een rootkit is een programma of, vaker, een verzameling software tools die een bedreiging actor toegang geeft tot en controle over een computer of ander systeem. Hoewel er legitieme toepassingen voor dit type software zijn geweest, zoals ondersteuning voor eindgebruikers op afstand, openen de meeste rootkits een achterdeur op slachtoffersystemen om kwaadaardige software te introduceren, zoals virussen, ransomware, keylogger-programma ‘ s of andere vormen van malware, of om het systeem te gebruiken voor verdere aanvallen op netwerkbeveiliging., Rootkits proberen vaak detectie van schadelijke software door endpoint antivirus software te voorkomen.
Rootkits kunnen op een aantal manieren worden geïnstalleerd, waaronder phishing-aanvallen of social engineering-tactieken om gebruikers te verleiden om de rootkit toestemming te geven om te worden geïnstalleerd op het slachtoffer systeem, vaak geven externe cybercriminelen beheerder toegang tot het systeem.
eenmaal geïnstalleerd, geeft een rootkit de externe actor toegang tot en controle over bijna elk aspect van het besturingssysteem (OS)., Oudere antivirus programma ’s vaak moeite om rootkits te detecteren, maar de meeste antimalware programma’ s vandaag de dag hebben de mogelijkheid om te scannen op en te verwijderen rootkits verbergen binnen een systeem.
hoe rootkits werken
omdat rootkits zich niet vanzelf kunnen verspreiden, zijn ze afhankelijk van clandestiene methoden om computers te infecteren. Typisch, ze verspreid door zich te verbergen in software die kan lijken te zijn legitiem en kon eigenlijk legitieme functies te bieden.,
wanneer gebruikers een rootkit installatieprogramma toestemming geven om op hun systeem te worden geïnstalleerd, installeert de rootkit zichzelf ook heimelijk en verbergt zichzelf totdat een hacker het activeert. Een rootkit bevat kwaadaardige tools, waaronder Banking credential stealers, password stealers, keyloggers, antivirus disablers en bots voor gedistribueerde denial-of-service aanvallen.,
Rootkits worden meestal geà nstalleerd via dezelfde vectoren als alle kwaadaardige software, inclusief via e-mail phishingcampagnes, uitvoerbare schadelijke bestanden, gemaakte kwaadaardige PDF-bestanden of Word-documenten, verbinding maken met gedeelde schijven die zijn gecompromitteerd of het downloaden van software die is geïnfecteerd met de rootkit van riskante websites.,
symptomen van rootkit-infectie
een van de primaire doelstellingen van een rootkit is om detectie te vermijden om geïnstalleerd en toegankelijk te blijven op het slachtoffer-systeem, dus rootkit-ontwikkelaars streven ernaar om hun malware niet-detecteerbaar te houden, wat betekent dat er mogelijk niet veel detecteerbare symptomen zijn die een rootkit-infectie markeren.
een veel voorkomend symptoom van een rootkit-infectie is dat antimalwarebeveiliging niet meer werkt. Een antimalware applicatie die gewoon stopt met draaien geeft aan dat er een actieve rootkit infectie.,
een ander symptoom van een rootkit-infectie kan worden waargenomen wanneer Windows-instellingen onafhankelijk worden gewijzigd, zonder dat de gebruiker enige zichtbare actie onderneemt. Andere ongebruikelijke gedrag, zoals achtergrondafbeeldingen veranderen of verdwijnen in het vergrendelingsscherm of vastgemaakte items veranderen op de taakbalk, kan ook wijzen op een rootkit infectie.
tot slot kunnen ongewoon trage prestaties of hoog CPU-gebruik en browser redirects ook wijzen op de aanwezigheid van een rootkit-infectie.,
soorten rootkits
Er zijn verschillende soorten rootkits die worden gekenmerkt door de manier waarop de rootkit infecteert, werkt of aanhoudt op het doelsysteem.
