a rootkit már közel 20 éve létezik, lehetővé téve a támadók számára, hogy hozzáférjenek és ellopják az adatokat a felhasználók gépeiről anélkül, hogy hosszú ideig észlelnék őket. A kifejezést lazán alkalmazzák a rosszindulatú programok azon részhalmazára, amelyeket kifejezetten arra terveztek, hogy elrejtve maradjanak a fertőzött számítógépeken, és lehetővé tegyék a támadó számára, hogy távolról irányítsa a számítógépet. Annak érdekében, hogy a felhasználók megértsék, mi a rootkit és hogyan működik, összeállítottunk egy magyarázót az ilyen típusú rosszindulatú programokról, és mi a teendő, ha valaki megfertőzi a számítógépet.,
Rootkit Definition
a Rootkit egy olyan rosszindulatú programtípusra alkalmazott kifejezés, amely a cél PC megfertőzésére szolgál, és lehetővé teszi a támadó számára, hogy olyan eszközöket telepítsen, amelyek állandó távoli hozzáférést biztosítanak számára a számítógéphez. A rosszindulatú programokat általában az operációs rendszer mélyén rejtik el, és úgy tervezték, hogy elkerüljék a rosszindulatú programok elleni alkalmazások és más biztonsági eszközök észlelését., A rootkit tartalmazhat tetszőleges számú rosszindulatú eszközök, mint például a billentyűleütés logger, jelszó lopó, egy modul lopás hitelkártya vagy online banki információk, bot DDoS támadások vagy funkcionalitás, amely letilthatja a biztonsági szoftver. A Rootkits általában hátsó ajtóként működik, amely lehetővé teszi a támadó számára, hogy távolról csatlakozzon a fertőzött géphez, amikor csak úgy dönt, eltávolít vagy telepít bizonyos alkatrészeket. Néhány példa a Windows-alapú rootkits aktív használata ma közé TDSS, ZeroAccess, Alureon, Necurs.,
Rootkit változatok
a rootkit két fő típusa a felhasználói módú rootkit és a kernel-módú rootkit. A felhasználói módú rootkiteket úgy tervezték, hogy a számítógép operációs rendszerének ugyanazon részén futjanak, mint az alkalmazások. Rosszindulatú viselkedésüket a gépen futó alkalmazásfolyamatok eltérítésével vagy az alkalmazás által használt memória felülírásával hajtják végre. Ez a leggyakoribb a két típus közül. A Kernel-módú rootkitek a számítógép operációs rendszerének legalacsonyabb szintjén futnak, így a támadó a számítógép legerősebb jogosultságait biztosítja., A rendszermag-módú rootkit telepítése után a támadó teljes mértékben irányítaná a kompromittált számítógépet, és képes lenne bármilyen intézkedést megtenni rajta, amelyet választott. A Kernel-módú rootkitek általában összetettebbek, mint a felhasználói módú rootkitek, ezért kevésbé gyakoriak. Ez a fajta rootkit is nehezebb felismerni és eltávolítani.
van néhány kevésbé gyakori rootkit változatok is, mint például bootkits, amelyek célja, hogy módosítsa a számítógép boot loader, az alacsony szintű szoftver fut, mielőtt az operációs rendszer betöltődik. Az elmúlt években a mobil rootkit új osztálya alakult ki az okostelefonok, különösen az Android készülékek támadására. Ezeket a rootkiteket gyakran egy harmadik féltől származó app store-ból vagy fórumból letöltött rosszindulatú alkalmazáshoz társítják.,
a fertőzés módja
a rootkiteket számos módszerrel telepítik, de a leggyakoribb fertőzésvektor az operációs rendszer sebezhetőségének vagy a számítógépen futó alkalmazásnak a használata. A támadók az operációs rendszer és az alkalmazások ismert és ismeretlen sebezhetőségeit célozzák meg, és exploit kóddal kiváltságos pozíciót szereznek a célgépen. Ezután telepítik a rootkit-et, majd olyan összetevőket állítanak fel, amelyek lehetővé teszik a távoli hozzáférést a számítógéphez. Az exploit kódot egy adott biztonsági rés lehet házigazdája egy legitim weboldal, amely veszélybe került., Egy másik fertőzésvektor fertőzött USB meghajtókon keresztül történik. A támadók az USB-meghajtókat rootkitekkel elrejtve hagyhatják azokon a helyeken, ahol valószínűleg megtalálják őket, és olyan áldozatok veszik fel őket, mint például irodaházak, kávézók és konferenciaközpontok. Bizonyos esetekben a rootkit telepítése továbbra is biztonsági résekre támaszkodhat, de másokban a rosszindulatú programok egy látszólag legitim alkalmazás vagy fájl részeként telepíthetők az USB-meghajtóra.,
Eltávolítás
a rootkit jelenlétének észlelése a számítógépen nehéz lehet, mivel az ilyen típusú rosszindulatú programokat úgy tervezték, hogy rejtve maradjanak, és üzleti tevékenységüket a háttérben végezzék. Vannak olyan segédprogramok, amelyek ismert és ismeretlen típusú rootkit-eket keresnek különböző módszerekkel, beleértve az aláírásokat vagy a viselkedési megközelítést, amely megpróbálja felismerni a rootkit-et ismert viselkedési minták keresésével. A rootkit eltávolítása összetett folyamat, és általában speciális eszközök, például a TDSSKiller segédprogram használatát igényli a Kaspersky Lab-tól, amelyek képesek felismerni és eltávolítani a TDSS rootkit-et., Bizonyos esetekben előfordulhat, hogy az áldozat újratelepíti az operációs rendszert, ha a számítógép túl sérült.