Un rootkit è un programma o, più spesso, una raccolta di strumenti software che dà un attore minaccia l’accesso remoto e il controllo su un computer o altro sistema. Mentre ci sono stati usi legittimi per questo tipo di software, come ad esempio per fornire supporto remoto per l’utente finale, la maggior parte dei rootkit aprire una backdoor sui sistemi vittima di introdurre software dannoso, come virus, ransomware, programmi keylogger o altri tipi di malware, o di utilizzare il sistema per ulteriori attacchi di sicurezza di rete., I rootkit spesso tentano di impedire il rilevamento di software dannoso da parte del software antivirus endpoint.
Rootkit possono essere installati in diversi modi, tra cui attacchi di phishing o tattiche di ingegneria sociale per ingannare gli utenti a dare il permesso rootkit per essere installato sul sistema vittima, spesso dando accesso amministratore cybercriminali remoti al sistema.
Una volta installato, un rootkit fornisce all’attore remoto l’accesso e il controllo su quasi tutti gli aspetti del sistema operativo (OS)., I programmi antivirus più vecchi spesso faticavano a rilevare i rootkit, ma la maggior parte dei programmi antimalware oggi hanno la capacità di eseguire la scansione e rimuovere i rootkit nascosti all’interno di un sistema.
Come funzionano i rootkit
Poiché i rootkit non possono diffondersi da soli, dipendono da metodi clandestini per infettare i computer. In genere, si diffondono nascondendosi in software che possono sembrare legittimi e potrebbero effettivamente fornire funzioni legittime.,
Quando gli utenti danno a un programma di installazione rootkit il permesso di essere installato sul proprio sistema, il rootkit si installa surrettiziamente e si nasconde fino a quando un hacker lo attiva. Un rootkit conterrà strumenti dannosi, tra cui ladri di credenziali bancarie, ladri di password, keylogger, disabler antivirus e bot per attacchi distributed denial-of-service.,
I rootkit sono in genere installati attraverso gli stessi vettori comuni di qualsiasi software dannoso, tra cui campagne di phishing via e-mail, file dannosi eseguibili, file PDF dannosi o documenti Word, la connessione a unità condivise che sono state compromesse o il download di software infettato con il rootkit da siti Web rischiosi.,
Sintomi di infezione rootkit
Uno degli obiettivi primari di un rootkit è quello di evitare il rilevamento al fine di rimanere installato e accessibile sul sistema vittima, così gli sviluppatori rootkit mirano a mantenere il loro malware inosservabile, il che significa che non ci possono essere molti sintomi rilevabili che segnalano un’infezione rootkit.
Un sintomo comune di un’infezione da rootkit è che la protezione antimalware smette di funzionare. Un’applicazione antimalware che smette di funzionare indica che esiste un’infezione rootkit attiva.,
Un altro sintomo di un’infezione da rootkit può essere osservato quando le impostazioni di Windows cambiano in modo indipendente, senza alcuna azione apparente da parte dell’utente. Altri comportamenti insoliti, come le immagini di sfondo che cambiano o scompaiono nella schermata di blocco o gli elementi appuntati che cambiano sulla barra delle applicazioni, potrebbero anche indicare un’infezione da rootkit.
Infine, prestazioni insolitamente lente o elevato utilizzo della CPU e reindirizzamenti del browser possono anche indicare la presenza di un’infezione rootkit.,
Tipi di rootkit
Esistono diversi tipi di rootkit caratterizzati dal modo in cui il rootkit infetta, opera o persiste sul sistema di destinazione.
Un rootkit in modalità kernel è progettato per modificare la funzionalità di un sistema operativo. Questo tipo di rootkit in genere aggiunge il proprio codice-e, a volte, le proprie strutture dati-a parti del core del sistema operativo, noto come kernel., Molti rootkit in modalità kernel sfruttano il fatto che i sistemi operativi consentono ai driver di periferica o ai moduli caricabili di essere eseguiti con lo stesso livello di privilegi di sistema del kernel del sistema operativo, quindi i rootkit sono confezionati come driver di periferica o moduli per evitare il rilevamento da parte del software antivirus.
Un rootkit in modalità utente, a volte chiamato anche rootkit applicativo, viene eseguito allo stesso modo di un normale programma utente. Modalità utente rootkit possono essere inizializzati come altri programmi ordinari durante l’avvio del sistema, o possono essere iniettati nel sistema da un contagocce. Il metodo dipende dal sistema operativo., Ad esempio, un rootkit di Windows in genere si concentra sulla manipolazione delle funzionalità di base dei file di libreria di collegamento dinamico di Windows, ma in un sistema Unix, un’intera applicazione può essere completamente sostituito dal rootkit.
Un bootkit, o bootloader rootkit, infetta il record di avvio principale di un disco rigido o altro dispositivo di archiviazione collegato al sistema di destinazione. I bootkit sono in grado di sovvertire il processo di avvio e mantenere il controllo sul sistema dopo l’avvio e, di conseguenza, sono stati utilizzati con successo per attaccare i sistemi che utilizzano la crittografia completa del disco.,
I rootkit firmware sfruttano il software incorporato nel firmware di sistema e si installano nelle immagini del firmware utilizzate da schede di rete, BIOS, router o altre periferiche o dispositivi.
La maggior parte dei tipi di infezioni rootkit può persistere nei sistemi per lunghi periodi di tempo, perché si installano su dispositivi di archiviazione di sistema permanenti, ma i rootkit di memoria si caricano nella memoria del computer (RAM). I rootkit di memoria persistono solo fino a quando la RAM di sistema non viene cancellata, di solito dopo il riavvio del computer.,
Rilevamento e rimozione rootkit
I rootkit sono progettati per essere difficili da rilevare e rimuovere; gli sviluppatori rootkit tentano di nascondere il loro malware da utenti e amministratori, nonché da molti tipi di prodotti di sicurezza. Una volta che un rootkit compromette un sistema, il potenziale di attività dannose è molto alto.
In genere, il rilevamento rootkit richiede componenti aggiuntivi specifici per i pacchetti antimalware o software di scanner antirootkit per scopi speciali.,
Ci sono molti strumenti di rilevamento rootkit adatti per gli utenti esperti o per i professionisti IT forniti da fornitori antimalware, che di solito offrono scanner rootkit o altri strumenti di rilevamento rootkit ai loro clienti. Mentre sono disponibili anche scanner rootkit di terze parti gratuiti ea pagamento, è necessario prestare attenzione che qualsiasi software di scansione di sicurezza sia fornito da un editore affidabile perché gli attori delle minacce sono noti per confezionare e distribuire malware come software di sicurezza.,
La rimozione dei rootkit può essere difficile, specialmente per i rootkit che sono stati incorporati nei kernel del sistema operativo, nel firmware o nei settori di avvio dei dispositivi di archiviazione. Mentre alcuni software antirootkit è in grado di rilevare, così come rimuovere, alcuni rootkit, questo tipo di malware può essere difficile da rimuovere del tutto.
Un approccio alla rimozione di rootkit consiste nel reinstallare il sistema operativo, che, in molti casi, eliminerà l’infezione. La rimozione dei rootkit bootloader può richiedere l’utilizzo di un sistema pulito che esegue un sistema operativo sicuro per accedere al dispositivo di archiviazione infetto.