Rootkits har eksisteret i næsten 20 år nu, så angribere kan få adgang til og stjæle data fra brugernes maskiner uden at blive opdaget i lange perioder. Udtrykket anvendes løst på en delmængde af Mal .are-værktøjer, der er designet specielt til at forblive skjult på inficerede computere og gøre det muligt for angriberen at fjernstyre PC ‘ en. For at hjælpe brugerne med at forstå, hvad et rootkit er, og hvordan man fungerer, har vi sammensat en forklarer om denne form for Mal .are, og hvad de skal gøre, hvis man inficerer din computer.,Definition
rootkit er et udtryk, der anvendes på en type Mal .are, der er designet til at inficere en mål-PC og give en angriber mulighed for at installere et sæt værktøjer, der giver ham vedvarende fjernadgang til computeren. Den Mal .are typisk vil være skjult dybt inde i operativsystemet og vil være designet til at undgå opdagelse af anti-Mal .are-programmer og andre sikkerhedsværktøjer., Rootkit kan indeholde et hvilket som helst antal ondsindede værktøjer, såsom en tastetryk logger, en adgangskode stjæler, et modul til at stjæle kreditkort eller online bankoplysninger, en bot til DDoS-angreb eller funktionalitet, der kan deaktivere sikkerhedssoft .are. Rootkits typisk fungere som en bagdør, der giver angriberen mulighed for at oprette fjernforbindelse til den inficerede maskine, når han vælger og fjerne eller installere specifikke komponenter. Nogle eksempler på Windows-baserede rootkits i aktiv brug i dag omfatter TDSS, ZeroAccess, Alureon og Necurs.,
Rootkit varianter
de to hovedtyper af rootkits er bruger-mode rootkits og kernel-mode rootkits. User-mode rootkits er designet til at køre i den samme del af computerens operativsystem som applikationer. De udfører deres ondsindede opførsel ved at kapre applikationsprocesser, der kører på maskinen eller ved at overskrive den hukommelse, som et program bruger. Dette er den mere almindelige af de to typer. Kernel-mode rootkits kører på det laveste niveau af PC ‘ ens operativsystem og giver angriberen det mest kraftfulde sæt privilegier på computeren., Efter installationen af en kerne-mode rootkit, og angriber ville have fuldstændig kontrol over kompromitteret computer og ville have evnen til at træffe foranstaltninger på det, han valgte. Kernel-mode rootkits er typisk mere komplekse end bruger-mode rootkits og er derfor mindre almindelige. Denne form for rootkit også er vanskeligere at opdage og fjerne.
Der er også et par mindre almindelige rootkit-varianter, såsom bootkits, som er designet til at ændre computerens opstartsindlæser, soft .aren på lavt niveau, der kører, før operativsystemet indlæses. I de senere år er der kommet en ny klasse af mobile rootkits til at angribe smartphones, specifikt Android-enheder. Disse rootkits ofte er forbundet med et ondsindet program do .nloadet fra en tredjepart app store eller forum.,
infektionsmetode
Rootkits installeres ved hjælp af forskellige metoder, men den mest almindelige infektionsvektor er ved brug af en sårbarhed i operativsystemet eller et program, der kører på computeren. Angribere målrette kendte og ukendte sårbarheder i OS og applikationer og bruge e .ploit-kode for at få en privilegeret position på målet maskine. De installerer derefter rootkit og opsætter komponenter, der giver fjernadgang til computeren. Den e .ploit kode for en specifik sårbarhed kan være vært på en legitim hjemmeside, der er blevet kompromitteret., En anden infektion vektor er via inficerede USB-drev. Angribere kan efterlade USB-drev med rootkits skjult på dem på steder, hvor de sandsynligvis vil blive fundet og afhentet af ofre, såsom kontorbygninger, kaffebarer og konferencecentre. I nogle tilfælde kan rootkit-installationen stadig stole på sikkerhedssårbarheder, men i andre kan Mal .aren installeres som en del af et tilsyneladende legitimt program eller en fil på USB-drevet.,
fjernelse
det kan være vanskeligt at registrere tilstedeværelsen af et rootkit på en computer, da denne form for Mal .are er designet til at forblive skjult og gøre sin forretning i baggrunden. Der er værktøjer designet til at lede efter kendte og ukendte typer rootkits gennem forskellige metoder, herunder ved hjælp af underskrifter eller en adfærdsmæssig tilgang, der forsøger at opdage et rootkit ved at lede efter kendte adfærdsmønstre. Fjernelse af et rootkit er en kompleks proces og kræver typisk brug af specialiserede værktøjer, såsom TDSSKiller-værktøjet fra Kaspersky Lab, der kan registrere og fjerne TDSS rootkit., I nogle tilfælde kan det være nødvendigt for offeret at geninstallere operativsystemet, hvis computeren er for beskadiget.