Rootkity byly po téměř 20 let, což umožňuje útočníkům získat přístup a krást data z počítačů uživatelů, aniž by byla odhalena na dlouhou dobu. Termín je volně použita podmnožina malware nástroje, které jsou navrženy speciálně, aby zůstali skryté, na infikovaných počítačích a umožní útočníkovi vzdáleně ovládat PC. Abychom uživatelům pomohli pochopit, co je rootkit a jak funguje, sestavili jsme explainer na tento druh malwaru a co dělat, když někdo infikuje váš počítač.,
Rootkit Definice
Rootkit je termín aplikován na typ malware, který je navržen tak, aby infikovat cílový POČÍTAČ a útočníkovi nainstalovat sadu nástrojů, které mu poskytne trvalé vzdálený přístup k počítači. Malware bude obvykle skrytý hluboko v operačním systému a bude navržen tak, aby se vyhnul detekci anti-malwarovými aplikacemi a dalšími bezpečnostními nástroji., Rootkit může obsahovat libovolný počet škodlivých nástrojů, jako je stisknutí klávesy protokolování, heslo zloděj, modul pro krádež kreditní kartou nebo online bankovní informace, bot pro DDoS útoky, nebo funkce, které může zakázat bezpečnostní software. Rootkity obvykle fungují jako zadní vrátka, která dává útočníkovi možnost vzdáleně se připojit k infikovanému počítači, kdykoli si vybere, a odstranit nebo nainstalovat konkrétní součásti. Některé příklady rootkitů založených na systému Windows v aktivním použití dnes zahrnují TDSS, ZeroAccess, Alureon a Necurs.,
Rootkit varianty
dva hlavní typy rootkitů jsou rootkity v uživatelském režimu a rootkity v režimu jádra. Rootkity v uživatelském režimu jsou navrženy tak, aby fungovaly ve stejné části operačního systému počítače jako aplikace. Provádějí své škodlivé chování únosem aplikačních procesů běžících na počítači nebo přepsáním paměti, kterou aplikace používá. To je častější ze dvou typů. Rootkity režimu jádra běží na nejnižší úrovni operačního systému počítače a poskytují útočníkovi nejsilnější sadu oprávnění v počítači., Po instalaci rootkitu v režimu jádra a útočník by měl úplnou kontrolu nad ohroženým počítačem a měl by možnost podniknout jakékoli kroky, které si vybral. Rootkity v režimu jádra jsou obvykle složitější než rootkity v uživatelském režimu, a proto jsou méně časté. Tento druh rootkitu je také obtížnější detekovat a odstranit.
Existuje několik méně běžných variant rootkit stejně, jako bootkits, které jsou navrženy tak, aby upravit v počítači, boot loader, low-level software, který běží, než se načte operační systém. V posledních letech se objevila nová třída mobilních rootkitů, která útočí na chytré telefony, konkrétně na zařízení Android. Tyto rootkity jsou často spojeny se škodlivou aplikací staženou z App store nebo fóra třetích stran.,
Metoda Infekce
Rootkity jsou instalovány prostřednictvím různých způsobů, ale nejčastější infekce vektor je pomocí zranitelnosti v operačním systému nebo aplikaci běžící na počítači. Útočníci cíl známých i neznámých zranitelností v OS a aplikací a použít kód exploitu získat výsadní postavení na cílovém počítači. Poté nainstalují rootkit a nastaví komponenty, které umožňují vzdálený přístup k počítači. Kód zneužití pro konkrétní chybu zabezpečení může být hostován na legitimním webu, který byl ohrožen., Další vektor infekce je přes infikované USB disky. Útočníci mohou odejít USB disky s rootkity skryté na ně v místech, kde jsou pravděpodobně našel a zvedl obětí, jako jsou kancelářské budovy, kavárny a konferenční centra. V některých případech, rootkit instalace může stále spoléhat na bezpečnostní chyby, ale v jiných, malware může nainstalovat jako součást zdánlivě legitimní aplikace nebo souboru na USB disk.,
Odstranění
zjistit přítomnost rootkit v počítači, může být obtížné, protože tento druh malwaru je navržen tak, aby zůstat skryté a své podnikání v pozadí. Existují nástroje určené k hledání známých a neznámých typů rootkitů prostřednictvím různých metod, včetně použití podpisů nebo behaviorálního přístupu, který se snaží detekovat rootkit hledáním známých vzorců chování. Odstranění rootkit je složitý proces, a obvykle vyžaduje použití speciálních nástrojů, jako je TDSSKiller nástroj od společnosti Kaspersky Lab, který dokáže detekovat a odstranit TDSS rootkit., V některých případech může být nutné, aby oběť přeinstalovala operační systém, pokud je počítač příliš poškozen.