rootkit to program lub, częściej, zbiór narzędzi programowych, które dają podmiotowi zagrożenia zdalny dostęp i kontrolę nad komputerem lub innym systemem. Chociaż istnieją uzasadnione zastosowania tego typu oprogramowania, takie jak zapewnienie zdalnego wsparcia dla użytkowników końcowych, większość rootkitów otwiera backdoor w systemach ofiar, aby wprowadzić złośliwe oprogramowanie, takie jak wirusy, oprogramowanie ransomware, programy keylogger lub inne rodzaje złośliwego oprogramowania lub użyć systemu do dalszych ataków bezpieczeństwa sieci., Rootkity często próbują zapobiec wykryciu złośliwego oprogramowania przez oprogramowanie antywirusowe.
rootkity mogą być instalowane na wiele sposobów, w tym na ataki phishingowe lub taktyki inżynierii społecznej, aby nakłonić użytkowników do udzielenia zgody na instalację rootkitów w systemie ofiary, często dając zdalnym administratorom cyberprzestępców dostęp do systemu.
Po zainstalowaniu rootkit daje zdalnemu aktorowi dostęp i kontrolę nad prawie każdym aspektem systemu operacyjnego (OS)., Starsze programy antywirusowe często borykały się z wykrywaniem rootkitów, ale większość programów antymalware ma dziś możliwość skanowania i usuwania rootkitów ukrytych w systemie.
Jak działają rootkity
ponieważ rootkity nie mogą się same rozprzestrzeniać, zależą od tajnych metod infekowania komputerów. Zazwyczaj rozprzestrzeniają się poprzez ukrywanie w oprogramowaniu, które może wydawać się legalne i może faktycznie zapewniać legalne funkcje.,
gdy użytkownicy dają uprawnienia instalatora rootkitów do instalacji w ich systemie, rootkit również instaluje się w ukryciu i ukrywa się, dopóki haker go nie aktywuje. Rootkit będzie zawierał złośliwe narzędzia, w tym kradzieże poświadczeń bankowych, kradzieże haseł, keyloggery, dezablery antywirusowe i boty do rozproszonych ataków typu denial-of-service.,
rootkity są zazwyczaj instalowane za pomocą tych samych popularnych wektorów, co złośliwe oprogramowanie, w tym przez kampanie phishingowe poczty e-mail, złośliwe pliki wykonywalne, złośliwe pliki PDF lub dokumenty Word, łącząc się z dyskami współdzielonymi, które zostały naruszone lub pobierając oprogramowanie zainfekowane rootkitem z ryzykownych stron internetowych.,
objawy infekcji rootkitami
jednym z głównych celów rootkitu jest unikanie wykrycia, aby pozostać zainstalowanym i dostępnym w systemie ofiary, więc twórcy rootkitów dążą do tego, aby ich złośliwe oprogramowanie było niewykrywalne, co oznacza, że nie ma wielu wykrywalnych objawów, które oznaczałyby infekcję rootkitami.
jednym z częstych objawów infekcji rootkitami jest to, że ochrona przed oprogramowaniem antymalware przestaje działać. Aplikacja antymalware, która po prostu przestaje działać, wskazuje, że istnieje aktywna infekcja rootkitami.,
kolejny objaw infekcji rootkitami można zaobserwować, gdy Ustawienia systemu Windows zmieniają się niezależnie, bez widocznych działań użytkownika. Inne nietypowe zachowania, takie jak zmiana lub zniknięcie obrazów tła na ekranie blokady lub przypięte elementy zmieniające się na pasku zadań, mogą również wskazywać na infekcję rootkitami.
wreszcie, niezwykle niska wydajność lub wysokie wykorzystanie PROCESORA i przekierowania przeglądarki mogą również wskazywać na obecność infekcji rootkitami.,
rodzaje rootkitów
istnieje kilka różnych typów rootkitów charakteryzujących się sposobem, w jaki rootkit infekuje, działa lub utrzymuje się na docelowym systemie.
