En rootkit er et program eller, oftere, en samling av programvare verktøy som gir en trussel skuespiller ekstern tilgang til og kontroll over en datamaskin eller et annet system. Mens det har vært legitime bruksområder for denne type programvare, for eksempel for å gi remote end-user-støtte, mest rootkits åpne en bakdør på offeret systemer for å introdusere skadelig programvare, for eksempel virus, ransomware, keylogger programmer eller andre typer skadelig programvare, eller for å bruke systemet for ytterligere network security-angrep., Rootkits ofte forsøk på å hindre påvisning av skadelig programvare ved endpoint antivirus-programvare.
Rootkits kan være installert på en rekke måter, inkludert phishing-angrep eller social engineering taktikk for å lure brukere til å gi rootkit tillatelse til å bli installert på offeret system, ofte gi eksterne nettkriminelle administrator tilgang til systemet.
Når du har installert en rootkit gir ekstern aktør tilgang til og kontroll over nesten alle aspekter av operativsystemet (OS)., Eldre antivirusprogrammer ofte slet med å oppdage rootkits, men de fleste antimalware-programmer i dag har muligheten til å søke etter og fjerne rootkits gjemmer seg i et system.
Hvordan rootkits arbeid
Siden rootkits kan ikke spre seg av seg selv, de er avhengige av hemmelige metoder for å infisere datamaskiner. Vanligvis, de sprer seg ved å gjemme seg i programvare som kan synes å være legitime og kan faktisk gi legitime funksjoner.,
Når brukere gir et rootkit installer programmet tillatelse til å være installert på systemet, rootkit smug installerer seg selv som godt, og skjuler seg selv til en hacker aktiverer det. En rootkit vil inneholde ondsinnet verktøy, inkludert bank credential stealers, passordtyver, keyloggers, antivirus disablers og roboter for distributed denial-of-service-angrep.,
Rootkits er vanligvis installert gjennom den samme felles vektorer som skadelig programvare, inkludert via e-post phishing-kampanjer, kjørbare skadelige filer, laget skadelig PDF-filer eller Word-dokumenter, koble til delte stasjoner som har blitt kompromittert eller laste ned programvare infisert med rootkit fra risikable nettsteder.,
Symptomene på rootkit-infeksjon
En av de primære målene for en rootkit er å unngå å bli oppdaget for å være installert og tilgjengelig på offeret system, så rootkit-utviklere som ønsker å holde sine malware oppdages, noe som betyr at det kan ikke være mange påvises symptomer som flagget en rootkit-infeksjon.
En vanlig symptom av en rootkit-infeksjon er at antimalware-beskyttelse slutter å fungere. En antimalware program som bare slutter å kjøre indikerer at det er en aktiv rootkit-infeksjon.,
et Annet symptom på en rootkit-infeksjon kan bli observert når Windows-innstillinger endres uavhengig av hverandre, uten noen åpenbar handling av brukeren. Andre uvanlige oppførsel, for eksempel bakgrunnsbilder endre eller forsvinner på låseskjermen, eller festet elementer endre på oppgavelinjen, kan også indikere en rootkit-infeksjon.
til Slutt, usedvanlig treg ytelse eller høy CPU-bruk og nettleser omdirigerer kan også indikere tilstedeværelse av en rootkit-infeksjon.,
Typer rootkits
Det finnes flere forskjellige typer rootkits preget av måten rootkit infiserer, drifter eller vedvarer på målsystemet.
En kernel-modus rootkit er utformet for å endre funksjonaliteten for et OS. Denne typen av rootkit vanligvis legger sin egen kode, og, noen ganger, egne data strukturer — til deler av OS-kjerne, som er kjent som kjernen., Mange kernel-modus rootkits utnytte det faktum at Oser tillate enhetsdrivere eller lastbare moduler for å kjøre med samme nivå av system privilegier som OS-kjernen, så rootkits er pakket som enhetsdrivere eller moduler for å unngå å bli oppdaget av antivirus-programvare.
En bruker rootkit-modus, også noen ganger kalt et program rootkit, som kjører på samme måte som en vanlig bruker programmet. Bruker-modus rootkits kan bli initialisert som andre vanlige programmer under oppstart av systemet, eller de kan være sprøytet inn i systemet av en dropper. Metoden avhenger av OS., For eksempel, en Windows rootkit vanligvis fokuserer på å manipulere den grunnleggende funksjonaliteten til Windows dynamic link library filer, men i et Unix-system, en hel programmet kan være helt erstattet av en rootkit.
En bootkit, eller bootloader rootkit, som infiserer Master Boot Record av en harddisk eller annen lagringsenhet som er koblet til målsystemet. Bootkits er i stand til å styrte den boot-prosessen og ha kontroll over systemet etter oppstart og, som et resultat, har med hell blitt brukt til å angripe systemer som bruker full disk kryptering.,
Firmware rootkits dra nytte av programvare som er innebygd i systemet firmware og installere seg selv i firmware-bilder som brukes av nettverket kort, BIOSes, rutere eller andre eksterne enheter eller andre enheter.
de Fleste typer av rootkit-infeksjoner kan vedvare i systemer for lange perioder av gangen, fordi de installerer seg selv på permanent system for lagring enheter, men minnet rootkits legg seg inn i datamaskinens minne (RAM). Minne rootkits vedvare inntil systemet RAM er fjernet, vanligvis etter at datamaskinen er startet på nytt.,
Rootkit deteksjon og fjerning
Rootkits er designet for å være vanskelige å oppdage og fjerne; rootkit utviklere forsøk på å skjule sin malware fra brukere og administratorer, samt fra mange typer av sikkerhetsprodukter. Når en rootkit kompromisser et system, potensialet for skadelig aktivitet er svært høy.
Vanligvis, rootkit deteksjon krever spesifikke add-ons til å antimalware pakker eller spesielle formål antirootkit skanner programvare.,
Det er mange rootkit deteksjon verktøy egnet for erfarne brukere eller IT-profesjonelle som tilbys av antimalware leverandører, som tilbyr vanligvis rootkit skanner eller andre rootkit deteksjon verktøy til sine kunder. Mens gratis og betalt tredjeparts rootkit-skannere er også tilgjengelig, forsiktighet bør tas, at noen sikkerhet skanning programvare er levert av et anerkjent utgiver fordi trusselen aktører har vært kjent for å pakke og distribuere skadelig programvare som sikkerhetsprogramvare.,
Rootkit fjerning kan være vanskelig, spesielt for rootkits som har blitt innlemmet i OS kjerner, i firmware eller på lagringsenheten boot sektorer. Mens noen antirootkit programvare er i stand til å oppdage, samt fjerne, noen rootkits, denne type malware kan være vanskelig å fjerne helt.
En tilnærming til rootkit fjerning er å installere OS, som i mange tilfeller vil eliminere infeksjonen. Ta bootloader rootkits kan kreve at du bruker en ren systemet kjører en sikker OS til å få tilgang til den infiserte lagringsenhet.