forme de malware pe care le pot furniza, care pot manipula sistemul de operare al unui computer și pot oferi utilizatorilor de la distanță acces administrativ.
Tipuri de rootkit-uri
1. Rootkit hardware sau firmware
Rootkit-urile hardware sau firmware vă pot afecta hard disk-ul, routerul sau BIOS-ul sistemului, care este software-ul instalat pe un mic cip de memorie de pe placa de bază a computerului. În loc să vizeze sistemul dvs. de operare, acestea vizează firmware-ul dispozitivului dvs. pentru a instala malware care este greu de detectat. Deoarece afectează hardware-ul, le permit hackerilor să înregistreze apăsările de la taste , precum și să monitorizeze activitatea online. Deși mai puțin comune decât alte tipuri, rootkit-urile hardware sau firmware reprezintă o amenințare gravă la adresa siguranței online.
2. Rootkit pentru încărcător de pornire
Mecanismul bootloader-ului este responsabil pentru încărcarea sistemului de operare pe un computer. Rootkit-urile bootloader atacă acest sistem, înlocuind bootloader-ul legitim al computerului dvs. cu unul piratat. Acest lucru activează rootkit-ul chiar înainte ca sistemul de operare al computerului să fie complet încărcat.
3. Rootkit de memorie
Rootkiturile de memorie se ascund în memoria cu acces aleatoriu (RAM) a computerului și folosesc resursele computerului pentru a efectua activități rău intenționate în fundal. Rootkit-urile de memorie afectează performanța RAM a computerului. Deoarece locuiesc doar în memoria RAM a computerului și nu injectează cod permanent, rootkit-urile de memorie dispar de îndată ce reporniți sistemul – deși uneori este nevoie de eforturi suplimentare pentru a scăpa de ele. Durata lor scurtă de viață înseamnă că tind să nu fie percepuți ca o amenințare semnificativă.
4. Aplicație rootkit
Rootkit-urile aplicațiilor înlocuiesc fișierele standard din computerul dvs. cu fișiere rootkit și pot chiar schimba modul în care funcționează aplicațiile standard. Aceste rootkit-uri infectează programe precum Microsoft Office, Notepad sau Paint. Atacatorii pot obține acces la computerul dvs. de fiecare dată când rulați acele programe. Deoarece programele infectate încă rulează normal, detectarea rootkit-urilor este dificilă pentru utilizatori – dar programele antivirus le pot detecta, deoarece ambele operează pe stratul de aplicație.
5. Rootkit-uri în modul Kernel
Rootkit-urile în modul kernel sunt printre cele mai severe tipuri ale acestei amenințări, deoarece vizează chiar miezul sistemului dumneavoastră de operare (adică nivelul kernel-ului). Hackerii le folosesc nu numai pentru a accesa fișierele de pe computer, ci și pentru a schimba funcționalitatea sistemului de operare prin adăugarea propriului cod.
6. Rootkit-uri virtuale
Un rootkit virtual se încarcă sub sistemul de operare al computerului. Apoi găzduiește sistemele de operare țintă ca o mașină virtuală, ceea ce îi permite să intercepteze apelurile hardware efectuate de sistemul de operare original. Acest tip de rootkit nu trebuie să modifice nucleul pentru a submina sistemul de operare și poate fi foarte greu de detectat.
Cum se detectează rootkit-urile
Detectarea prezenței unui rootkit pe un computer poate fi dificilă, deoarece acest tip de malware este conceput în mod explicit pentru a rămâne ascuns. De asemenea, rootkit-urile pot dezactiva software-ul de securitate, ceea ce face sarcina și mai dificilă. Drept urmare, malware-ul rootkit ar putea rămâne pe computerul dvs. mult timp, provocând daune semnificative.
Posibilele semne de malware rootkit includ:
1. Ecran albastru
Un volum mare de mesaje de eroare Windows sau ecrane albastre cu text alb (uneori numit „ecranul albastru al morții”), în timp ce computerul trebuie să repornească constant.
2. Comportament neobișnuit de browser web
Acestea pot include marcaje nerecunoscute sau redirecționarea linkurilor.
