A rootkit on ohjelma tai useammin, kokoelma ohjelmistotyökaluja joka antaa uhka näyttelijä etäyhteyden ja hallita tietokone tai muu järjestelmä. Vaikka on ollut laillisia käyttötarkoituksia tämän tyyppinen ohjelmisto, kuten tarjoamaan kauko-end-user support, useimmat rootkit avaa takaoven uhri järjestelmien käyttöön haittaohjelmia, kuten viruksia, ransomware, keylogger-ohjelmia tai muita haittaohjelmia, tai käyttää järjestelmää edelleen tietoturvan hyökkäyksiä., Rootkit pyrkivät usein estämään haittaohjelmien havaitsemisen endpoint antivirus-ohjelmistolla.
Rootkit voidaan asentaa useilla tavoilla, mukaan lukien phishing-hyökkäykset tai social engineering taktiikoita huijata käyttäjiä antamalla rootkit lupaa olla asennettuna uhri järjestelmän, usein antaa kauko verkkorikollisille järjestelmänvalvojan oikeudet järjestelmään.
Kun se on asennettu, rootkit antaa kauko-näyttelijä käyttää ja hallita lähes kaikilla osa-käyttöjärjestelmän (OS)., Vanhemmat virustorjuntaohjelmat usein kamppaillut havaita rootkits, mutta useimmat haittaohjelmien ohjelmat tänään on kyky etsiä ja poistaa rootkits piilossa järjestelmässä.
miten rootkit toimivat
koska rootkit eivät voi levitä itsestään, ne ovat riippuvaisia salaisista menetelmistä saastuttaa tietokoneita. Tyypillisesti ne leviävät piiloutumalla ohjelmistoihin, jotka voivat vaikuttaa laillisilta ja voivat todella tarjota laillisia toimintoja.,
Kun käyttäjät antavat rootkit installer-ohjelma lupaa olla asennettuna järjestelmän, rootkit vaivihkaa asentaa itsensä hyvin ja peittää itsensä, kunnes hakkeri aktivoi se. Rootkit sisältää haittaohjelmia työkaluja, kuten pankki-credential stealers, salasana stealers, keylogger antivirus disablers ja botit distributed denial-of-service hyökkäyksiä.,
rootkit asennetaan tyypillisesti samojen yleisten vektorien kautta kuin mikä tahansa haitallinen ohjelmisto, mukaan lukien sähköpostin tietojenkalastelukampanjat, suoritettavat haittaohjelmat, muotoillut haittaohjelmat PDF-tiedostot tai Word-asiakirjat, yhteyden jaettuihin asemiin, jotka ovat vaarantuneet tai lataavat rootkit-tartunnan saaneita ohjelmistoja riskialttiilta verkkosivustoilta.,
Oireita rootkit infektio
Yksi tärkeimmistä tavoitteista rootkit on välttää havaitseminen pysyäkseen asennettu ja saatavilla uhri järjestelmä, joten rootkit kehittäjät pyrkivät pitämään heidän malware huomaamaton, mikä tarkoittaa, että siellä voi olla monia havaittavia oireita, että lippu on rootkit infektio.
yksi yleinen oire rootkit-infektiosta on se, että antimalware-suoja lakkaa toimimasta. Antimalware sovellus, joka vain lopettaa käynnissä osoittaa, että on aktiivinen rootkit infektio.,
toinen oire rootkit-infektiosta voidaan havaita, kun Windowsin asetukset muuttuvat itsenäisesti ilman käyttäjän ilmeistä vaikutusta. Muu epätavallinen käyttäytyminen, kuten taustakuvien muuttaminen tai katoaminen lukitusnäytössä tai kiinnitetyt kohteet muuttuvat tehtäväpalkissa, voi myös viitata rootkit-infektioon.
lopulta epätavallisen hidas suorituskyky tai korkea suorittimen käyttö ja selaimen uudelleenohjaukset voivat myös viitata rootkit-infektion esiintymiseen.,
rootkit
on olemassa useita erilaisia rootkit ominaista tapa rootkit infektoi, toimii tai jatkuu kohdejärjestelmässä.
