ett rootkit är ett program eller, oftare, en samling av programverktyg som ger ett hot skådespelare fjärråtkomst till och kontroll över en dator eller annat system. Även om det har funnits legitima användningsområden för denna typ av programvara, till exempel för att ge fjärranvändarstöd, öppnar de flesta rootkits en bakdörr på offersystem för att införa skadlig programvara, till exempel virus, ransomware, keylogger-program eller andra typer av skadlig kod, eller att använda systemet för ytterligare nätverkssäkerhetsattacker., Rootkits försöker ofta att förhindra upptäckt av skadlig programvara genom endpoint antivirusprogram.
Rootkits kan installeras på ett antal sätt, inklusive phishing-attacker eller socialteknik taktik för att lura användare att ge rootkit-behörigheten att installeras på offersystemet, vilket ofta ger fjärr cyberbrottslingar administratör tillgång till systemet.
en gång installerat, en rootkit ger fjärr skådespelaren tillgång till och kontroll över nästan varje aspekt av operativsystemet (OS)., Äldre antivirusprogram kämpade ofta för att upptäcka rootkits, men de flesta antimalware-program har idag möjlighet att söka efter och ta bort rootkits som gömmer sig inom ett system.
hur rootkits fungerar
eftersom rootkits inte kan spridas av sig själva beror de på hemliga metoder för att infektera datorer. Vanligtvis sprids de genom att gömma sig i programvara som kan tyckas vara legitim och kan faktiskt ge legitima funktioner.,
När användare ger en rootkit installer-programbehörighet som ska installeras på deras system, installerar rootkit sig själv och döljer sig tills en hacker aktiverar den. En rootkit kommer att innehålla skadliga verktyg, inklusive bank credential stealers, lösenord stealers, keyloggers, antivirus disablers och bots för distribuerade denial-of-service attacker.,
Rootkits installeras vanligtvis via samma vanliga vektorer som alla skadliga program, inklusive genom e-postfiskningskampanjer, körbara skadliga filer, skapade skadliga PDF-filer eller Word-dokument, ansluta till delade enheter som har äventyrats eller ladda ner programvara infekterad med rootkit från riskfyllda webbplatser.,
symptom på rootkit-infektion
ett av de primära målen för ett rootkit är att undvika upptäckt för att förbli installerat och tillgängligt på offrets system, så rootkit-utvecklare strävar efter att hålla sin malware omöjlig att upptäcka, vilket innebär att det kanske inte finns många detekterbara symptom som flaggar en rootkit-infektion.
ett vanligt symptom på en rootkit-infektion är att antimalware-skydd slutar fungera. En antimalware-applikation som bara slutar springa indikerar att det finns en aktiv rootkit-infektion.,
ett annat symptom på en rootkit-infektion kan observeras när Windows-inställningarna ändras oberoende, utan någon uppenbar åtgärd av användaren. Andra ovanliga beteende, såsom bakgrundsbilder ändra eller försvinna i låsskärmen eller nålas objekt som ändras i aktivitetsfältet, kan också indikera en rootkit infektion.
slutligen, ovanligt långsam prestanda eller hög CPU-användning och webbläsare omdirigeringar kan också indikera närvaron av en rootkit infektion.,
typer av rootkits
det finns flera olika typer av rootkits som kännetecknas av hur rootkit infekterar, fungerar eller kvarstår på målsystemet.
ett kärnläge rootkit är utformat för att ändra funktionaliteten hos ett operativsystem. Denna typ av rootkit lägger vanligtvis sin egen kod – och ibland sina egna datastrukturer – till delar av OS-kärnan, känd som kärnan., Många kärnläge rootkits utnyttja det faktum att operativsystem tillåter drivrutiner eller lastbara moduler att köra med samma nivå av systembehörighet som OS-kärnan, så rootkits är förpackade som drivrutiner eller moduler för att undvika upptäckt av antivirusprogram.
ett användarläge rootkit, som ibland kallas ett program rootkit, körs på samma sätt som ett vanligt användarprogram. Användarläge rootkits kan initieras som andra vanliga program under systemstart, eller de kan injiceras i systemet med en droppare. Metoden beror på operativsystemet., Till exempel, en Windows rootkit fokuserar vanligtvis på att manipulera den grundläggande funktionaliteten i Windows dynamic link library-filer, men i ett Unix-system, kan en hel ansökan helt ersättas av rootkit.
ett bootkit, eller bootloader rootkit, infekterar Master Boot Record på en hårddisk eller annan lagringsenhet som är ansluten till målsystemet. Bootkits kan undergräva startprocessen och behålla kontrollen över systemet efter uppstart och som ett resultat har använts framgångsrikt för att attackera system som använder full diskkryptering.,
Firmware rootkits dra nytta av programvara inbäddad i systemets firmware och installera sig i firmware-bilder som används av nätverkskort, BIOS, routrar eller andra kringutrustning eller enheter.
de flesta typer av rootkit-infektioner kan kvarstå i system under långa perioder, eftersom de installerar sig på permanenta systemlagringsenheter, men minnesrootkits laddar sig i datorns minne (RAM). Minne rootkits kvarstår endast tills systemets RAM rensas, vanligtvis efter att datorn har startats om.,
rootkit upptäckt och borttagning
Rootkits är utformade för att vara svårt att upptäcka och ta bort; rootkit utvecklare försöker dölja sin skadlig kod från användare och administratörer, liksom från många typer av säkerhetsprodukter. När en rootkit äventyrar ett system, potentialen för skadlig aktivitet är mycket hög.
typiskt kräver rootkit-detektering specifika tillägg till antimalware-paket eller antirootkit-skannerprogramvara för speciella ändamål.,
det finns många rootkit-detektionsverktyg som är lämpliga för strömanvändare eller IT-proffs som tillhandahålls av antimalware-leverantörer, som vanligtvis erbjuder rootkit-skannrar eller andra rootkit-detektionsverktyg till sina kunder. Medan gratis och betald tredje part rootkit skannrar är också tillgängliga, bör man se till att alla säkerhets scanning programvara tillhandahålls av en ansedd utgivare eftersom Hot aktörer har varit kända för att paketera och distribuera skadlig kod som säkerhetsprogram.,
borttagning av Rootkit kan vara svårt, särskilt för rootkits som har införlivats i OS-kärnor, i firmware eller på startsektorer för lagringsenheter. Medan vissa antirootkit programvara kan upptäcka, samt ta bort, vissa rootkits, denna typ av skadlig kod kan vara svårt att ta bort helt.
ett tillvägagångssätt för rootkit-borttagning är att installera om operativsystemet, vilket i många fall kommer att eliminera infektionen. Ta bort bootloader rootkits kan kräva att du använder ett rent system som kör ett säkert operativsystem för att komma åt den infekterade lagringsenheten.