een kernelmodus rootkit is ontworpen om de functionaliteit van een besturingssysteem te veranderen. Dit type rootkit voegt meestal zijn eigen code-en soms zijn eigen datastructuren-toe aan delen van de OS-kernel, bekend als de kernel., Veel kernel mode rootkits maken gebruik van het feit dat besturingssystemen apparaatstuurprogramma ’s of laadbare modules toestaan om uit te voeren met hetzelfde niveau van systeemrechten als de OS-kernel, dus de rootkits zijn verpakt als apparaatstuurprogramma’ s of modules om detectie door antivirussoftware te voorkomen.
een rootkit voor gebruikersmodus, ook wel een rootkit voor toepassingen genoemd, wordt op dezelfde manier uitgevoerd als een gewoon gebruikersprogramma. User mode rootkits kunnen worden geïnitialiseerd als andere gewone programma ‘ s tijdens het opstarten van het systeem, of ze kunnen worden geïnjecteerd in het systeem door een druppelaar. De methode is afhankelijk van het besturingssysteem., Een Windows rootkit is bijvoorbeeld meestal gericht op het manipuleren van de basisfunctionaliteit van Windows dynamic link library-bestanden, maar in een Unix-systeem kan een hele toepassing volledig worden vervangen door de rootkit.
een bootkit, of bootloader rootkit, infecteert de Master Boot Record van een harde schijf of ander opslagapparaat aangesloten op het doel systeem. Bootkits zijn in staat om het opstartproces te ondermijnen en de controle over het systeem te behouden na het opstarten en, als gevolg daarvan, zijn met succes gebruikt om systemen aan te vallen die volledige schijfversleuteling gebruiken.,
Firmware rootkits maken gebruik van software die is ingebed in systeemfirmware en installeren zichzelf in firmwareafbeeldingen die worden gebruikt door netwerkkaarten, Biosen, routers of andere randapparatuur of apparaten.
De meeste soorten rootkit-infecties kunnen in systemen voor langere tijd blijven bestaan, omdat ze zichzelf installeren op permanente systeemopslag-apparaten, maar geheugenrootkits Laden zichzelf in computergeheugen (RAM). Geheugen rootkits blijven alleen bestaan totdat het systeem RAM is gewist, meestal nadat de computer opnieuw is opgestart.,
rootkit detectie en verwijdering
Rootkits zijn ontworpen om moeilijk te detecteren en te verwijderen; rootkit-ontwikkelaars proberen hun malware te verbergen voor gebruikers en beheerders, evenals voor vele soorten beveiligingsproducten. Zodra een rootkit een systeem in gevaar brengt, is de kans op kwaadaardige activiteiten zeer groot.
rootkit-detectie vereist doorgaans specifieke add-ons voor antimalware-pakketten of speciale anti-rootkit-scannersoftware.,
Er zijn veel rootkit-detectiehulpmiddelen die geschikt zijn voor ervaren gebruikers of voor IT-professionals die worden geleverd door leveranciers van antimalware, die gewoonlijk rootkit-scanners of andere rootkit-detectiehulpmiddelen aan hun klanten aanbieden. Hoewel er ook gratis en betaalde rootkit-scanners van derden beschikbaar zijn, moet ervoor worden gezorgd dat alle beveiligingsscansoftware wordt geleverd door een gerenommeerde uitgever, omdat dreigingsactoren bekend zijn dat ze malware als beveiligingssoftware verpakken en distribueren.,
rootkit verwijderen kan moeilijk zijn, vooral voor rootkits die zijn opgenomen in OS kernels, in firmware of op opslag apparaat boot sectoren. Terwijl sommige anti-rootkit software is in staat om te detecteren, evenals verwijderen, sommige rootkits, dit type malware kan moeilijk zijn om volledig te verwijderen.
een aanpak voor het verwijderen van rootkit is het opnieuw installeren van het besturingssysteem, wat in veel gevallen de infectie zal elimineren. Het verwijderen van bootloader rootkits kan het gebruik van een schoon systeem met een veilig besturingssysteem vereisen om toegang te krijgen tot het geïnfecteerde opslagapparaat.