ytimen moodi rootkit on suunniteltu muuttamaan käyttöjärjestelmän toiminnallisuutta. Tämän tyyppinen rootkit tyypillisesti lisää oman koodinsa-ja joskus omat tietorakenteensa-OS-ytimen osiin, jotka tunnetaan ytimenä., Monet kernel mode rootkit hyödyntää sitä, että OSes salli laiteajurien tai ladattavien moduulien suorittaa samalla järjestelmäoikeuksien tasolla kuin käyttöjärjestelmän ydin, joten rootkit pakataan laiteajureiksi tai moduuleiksi, jotta virustorjuntaohjelmisto ei havaitse niitä.
käyttäjätilan rootkit, jota joskus kutsutaan myös sovellus rootkit, suorittaa samalla tavalla kuin tavallinen käyttäjäohjelma. Käyttäjätilan rootkit voidaan alustaa kuten muutkin tavalliset ohjelmat järjestelmän käynnistämisen aikana, tai ne voidaan ruiskuttaa järjestelmään tiputin. Menetelmä riippuu käyttöjärjestelmästä., Esimerkiksi Windows rootkit tyypillisesti keskittyy manipuloimalla perustoiminnot Windows dynamic link library-tiedostoja, mutta Unix-järjestelmässä, koko sovellus voi olla täysin korvata rootkit.
bootkit eli bootloader rootkit infektoivat kohdejärjestelmään kytketyn kiintolevyn tai muun tallennuslaitteen Master Boot-ennätyksen. Bootkit pystyvät kumoamaan käynnistysprosessin ja pitämään järjestelmän hallinnan käynnistämisen jälkeen, ja tämän seurauksena niitä on käytetty menestyksekkäästi hyökkäämään koko levyn salausta käyttäviin järjestelmiin.,
Firmware rootkit hyödyntävät järjestelmän firmwareen upotettuja ohjelmistoja ja asentavat itsensä verkkokorttien, Biosien, reitittimien tai muiden oheislaitteiden tai laitteiden käyttämiin firmware-kuviin.
useimmat rootkit-infektiot voivat säilyä järjestelmissä pitkiä aikoja, koska ne asentavat itsensä pysyviin järjestelmäsäilytyslaitteisiin, mutta muistirotkut latautuvat tietokoneen muistiin (RAM). Muistirotkut jatkuvat vain siihen asti, kunnes järjestelmävalaisin on tyhjennetty, yleensä tietokoneen uudelleenkäynnistyksen jälkeen.,
Rootkit havaitseminen ja poistaminen
Rootkit-ohjelmat on suunniteltu olla vaikea havaita ja poistaa; rootkit kehittäjät yrittävät salata haittaohjelmia käyttäjät ja ylläpitäjät, sekä monia erilaisia tietoturvatuotteita. Kun rootkit vaarantavat järjestelmän, mahdollisuudet haitalliseen toimintaan ovat erittäin suuret.
Tyypillisesti, rootkit-tunnistus vaatii erityisiä lisäosat antimalware paketteja tai erikoiskoneiden antirootkit skannerin ohjelmisto.,
virrankäyttäjille tai antimalware-toimittajien IT-ammattilaisille soveltuvia rootkit-tunnistustyökaluja on monia, jotka tarjoavat asiakkailleen yleensä rootkit-skannereita tai muita rootkit-tunnistustyökaluja. Vaikka ilmaisia ja maksullisia kolmannen osapuolen rootkit skannerit ovat myös saatavilla, on huolehdittava siitä, että kaikki tietoturvan skannaus ohjelmisto tarjotaan hyvämaineinen julkaisija, koska uhka toimijoiden tiedetään pakata ja jakaa haittaohjelmia tietoturvaohjelmistoksi.,
Rootkit poisto voi olla vaikeaa, erityisesti rootkit-ohjelmia, jotka on sisällytetty KÄYTTÖJÄRJESTELMÄN ytimiä, osaksi firmware tai tallennuslaite, boot aloilla. Vaikka jotkut antirootkit ohjelmisto pystyy havaitsemaan, sekä poistaa, jotkut rootkit, tämäntyyppinen haittaohjelmia voi olla vaikea poistaa kokonaan.
yksi tapa rootkit-poistoon on asentaa käyttöjärjestelmä uudelleen, mikä monissa tapauksissa poistaa infektion. Bootloader-rootkitsin poistaminen saattaa vaatia puhtaan järjestelmän käyttämistä, joka käyttää suojattua käyttöjärjestelmää päästäkseen käsiksi tartunnan saaneeseen tallennuslaitteeseen.