Rootkits har eksistert i nesten 20 år nå, slik at angriperne skal få tilgang til og stjele data fra brukernes maskiner uten å bli oppdaget for lange perioder av gangen. Begrepet er løselig til et delsett av malware verktøy som er utformet spesielt for å holde skjult på infiserte datamaskiner og aktiverer den angriper tilgang til å fjernstyre PC-en. For å hjelpe brukerne med å forstå hva en rootkit er og hvordan man opererer i, har vi satt sammen en explainer på denne form for malware, og hva du skal gjøre hvis en infiserer datamaskinen din.,
Rootkit Definisjon
Rootkit er et begrep som brukes om en type skadelig programvare som er designet til å infisere en mål-PCEN og gi en angriper tilgang til å installere et sett av verktøy som gir ham vedvarende ekstern tilgang til datamaskinen. Den skadelige programvaren vil vanligvis være skjult dypt inne i operativsystemet, og vil bli utformet for å unngå å bli oppdaget av anti-malware programmer og annen sikkerhet verktøy., Rootkit kan inneholde en rekke ondsinnede verktøy, for eksempel et tastetrykk-logger, et passord stealer, en modul for å stjele kredittkort eller nettbank informasjon, en bot for DDoS-angrep eller funksjonalitet som kan deaktivere sikkerhet programvare. Rootkits vanligvis fungere som en bakdør som gir angriperen mulighet til å koble eksternt til den infiserte maskinen når han velger og fjerne eller installere bestemte komponenter. Noen eksempler på Windows-baserte rootkits i aktiv bruk i dag har TDSS, ZeroAccess, Alureon og Necurs.,
Rootkit-Varianter
De to hovedtyper av rootkits er en bruker-mode rootkits og kernel-modus rootkits. User-mode rootkits er designet for å kjøre i den samme delen av datamaskinens operativsystem som programmer. De utfører sin ondsinnet atferd ved å kapre program prosesser som kjører på maskinen eller ved å overskrive minnet om at et program bruker. Dette desto mer som er felles for de to typene. Kernel-modus rootkits kjøre på det laveste nivå av PC-ens operativsystem og gi den angriper de mest kraftig sett med rettigheter på datamaskinen., Etter installasjon av en kernel-modus rootkit, og angriper ville ha full kontroll over kompromitterte maskinen og ville ha muligheten til å ta hvilken som helst handling på det han velger. Kernel-modus rootkits vanligvis er mer komplekse enn user-mode rootkits og er derfor mindre vanlig. Denne typen av rootkit også er vanskeligere å oppdage og fjerne.
Det er noen mindre vanlige rootkit-varianter, som for eksempel bootkits, som er laget for å endre datamaskinens boot loader, lav-nivå programvare som kjører før operativsystemet er lastet inn. I de senere årene, en ny klasse av mobile rootkits har dukket opp for å angripe smarttelefoner, spesielt for Android-enheter. Disse rootkits ofte er forbundet med å være et skadelig program som er lastet ned fra en tredjeparts app store eller forum.,
Metode for Infeksjon
Rootkits er installert gjennom en rekke metoder, men den vanligste infeksjonen vector er gjennom bruk av et sikkerhetsproblem i operativsystemet eller et program som kjører på datamaskinen. Angripere målrette mot kjente og ukjente sårbarheter i operativsystemet og programmer og bruke utnytte koden for å få en privilegert posisjon på måldatamaskinen. De deretter installere rootkit og konfigurere komponenter som kan tillate ekstern tilgang til datamaskinen. Utnyttelsen kode for en bestemt sårbarhet kan være lagret på et lovlig webområde som har blitt kompromittert., En annen infeksjon vector er via infiserte USB-stasjoner. Angripere kan forlate USB-stasjoner med rootkits skjult på dem på steder der de kommer sannsynligvis til å bli funnet og plukket opp av ofrene, som for eksempel kontorbygg, kaffebarer og konferansesentre. I noen tilfeller, rootkit installasjonen kan fortsatt stole på sikkerhetsproblemer, men i andre, malware kan installere som en del av en tilsynelatende legitim program eller en fil på USB-stasjonen.,
Fjerning
å Oppdage tilstedeværelsen av en rootkit på en datamaskin kan være vanskelig, ettersom denne type malware er designet for å holde skjult og gjøre sin virksomhet i bakgrunnen. Det finnes verktøy som er designet for å se etter kjente og ukjente typer rootkits gjennom ulike metoder, blant annet ved hjelp signaturer eller atferdsdata tilnærming som prøver å finne en rootkit ved å se etter kjente atferdsmønstre. Ta en rootkit er en kompleks prosess og vanligvis krever bruk av spesialiserte verktøy, som for eksempel TDSSKiller verktøyet fra Kaspersky Lab som kan oppdage og fjerne TDSS rootkit., I noen tilfeller kan det være nødvendig for offeret å installere operativsystemet på nytt hvis datamaskinen er også skadet.