rootkit je program, nebo, více často, sbírka softwarových nástrojů, které dává škodlivý herec vzdálený přístup a kontrolu nad počítačem, nebo jiný systém. Zatímco pro tento typ softwaru existují legitimní použití, jako je poskytování vzdálené podpory koncovým uživatelům, většina rootkitů otevírá zadní vrátka v systémech obětí pro zavedení škodlivého softwaru, jako jsou viry, ransomware, programy keylogger nebo jiné typy malwaru, nebo použít systém pro další útoky na zabezpečení sítě., Rootkity se často pokoušejí zabránit detekci škodlivého softwaru pomocí antivirového softwaru endpoint.
Rootkity mohou být instalovány v mnoha způsoby, včetně útoky typu phishing nebo sociální inženýrství taktiky, aby se oklamat uživatele do dávání rootkit povolení musí být nainstalován na oběť systému, často dávat vzdálené zločinci přístup správce k systému.
po instalaci poskytuje rootkit vzdálenému herci přístup a kontrolu nad téměř všemi aspekty operačního systému (OS)., Starší antivirové programy se často snažily detekovat rootkity, ale většina antimalwarových programů má dnes možnost vyhledávat a odstraňovat rootkity skrývající se v systému.
jak fungují rootkity
protože rootkity se nemohou samy šířit, závisí na tajných metodách infikování počítačů. Obvykle se šíří skrytím v softwaru, který se může zdát legitimní a může skutečně poskytovat legitimní funkce.,
Když uživatelé udělí oprávnění instalačního programu rootkit k instalaci do svého systému, rootkit se tajně nainstaluje a skryje se, dokud ho hacker neaktivuje. Rootkit bude obsahovat škodlivé nástroje, včetně bankovních úvěrových podvodníků, krádeží hesel, keyloggerů, antivirových deaktivátorů a robotů pro distribuované útoky odmítnutí služby.,
rootkity jsou obvykle instalovány prostřednictvím stejných běžných vektorů jako jakýkoli škodlivý software, včetně e-mailových phishingových kampaní, spustitelných škodlivých souborů, vytvořených škodlivých souborů PDF nebo dokumentů Word, připojení ke sdíleným jednotkám, které byly ohroženy, nebo stahování softwaru infikovaného rootkitem z rizikových webových stránek.,
příznaky infekce rootkit
jedním z primárních cílů rootkitu je vyhnout se detekci, aby zůstala nainstalována a přístupná v systému obětí, takže vývojáři rootkit mají za cíl udržet svůj malware nezjistitelný, což znamená, že nemusí existovat mnoho detekovatelných příznaků, které označují infekci rootkit.
jedním z běžných příznaků infekce rootkit je to, že ochrana proti antimalwaru přestane fungovat. Antimalwarová aplikace, která právě přestane běžet, naznačuje, že existuje aktivní infekce rootkitu.,
další příznak infekce rootkit lze pozorovat, když se nastavení systému Windows mění nezávisle, bez zjevného působení uživatele. Jiné neobvyklé chování, jako jsou obrázky na pozadí měnící se nebo mizející na obrazovce zámku nebo připnuté položky měnící se na hlavním panelu, by také mohlo naznačovat infekci rootkitu.
konečně neobvykle pomalý výkon nebo vysoké využití CPU a přesměrování prohlížeče mohou také naznačovat přítomnost infekce rootkit.,
typy rootkitů
existuje několik různých typů rootkitů charakterizovaných způsobem, jakým rootkit infikuje, pracuje nebo přetrvává v cílovém systému.
rootkit režimu jádra je navržen tak, aby změnil funkčnost operačního systému. Tento typ rootkitu obvykle přidává vlastní kód-a někdy i vlastní datové struktury-do částí jádra operačního systému, známého jako jádro., Mnoho rootkitů režimu jádra využívá skutečnosti, že operační systémy umožňují spouštět ovladače zařízení nebo načitelné moduly se stejnou úrovní systémových oprávnění jako jádro operačního systému, takže rootkity jsou baleny jako ovladače zařízení nebo moduly, aby se zabránilo detekci antivirovým softwarem.
uživatelský režim rootkit, někdy nazývaný také rootkit aplikace, se provádí stejným způsobem jako běžný uživatelský program. Rootkity uživatelského režimu mohou být inicializovány stejně jako jiné běžné programy během spouštění systému nebo mohou být injektovány do systému kapátkem. Metoda závisí na operačním systému., Například rootkit Windows se obvykle zaměřuje na manipulaci se základními funkcemi souborů knihovny Windows dynamic link, ale v systému Unix může být celá aplikace zcela nahrazena rootkitem.
bootkit nebo bootloader rootkit infikuje hlavní spouštěcí záznam pevného disku nebo jiného paměťového zařízení připojeného k cílovému systému. Bootkity jsou schopny rozvrátit spouštěcí proces a udržet kontrolu nad systémem po zavedení a v důsledku toho byly úspěšně použity k útoku na systémy, které používají šifrování celého disku.,
rootkity firmwaru využívají software vložený do firmwaru systému a instalují se do obrázků firmwaru používaných síťovými kartami, BIOSy, směrovači nebo jinými periferiemi nebo zařízeními.
většina typů infekcí rootkit může v systémech přetrvávat po dlouhou dobu, protože se instalují na trvalých zařízeních pro ukládání systému, ale kořenové paměti se načítají do paměti počítače (RAM). Rootkity paměti přetrvávají pouze do vymazání systémové paměti RAM, obvykle po restartování počítače.,
detekce a odstranění rootkitu
rootkity jsou navrženy tak, aby byly obtížně detekovatelné a odstranitelné; vývojáři rootkit se pokoušejí skrýt svůj malware před uživateli a administrátory, stejně jako z mnoha typů bezpečnostních produktů. Jakmile rootkit ohrožuje systém, Potenciál škodlivé aktivity je velmi vysoký.
detekce rootkitu obvykle vyžaduje specifické doplňky k antimalwarovým balíčkům nebo softwaru pro skenery antirootkit pro speciální účely.,
Existuje mnoho rootkit detekce nástroje vhodné pro pokročilé uživatele, nebo pro IT profesionály, poskytována antimalware dodavatelů, které obvykle nabízejí rootkit skenery nebo jiné detekce rootkitů nástroje pro své zákazníky. Zatímco bezplatné a placené třetích stran rootkit skenery jsou také k dispozici, je třeba dbát, aby všechny bezpečnostní skenování software je poskytována renomované vydavatele, protože škodlivý herci byly známé balíček a distribuovat malware jako bezpečnostní software.,
odstranění rootkitu může být obtížné, zejména u rootkitů, které byly začleněny do OS jader, do firmwaru nebo do spouštěcích sektorů paměťových zařízení. Zatímco některé antirootkit software je schopen detekovat, stejně jako odstranit, některé rootkity, tento typ malwaru může být obtížné zcela odstranit.
jedním přístupem k odstranění rootkitu je přeinstalace operačního systému, který v mnoha případech odstraní infekci. Odstranění rootkitů zavaděče může vyžadovat použití čistého systému se zabezpečeným operačním systémem pro přístup k infikovanému úložnému zařízení.