un rootkit este un program sau, mai des, o colecție de instrumente software care oferă unui actor de amenințare acces la distanță și control asupra unui computer sau alt sistem. Deși au existat utilizări legitime pentru acest tip de software, cum ar fi furnizarea de asistență la distanță pentru utilizatorii finali, majoritatea rootkit-urilor deschid un backdoor pe sistemele victimelor pentru a introduce software rău intenționat, cum ar fi viruși, ransomware, programe keylogger sau alte tipuri de malware sau pentru a utiliza sistemul pentru alte atacuri de securitate a rețelei., Rootkit-urile încearcă adesea să prevină detectarea software-ului rău intenționat de către software-ul antivirus endpoint.rootkit-urile pot fi instalate în mai multe moduri, inclusiv atacuri de phishing sau tactici de inginerie socială pentru a-i păcăli pe utilizatori să acorde permisiunea rootkit-ului de a fi instalat pe sistemul victimei, oferind adesea acces administratorului cibernetic de la distanță la sistem.odată instalat, un rootkit oferă actorului de la distanță acces și control asupra aproape fiecărui aspect al sistemului de operare (OS)., Programele antivirus mai vechi s-au străduit adesea să detecteze rootkit-urile, dar majoritatea programelor antimalware de astăzi au capacitatea de a scana și elimina rootkit-urile care se ascund într-un sistem.cum funcționează rootkit-urile deoarece rootkit-urile nu se pot răspândi singure, ele depind de metode clandestine pentru a infecta computerele. De obicei, se răspândesc ascunzându-se în software care poate părea legitim și ar putea oferi de fapt funcții legitime.,
când utilizatorii dau un program de instalare rootkit permisiunea de a fi instalat pe sistemul lor, rootkit se instalează pe ascuns, de asemenea, și se ascunde până când un hacker îl activează. Un rootkit va conține instrumente rău intenționat, inclusiv bancar, acreditări hoți, password stealers, keyloggers, antivirus disablers și roboții pentru negarea distribuite de atacuri de servicii.,rootkit-urile sunt de obicei instalate prin aceiași vectori comuni ca orice software rău intenționat, inclusiv prin campanii de phishing prin e-mail, fișiere rău intenționate executabile, fișiere PDF rău intenționate sau documente Word, conectarea la unități partajate care au fost compromise sau descărcarea software-ului infectat cu rootkit de pe site-uri web riscante.,unul dintre obiectivele principale ale unui rootkit este de a evita detectarea pentru a rămâne instalat și accesibil pe sistemul victimei, astfel încât dezvoltatorii rootkit urmăresc să-și păstreze malware-ul nedetectabil, ceea ce înseamnă că este posibil să nu existe multe simptome detectabile care să semnaleze o infecție cu rootkit.un simptom comun al unei infecții cu rootkit este că protecția antimalware nu mai funcționează. O aplicație antimalware care nu mai rulează indică faptul că există o infecție rootkit activă.,un alt simptom al unei infecții cu rootkit poate fi observat atunci când setările Windows se schimbă independent, fără nicio acțiune aparentă a utilizatorului. Un alt comportament neobișnuit, cum ar fi imaginile de fundal care se schimbă sau dispar în ecranul de blocare sau elementele fixate care se schimbă pe bara de activități, ar putea indica, de asemenea, o infecție cu rootkit.în cele din urmă, performanța neobișnuit de lentă sau utilizarea ridicată a procesorului și redirecționările browserului pot indica, de asemenea, prezența unei infecții cu rootkit.,
tipuri de rootkit-uri
există mai multe tipuri diferite de rootkit-uri caracterizate prin modul în care rootkit-ul infectează, operează sau persistă pe sistemul țintă.un mod de kernel rootkit este proiectat pentru a schimba funcționalitatea unui sistem de operare. Acest tip de rootkit adaugă de obicei propriul cod – și, uneori, propriile structuri de date-la părți ale nucleului OS, cunoscut sub numele de kernel., Multe rootkit-uri în modul kernel exploatează faptul că sistemele de operare permit driverelor de dispozitiv sau modulelor încărcate să execute cu același nivel de privilegii de sistem ca și kernelul OS, astfel încât rootkit-urile sunt ambalate ca drivere de dispozitiv sau module pentru a evita detectarea de software antivirus.un rootkit de mod utilizator, numit uneori și rootkit de aplicație, se execută în același mod ca un program de utilizator obișnuit. Rootkit-urile de mod utilizator pot fi inițializate ca și alte programe obișnuite în timpul pornirii sistemului sau pot fi injectate în sistem printr-un picurător. Metoda depinde de sistemul de operare., De exemplu, un rootkit Windows se concentrează de obicei pe manipularea funcționalității de bază a fișierelor de bibliotecă de legături dinamice Windows, dar într-un sistem Unix, o întreagă aplicație poate fi înlocuită complet de rootkit.
un bootkit, sau bootloader rootkit, infectează înregistrarea de pornire principală a unui hard disk sau a unui alt dispozitiv de stocare conectat la sistemul țintă. Bootkit-urile sunt capabile să submineze procesul de pornire și să mențină controlul asupra sistemului după pornire și, ca rezultat, au fost utilizate cu succes pentru a ataca sistemele care utilizează criptarea completă a discului.,rootkit-urile Firmware profită de software-ul încorporat în firmware-ul sistemului și se instalează în imagini firmware utilizate de carduri de rețea, BIOS-uri, routere sau alte periferice sau dispozitive.majoritatea tipurilor de infecții cu rootkit pot persista în sisteme pentru perioade lungi de timp, deoarece se instalează pe dispozitive permanente de stocare a sistemului, dar rootkit-urile de memorie se încarcă în memoria computerului (RAM). Rootkit-urile de memorie persistă numai până când memoria RAM a sistemului este ștearsă, de obicei după repornirea computerului.,rootkit-urile sunt proiectate pentru a fi dificil de detectat și eliminat; dezvoltatorii rootkit încearcă să-și ascundă malware-ul de utilizatori și administratori, precum și de multe tipuri de produse de securitate. Odată ce un rootkit compromite un sistem, potențialul de activitate rău intenționată este foarte mare.de obicei, detectarea rootkit necesită suplimente specifice pentru pachetele antimalware sau pentru software-ul de scanare antirootkit cu scop special.,există multe instrumente de detectare a rootkit potrivite pentru utilizatorii de putere sau pentru profesioniștii IT furnizați de furnizorii de antimalware, care oferă de obicei scanere rootkit sau alte instrumente de detectare a rootkit clienților lor. Deși sunt disponibile și scanere rootkit gratuite și plătite de la terți, trebuie avut grijă ca orice software de scanare a securității să fie furnizat de un editor de renume, deoarece actorii de amenințare au fost cunoscuți pentru a împacheta și distribui malware ca software de securitate.,eliminarea Rootkit-ului poate fi dificilă, în special pentru rootkit-urile care au fost încorporate în nucleele sistemului de operare, în firmware sau în sectoarele de boot ale dispozitivului de stocare. În timp ce unele programe antirootkit sunt capabile să detecteze, precum și să elimine, unele rootkit-uri, acest tip de malware poate fi dificil de eliminat în întregime.o abordare a eliminării rootkit este reinstalarea sistemului de operare, care, în multe cazuri, va elimina infecția. Eliminarea rootkit-urilor bootloader poate necesita utilizarea unui sistem curat care rulează un sistem de operare securizat pentru a accesa dispozitivul de stocare infectat.