rootkit trybu jądra ma na celu zmianę funkcjonalności systemu operacyjnego. Ten typ rootkitu zazwyczaj dodaje swój własny kod – a czasami własne struktury danych – do części rdzenia systemu operacyjnego, znanych jako jądro., Wiele rootkitów trybu jądra wykorzystuje fakt, że OSE pozwalają sterownikom urządzeń lub modułom ładowanym na wykonywanie z takim samym poziomem uprawnień systemowych jak jądro systemu operacyjnego, więc rootkity są pakowane jako sterowniki urządzeń lub moduły, aby uniknąć wykrycia przez oprogramowanie antywirusowe.
rootkit w trybie użytkownika, czasami nazywany rootkitem aplikacji, wykonuje się w taki sam sposób, jak zwykły program użytkownika. Rootkity w trybie użytkownika mogą być inicjowane jak inne zwykłe programy podczas uruchamiania systemu lub mogą być wstrzykiwane do systemu przez kroplomierz. Metoda zależy od systemu operacyjnego., Na przykład rootkit Windows zazwyczaj koncentruje się na manipulowaniu podstawową funkcjonalnością plików dynamic link library systemu Windows, ale w systemie Unix cała aplikacja może zostać całkowicie zastąpiona przez rootkit.
bootkit lub bootloader rootkit infekuje główny rekord rozruchowy dysku twardego lub innego urządzenia pamięci masowej podłączonego do systemu docelowego. Bootkity są w stanie obalić proces rozruchu i utrzymać kontrolę nad systemem po uruchomieniu, w wyniku czego zostały z powodzeniem wykorzystane do ataku na systemy, które używają pełnego szyfrowania dysku.,
oprogramowanie układowe rootkity wykorzystują oprogramowanie wbudowane w oprogramowanie układowe systemu i instalują się w obrazach oprogramowania układowego używanych przez karty sieciowe, Biosy, routery lub inne urządzenia peryferyjne lub urządzenia.
większość typów infekcji rootkitami może utrzymywać się w systemach przez długi czas, ponieważ instalują się na stałych urządzeniach pamięci systemowej, ale rootkity pamięci ładują się do pamięci komputera (RAM). Rootkity pamięci utrzymują się tylko do czasu wyczyszczenia pamięci RAM systemu, zwykle po ponownym uruchomieniu komputera.,
wykrywanie i usuwanie rootkitów
rootkity są zaprojektowane tak, aby były trudne do wykrycia i usunięcia; twórcy rootkitów próbują ukryć swoje złośliwe oprogramowanie przed użytkownikami i administratorami, a także przed wieloma rodzajami produktów zabezpieczających. Gdy rootkit naraża system, potencjał szkodliwej aktywności jest bardzo wysoki.
zazwyczaj wykrywanie rootkitów wymaga specjalnych dodatków do pakietów antymalware lub specjalnego oprogramowania do skanowania antyrootkitów.,
istnieje wiele narzędzi do wykrywania rootkitów odpowiednich dla zaawansowanych użytkowników lub specjalistów IT dostarczanych przez dostawców oprogramowania antymalware, którzy zwykle oferują swoim klientom Skanery rootkitów lub inne narzędzia do wykrywania rootkitów. Chociaż dostępne są również bezpłatne i płatne Skanery rootkitów innych firm, należy zwrócić uwagę, aby oprogramowanie do skanowania zabezpieczeń było dostarczane przez renomowanego wydawcę, ponieważ aktorzy zagrożeń są znani z pakowania i dystrybucji złośliwego oprogramowania jako oprogramowania zabezpieczającego.,
usuwanie rootkitów może być trudne, szczególnie w przypadku rootkitów, które zostały włączone do jądra systemu operacyjnego, do oprogramowania układowego lub sektorów rozruchowych urządzeń pamięci masowej. Podczas gdy niektóre programy antywirusowe są w stanie wykryć, a także usunąć niektóre rootkity, tego typu złośliwe oprogramowanie może być trudne do całkowitego usunięcia.
jednym ze sposobów usuwania rootkitów jest ponowna instalacja systemu operacyjnego, co w wielu przypadkach wyeliminuje infekcję. Usunięcie rootkitów bootloadera może wymagać użycia czystego systemu z bezpiecznym systemem operacyjnym, aby uzyskać dostęp do zainfekowanego urządzenia pamięci masowej.