um rootkit é Um programa ou, mais frequentemente, um conjunto de ferramentas de software que dá uma ameaça ator de acesso remoto e controle sobre um computador ou outro sistema. Embora não tenha sido usos legítimos para este tipo de software, tais como fornecer remoto suporte ao usuário final, a maioria dos rootkits abrir um backdoor em vítima de sistemas para introduzir software malicioso, tais como vírus ransomware, programas do tipo keylogger ou outros tipos de malware, ou usar o sistema para obter mais ataques de segurança de rede., Rootkits muitas vezes tentam evitar a detecção de software malicioso por endpoint antivirus software.
Rootkits pode ser instalado de várias maneiras, incluindo ataques de phishing ou táticas de engenharia social para enganar os usuários para dar a permissão de rootkit para ser instalado no sistema da vítima, muitas vezes dando acesso remoto ao administrador de cibercriminais ao sistema.
uma vez instalado, um rootkit dá ao ator remoto acesso e controle sobre quase todos os aspectos do sistema operacional (OS)., Programas antivírus mais antigos muitas vezes lutaram para detectar rootkits, mas a maioria dos programas antimalware hoje tem a capacidade de pesquisar e remover rootkits escondidos dentro de um sistema.
como os rootkits trabalham
Uma vez que os rootkits não podem se espalhar por si mesmos, eles dependem de métodos clandestinos para infectar computadores. Tipicamente, eles se espalham escondendo em software que pode parecer legítimo e pode realmente fornecer funções legítimas.,
Quando o usuário dá um rootkit programa de instalação permissão para ser instalado em seu sistema, o rootkit sub-repticiamente, instala-se bem e se oculta, até que um hacker ativa. Um rootkit conterá ferramentas maliciosas, incluindo ladrões de carteiras bancárias, ladrões de senhas, keyloggers, desativadores de antivírus e bots para ataques de negação de serviço distribuídos.,
Rootkits são tipicamente instalados através dos mesmos vetores comuns que qualquer software malicioso, incluindo campanhas de phishing por e-mail, arquivos maliciosos executáveis, arquivos maliciosos em PDF ou documentos do Word, conectando-se a unidades compartilhadas que foram comprometidas ou baixando software infectado com o rootkit de sites de risco.,
Sintomas de infecção por rootkit
Um dos principais objetivos de um rootkit é para evitar a detecção, a fim de permanecer instalada e acessível sobre a vítima do sistema, de modo rootkit desenvolvedores visam manter os seus malware indetectável, o que significa não haver muitos detectáveis sintomas que a bandeira de um rootkit infecção.um sintoma comum de uma infecção por rootkit é que a protecção contra o antimalware deixa de funcionar. Uma aplicação antimalware que apenas pára de correr indica que há uma infecção activa rootkit.,
outro sintoma de uma infecção por rootkit pode ser observado quando as configurações do Windows mudam independentemente, sem qualquer ação aparente pelo Usuário. Outros comportamentos incomuns, tais como imagens de fundo mudando ou desaparecendo na tela de bloqueio ou itens que mudam na barra de tarefas, também podem indicar uma infecção rootkit.
finalmente, desempenho anormalmente lento ou alto uso de CPU e redirecionamento de navegador também podem indicar a presença de uma infecção rootkit.,
tipos de rootkits
Existem vários tipos diferentes de rootkits caracterizados pela forma como o rootkit infecta, Opera ou persiste no sistema alvo.
um rootkit modo kernel é projetado para mudar a funcionalidade de um SO. Este tipo de rootkit normalmente adiciona seu próprio código — e, às vezes, suas próprias estruturas de dados — para partes do núcleo do sistema operacional, conhecido como kernel., Muitos rootkits modo kernel exploram o fato de que os SOS permitem drivers de dispositivo ou módulos carregáveis para executar com o mesmo nível de privilégios de sistema que o kernel OS, de modo que os rootkits são embalados como drivers de dispositivo ou módulos para evitar a detecção por software antivírus.
um rootkit de modo de usuário, também chamado às vezes de rootkit de aplicação, executa da mesma forma que um programa de usuário comum. Os rootkits do modo de usuário podem ser inicializados como outros programas ordinários durante a inicialização do sistema, ou eles podem ser injetados no sistema por um conta-gotas. O método depende do so., Por exemplo, um rootkit do Windows normalmente se concentra em manipular a funcionalidade básica de arquivos de bibliotecas de links dinâmicos do Windows, mas em um sistema Unix, uma aplicação inteira pode ser completamente substituída pelo rootkit.
um bootkit, ou bootloader rootkit, infecta o registo de arranque principal de um disco rígido ou outro dispositivo de armazenamento ligado ao sistema de destino. Bootkits são capazes de subverter o processo de boot e manter o controle sobre o sistema após o booting e, como resultado, foram usados com sucesso para atacar sistemas que usam criptografia em disco completo.,
os rootkits de Firmware tiram partido do software incorporado no firmware do sistema e instalam-se em imagens de firmware usadas por Placas de rede, BIOSes, roteadores ou outros periféricos ou dispositivos.
a maioria dos tipos de infecções por rootkit podem persistir em sistemas por longos períodos de tempo, porque eles se instalam em dispositivos permanentes de armazenamento de sistema, mas os rootkits de memória carregam-se na memória do computador (RAM). Os rootkits de memória persistem apenas até que a RAM do sistema seja limpa, geralmente após o computador ser reiniciado.,
detecção e remoção de Rootkit
Rootkits são projetados para ser difícil de detectar e remover; os desenvolvedores do rootkit tentam esconder seu malware de usuários e administradores, bem como de muitos tipos de produtos de segurança. Uma vez que um rootkit compromete um sistema, o potencial para a atividade maliciosa é muito alto.
tipicamente, a detecção de rootkit requer add-ons específicos a pacotes antimalware ou software de scanner antirootkit para fins especiais.,
Existem muitas ferramentas de detecção de rootkit adequadas para usuários de energia ou para profissionais de TI fornecidos por vendedores de antimalware, que geralmente oferecem scanners rootkit ou outras ferramentas de detecção de rootkit para seus clientes. Embora os scanners rootkit gratuitos e pagos por terceiros também estejam disponíveis, deve ter-se o cuidado de que qualquer software de digitalização de segurança seja fornecido por uma editora respeitável, porque os agentes de ameaça são conhecidos por empacotar e distribuir malware como software de segurança.,
remoção de Rootkit pode ser difícil, especialmente para rootkits que foram incorporados em kernels do sistema operacional, em firmware ou em setores de arranque de dispositivos de armazenamento. Enquanto algum software antirootkit é capaz de detectar, bem como remover, alguns rootkits, este tipo de malware pode ser difícil de remover inteiramente.
uma abordagem para remoção de rootkit é reinstalar o SO, que, em muitos casos, irá eliminar a infecção. Remover rootkits do bootloader pode exigir o uso de um sistema limpo executando um SO seguro para acessar o dispositivo de armazenamento infectado.