3. Performanță lentă a dispozitivului
Dispozitivul dvs. poate dura ceva timp să pornească și să funcționeze lent sau să înghețe des. De asemenea, ar putea să nu răspundă la intrarea de la mouse sau tastatură.
4. Setările Windows se modifică fără permisiune
Exemplele ar putea include schimbarea screensaverului, ascunderea barei de activități sau afișarea incorectă a datei și orei – când nu ați schimbat nimic.
5. Paginile web nu funcționează corect
Paginile web sau activitățile de rețea par intermitente sau nu funcționează corect din cauza traficului excesiv de rețea.
O scanare rootkit este cea mai bună modalitate de a detecta o infecție rootkit, pe care soluția dumneavoastră antivirus o poate iniția. Dacă suspectați un virus rootkit, o modalitate de a detecta infecția este oprirea computerului și executarea scanării dintr-un sistem curat cunoscut.
Analiza comportamentală este o altă metodă de detectare a rootkit-urilor. Aceasta înseamnă că, în loc să cauți rootkit-ul, cauți comportamente asemănătoare rootkit-ului. În timp ce scanările direcționate funcționează bine dacă știți că sistemul se comportă ciudat, o analiză comportamentală vă poate avertiza cu privire la un rootkit înainte de a realiza că sunteți atacat.
Cum să scapi de rootkit
Eliminarea unui rootkit este un proces complex și necesită de obicei instrumente specializate, cum ar fi utilitarul TDSSKiller de la Kaspersky , care poate detecta și elimina rootkit-ul TDSS. Uneori, singura modalitate de a elimina complet un rootkit bine ascuns este să ștergeți sistemul de operare al computerului și să reconstruiți de la zero.
Cum să preveniți rootkit-urile
Deoarece rootkit-urile pot fi periculoase și greu de detectat, este important să rămâneți vigilenți atunci când navigați pe internet sau descărcați programe. Multe dintre aceleași măsuri de protecție pe care le luați pentru a evita virușii informatici ajută, de asemenea, la minimizarea riscului de rootkit:
1. Utilizați o soluție completă de securitate cibernetică
Fiți proactiv în ceea ce privește securizarea dispozitivelor și instalați o soluție antivirus cuprinzătoare și avansată. Kaspersky Total Security oferă protecție la scară completă împotriva amenințărilor cibernetice și, de asemenea, vă permite să executați scanări rootkit.
2. Fii la curent
Actualizările permanente ale software-ului sunt esențiale pentru a fi în siguranță și pentru a preveni hackerii să vă infecteze cu malware. Păstrați toate programele și sistemul de operare la zi pentru a evita atacurile rootkit care profită de vulnerabilități.
3. Fii atent la escrocherii de tip phishing
Phishingul este un tip de atac de inginerie socială în care escrocii folosesc e-mailul pentru a păcăli utilizatorii să le furnizeze informațiile financiare sau să descarce software rău intenționat, cum ar fi rootkit-urile. Pentru a preveni infiltrarea rootkit-urilor în computer, evitați să deschideți e-mailuri suspecte, mai ales dacă expeditorul nu vă este familiar. Dacă nu sunteți sigur dacă un link este de încredere, nu faceți clic pe el.
4. Descărcați fișiere numai din surse de încredere
Fiți atenți când deschideți atașamente și evitați să deschideți atașamente de la persoane pe care nu le cunoașteți pentru a preveni instalarea rootkit-ului pe computer. Descărcați software numai de pe site-uri de renume. Nu ignorați avertismentele browserului dvs. web atunci când vă spune că un site web pe care încercați să îl vizitați este nesigur.
5. Fii atent la comportamentul sau performanța computerului tău
Problemele de comportament ar putea indica faptul că un rootkit este în funcțiune. Fiți atenți la orice modificări neașteptate și încercați să aflați de ce se întâmplă acestea.
Rootkit-urile sunt unul dintre cele mai dificile tipuri de malware de găsit și eliminat. Deoarece sunt greu de detectat, prevenirea este adesea cea mai bună apărare. Pentru a asigura o protecție continuă, continuați să aflați despre cele mai recente amenințări la adresa securității cibernetice.
Mai multe despre Rootkit: