I rootkit sono in circolazione da quasi 20 anni, consentendo agli aggressori di accedere e rubare dati dalle macchine degli utenti senza essere rilevati per lunghi periodi di tempo. Il termine è vagamente applicato a un sottoinsieme di strumenti di malware che sono progettati specificamente per rimanere nascosto su computer infetti e consentire all’attaccante di controllare in remoto il PC. Per aiutare gli utenti a capire che cosa è un rootkit e come si opera, abbiamo messo insieme un spiegatore su questo tipo di malware e cosa fare se si infetta il computer.,
Definizione Rootkit
Rootkit è un termine applicato a un tipo di malware che è stato progettato per infettare un PC di destinazione e consentire a un utente malintenzionato di installare una serie di strumenti che gli garantiscono l’accesso remoto persistente al computer. Il malware in genere sarà nascosto in profondità all’interno del sistema operativo e sarà progettato per eludere il rilevamento da applicazioni anti-malware e altri strumenti di sicurezza., Il rootkit può contenere qualsiasi numero di strumenti dannosi, come un registratore di tasti, un ladro di password, un modulo per rubare informazioni sulla carta di credito o online banking, un bot per attacchi DDoS o funzionalità che possono disabilitare il software di sicurezza. Rootkit in genere agiscono come una backdoor che dà l’attaccante la possibilità di connettersi in remoto alla macchina infetta ogni volta che sceglie e rimuovere o installare componenti specifici. Alcuni esempi di rootkit basati su Windows in uso attivo oggi includono TDSS, ZeroAccess, Alureon e Necurs.,
Varianti del rootkit
I due tipi principali di rootkit sono i rootkit in modalità utente e i rootkit in modalità kernel. I rootkit in modalità utente sono progettati per essere eseguiti nella stessa parte del sistema operativo del computer delle applicazioni. Eseguono il loro comportamento dannoso dirottando i processi dell’applicazione in esecuzione sul computer o sovrascrivendo la memoria utilizzata da un’applicazione. Questo il più comune dei due tipi. I rootkit in modalità kernel funzionano al livello più basso del sistema operativo del PC e forniscono all’utente malintenzionato il più potente set di privilegi sul computer., Dopo l’installazione di un rootkit kernel-mode, e attaccante avrebbe il controllo completo del computer compromesso e avrebbe la possibilità di intraprendere qualsiasi azione su di esso ha scelto. I rootkit in modalità kernel in genere sono più complessi dei rootkit in modalità utente e sono quindi meno comuni. Questo tipo di rootkit è anche più difficile da rilevare e rimuovere.
Ci sono anche alcune varianti di rootkit meno comuni, come i bootkit, che sono progettati per modificare il boot loader del computer, il software di basso livello che viene eseguito prima del caricamento del sistema operativo. Negli ultimi anni, è emersa una nuova classe di rootkit mobili per attaccare gli smartphone, in particolare i dispositivi Android. Questi rootkit sono spesso associati a un’applicazione dannosa scaricata da un app store o forum di terze parti.,
Metodo di infezione
I rootkit sono installati attraverso una varietà di metodi, ma il vettore di infezione più comune è attraverso l’uso di una vulnerabilità nel sistema operativo o un’applicazione in esecuzione sul computer. Gli aggressori prendono di mira vulnerabilità note e sconosciute nel sistema operativo e nelle applicazioni e utilizzano il codice di exploit per ottenere una posizione privilegiata sulla macchina di destinazione. Quindi installano il rootkit e impostano i componenti che consentono l’accesso remoto al computer. Il codice di exploit per una vulnerabilità specifica può essere ospitato su un sito Web legittimo che è stato compromesso., Un altro vettore di infezione è tramite unità USB infette. Gli aggressori possono lasciare unità USB con rootkit nascosti su di loro in luoghi dove sono suscettibili di essere trovati e raccolti dalle vittime, come edifici per uffici, caffetterie e centri congressi. In alcuni casi, l’installazione di rootkit può ancora contare su vulnerabilità di sicurezza, ma in altri, il malware può installare come parte di un’applicazione apparentemente legittima o un file sul drive USB.,
Rimozione
Rilevare la presenza di un rootkit su un computer può essere difficile, in quanto questo tipo di malware è progettato per rimanere nascosto e fare il suo business in background. Esistono utility progettate per cercare tipi noti e sconosciuti di rootkit attraverso vari metodi, tra cui l’utilizzo di firme o un approccio comportamentale che tenta di rilevare un rootkit cercando modelli di comportamento noti. La rimozione di un rootkit è un processo complesso e in genere richiede l’uso di strumenti specializzati, come l’utilità TDSSKiller di Kaspersky Lab in grado di rilevare e rimuovere il rootkit TDSS., In alcuni casi, potrebbe essere necessario per la vittima reinstallare il sistema operativo se il computer è troppo danneggiato.