Et rootkit er et program, eller, oftere, en samling af software-værktøjer, der giver en trussel skuespiller remote adgang til og kontrol over en computer eller et andet system. Mens der har været legitime anvendelser for denne type af software, såsom at give fjern-slutbruger support, de fleste rootkits åbne en bagdør på offer-systemer til at introducere skadelig software såsom virus, ransomware, keylogger-programmer eller andre former for malware, eller at bruge systemet til yderligere netværk angreb på sikkerheden., Rootkits forsøger ofte at forhindre påvisning af ondsindet soft .are ved endpoint antivirus soft .are.
Rootkit kan være installeret på en række måder, herunder phishing-angreb eller social engineering taktik at narre brugere til at give den rootkit tilladelse til at blive installeret på offerets system, giver ofte fjerntliggende cyberkriminelle administrator adgang til systemet.
når det er installeret, giver et rootkit fjernskuespilleren adgang til og kontrol over næsten alle aspekter af operativsystemet (OS)., Ældre antivirusprogrammer kæmpede ofte for at opdage rootkits, men de fleste antimal .are-programmer i dag har evnen til at scanne efter og fjerne rootkits, der gemmer sig i et system.
hvordan rootkits fungerer
da rootkits ikke kan sprede sig af sig selv, afhænger de af hemmelige metoder til at inficere computere. Typisk, de spredes ved at gemme sig i Soft .are, der kan synes at være legitime og kunne faktisk give legitime funktioner.,
Når brugere giver en rootkit installer program tilladelse til at blive installeret på deres system, rootkit hemmeligt installerer sig selv så godt og skjuler sig, indtil en hacker aktiverer det. Et rootkit vil indeholde ondsindede værktøjer, herunder banking legitimationsoplysninger stealers, password stealers, keyloggers, antivirus disablers og robotter til distribueret denial-of-service-angreb.,
Rootkits er typisk installeret gennem de samme fælles vektorer som enhver ondsindet software, herunder ved e-mail phishing-kampagner, ondsindede eksekverbare filer, udformet ondsindede PDF-filer eller Word-dokumenter, oprette forbindelse til delte drev, der er blevet kompromitteret eller downloade software, der er inficeret med et rootkit fra risikable websteder.,
Symptomer på rootkit infektion
En af de primære mål for et rootkit er, at undgå at blive opdaget for at forblive installeret og tilgængelig på offerets system, så rootkit-udviklere til formål at holde deres malware ikke kan påvises, hvilket betyder at der kan ikke være mange påviselige symptomer, der markerer et rootkit infektion.
et almindeligt symptom på en rootkit-infektion er, at antimal .are-beskyttelse holder op med at fungere. En antimal .are program, der bare stopper kører indikerer, at der er en aktiv rootkit infektion.,
et andet symptom på en rootkit-infektion kan observeres, når settingsindo .s-indstillinger ændres uafhængigt uden nogen åbenbar handling fra brugeren. Anden usædvanlig opførsel, såsom baggrundsbilleder, der ændrer eller forsvinder i låseskærmen eller fastgjorte genstande, der skifter på proceslinjen, kan også indikere en rootkit-infektion.
endelig kan usædvanlig langsom ydeevne eller høj CPU-brug og bro .ser omdirigeringer også indikere tilstedeværelsen af en rootkit-infektion.,
typer af rootkits
Der er flere forskellige typer rootkits, der er kendetegnet ved den måde, rootkit inficerer, fungerer eller vedvarer på målsystemet.
en kernetilstand rootkit er designet til at ændre funktionaliteten af et operativsystem. Denne type rootkit tilføjer typisk sin egen kode-og nogle gange sine egne datastrukturer-til dele af OS-kernen, kendt som kernen., Mange kernetilstand rootkits udnytter det faktum, at operativsystemer tillader enhedsdrivere eller indlæste moduler at udføre med det samme niveau af systemrettigheder som OS-kernen, så rootkits pakkes som enhedsdrivere eller moduler for at undgå detektion af antivirussoft .are.
en brugertilstand rootkit, også undertiden kaldet en applikation rootkit, udfører på samme måde som et almindeligt brugerprogram. Brugertilstand rootkits kan initialiseres som andre almindelige programmer under systemstart, eller de kan injiceres i systemet af en dropper. Metoden afhænger af OS., For eksempel, et Windows-rootkit, der typisk fokuserer på at manipulere den grundlæggende funktionalitet i Windows dynamic link library-filer, men i et Unix-system, et hele programmet kan være helt erstattet af rootkit.en bootkit eller bootloader rootkit inficerer Master Boot Record på en harddisk eller anden lagerenhed, der er tilsluttet målsystemet. Bootkits er i stand til at undergrave opstartsprocessen og opretholde kontrol over systemet efter opstart og som et resultat er blevet brugt med succes til at angribe systemer, der bruger fuld diskkryptering.,
Firmware rootkits drage fordel af software indlejret i systemets firmware og installerer sig selv i firmware-billeder, der bruges af netkort, Bios ‘ er, routere eller andre eksterne enheder eller enheder.de fleste typer rootkit-infektioner kan fortsætte i systemer i lange perioder, fordi de installerer sig selv på permanente systemlagringsenheder, men hukommelse rootkits indlæser sig i computerhukommelse (RAM). Hukommelse rootkits fortsætter kun, indtil systemet RAM er ryddet, normalt efter at computeren er genstartet.,
Rootkit-detektering og fjernelse
Rootkit er udviklet til at være vanskelige at opdage og fjerne; rootkit-udviklere forsøg på at skjule deres malware fra brugere og administratorer, samt mange typer af sikkerheds produkter. Når en rootkit kompromitterer et system, potentialet for ondsindet aktivitet er meget høj.
typisk kræver rootkit-detektion specifikke tilføjelser til antimal .are-pakker eller specielt antirootkit-scanner-soft .are.,
Der er mange rootkit-detekteringsværktøjer, der er egnede til strømbrugere eller til IT-fagfolk leveret af antimal .are-leverandører, som normalt tilbyder rootkit-scannere eller andre rootkit-detekteringsværktøjer til deres kunder. Mens der er gratis og betalt tredjeparts-rootkit skannere er også tilgængelige, bør udvises forsigtighed, at eventuelle sikkerheds-scanning software er fastsat af en anerkendt forlag, fordi trussel aktører har været kendt for at pakke og distribuere malware, som sikkerhedssoftware.,
Rootkit fjernelse kan være svært, især for rootkits, der er blevet indarbejdet i OS kerner, i firmware eller på storage device boot-sektorer. Mens nogle antirootkit software er i stand til at opdage, samt fjerne, nogle rootkits, denne type malware, kan det være vanskeligt at fjerne helt.
en tilgang til rootkit fjernelse er at geninstallere operativsystemet, hvilket i mange tilfælde vil eliminere infektionen. Fjernelse bootloader rootkits kan kræve at bruge et rent system, der kører et sikkert OS for at få adgang til den inficerede lagerenhed.