Rootkits bestaan al bijna 20 jaar, waardoor aanvallers toegang krijgen tot en data kunnen stelen van machines van gebruikers zonder dat ze gedurende lange tijd worden gedetecteerd. De term wordt losjes toegepast op een subset van malware tools die speciaal zijn ontworpen om verborgen te blijven op geà nfecteerde computers en de aanvaller in staat stellen om de PC op afstand te bedienen. Om gebruikers te helpen begrijpen wat een rootkit is en hoe men werkt, hebben we samen een uitleg over dit soort malware en wat te doen als men infecteert uw computer.,
Rootkit definitie
Rootkit is een term die wordt toegepast op een type malware dat is ontworpen om een doelpc te infecteren en een aanvaller toe te staan om een set tools te installeren die hem permanente toegang op afstand tot de computer verlenen. De malware zal meestal diep in het besturingssysteem worden verborgen en zal worden ontworpen om detectie door anti-malware toepassingen en andere beveiligingstools te omzeilen., De rootkit kan een aantal kwaadaardige tools bevatten, zoals een toetsaanslag logger, een wachtwoord stealer, een module voor het stelen van credit card of online bankieren informatie, een bot voor DDoS-aanvallen of functionaliteit die beveiligingssoftware kan uitschakelen. Rootkits fungeren meestal als een achterdeur die de aanvaller de mogelijkheid geeft om op afstand verbinding te maken met de geà nfecteerde machine wanneer hij kiest en verwijderen of installeren van specifieke componenten. Enkele voorbeelden van Windows-gebaseerde rootkits die tegenwoordig actief worden gebruikt, zijn TDSS, ZeroAccess, Alureon en Necurs.,
Rootkit-varianten
de twee hoofdtypen rootkits zijn rootkits in de gebruikersmodus en rootkits in de kernelmodus. User-mode rootkits zijn ontworpen om te draaien in hetzelfde deel van het besturingssysteem van de computer als toepassingen. Ze voeren hun kwaadaardige gedrag door het kapen van applicatieprocessen die op de machine of door het overschrijven van het geheugen dat een toepassing gebruikt. Dit is de meest voorkomende van de twee types. Kernel-mode rootkits draaien op het laagste niveau van het besturingssysteem van de PC en geven de aanvaller de meest krachtige set van privileges op de computer., Na de installatie van een kernel-mode rootkit, en aanvaller zou de volledige controle over de besmette computer en zou de mogelijkheid hebben om elke actie te nemen op het hij koos. Kernel-mode rootkits zijn doorgaans complexer dan user-mode rootkits en zijn daarom minder gebruikelijk. Dit soort rootkit is ook moeilijker op te sporen en te verwijderen.
er zijn ook een paar minder gangbare rootkit-varianten, zoals bootkits, die ontworpen zijn om de bootloader van de computer te wijzigen, de low-level software die draait voordat het besturingssysteem wordt geladen. In de afgelopen jaren, een nieuwe klasse van mobiele rootkits zijn naar voren gekomen om smartphones aan te vallen, in het bijzonder Android-apparaten. Deze rootkits vaak worden geassocieerd met een kwaadaardige toepassing gedownload van een derde partij app store of forum.,
infectiemethode
Rootkits worden geïnstalleerd via verschillende methoden, maar de meest voorkomende infectievector is het gebruik van een kwetsbaarheid in het besturingssysteem of een toepassing die op de computer wordt uitgevoerd. Aanvallers richten bekende en onbekende kwetsbaarheden in het besturingssysteem en toepassingen en gebruik exploit code om een bevoorrechte positie op het doel machine te krijgen. Vervolgens installeren ze de rootkit en zetten ze componenten op die externe toegang tot de computer mogelijk maken. De exploit code voor een specifieke kwetsbaarheid kan worden gehost op een legitieme website die is gecompromitteerd., Een andere infectie vector is via geïnfecteerde USB-drives. Aanvallers kunnen verlaten USB-drives met rootkits verborgen op hen op plaatsen waar ze waarschijnlijk worden gevonden en opgepikt door slachtoffers, zoals kantoorgebouwen, coffeeshops en conferentiecentra. In sommige gevallen, de rootkit installatie kan nog steeds vertrouwen op beveiligingsproblemen, maar in andere, de malware kan installeren als onderdeel van een ogenschijnlijk legitieme toepassing of bestand op de USB-drive.,
verwijdering
het detecteren van de aanwezigheid van een rootkit op een computer kan moeilijk zijn, omdat dit soort malware is ontworpen om verborgen te blijven en zijn zaken op de achtergrond te doen. Er zijn hulpprogramma ‘ s ontworpen om te zoeken naar bekende en onbekende soorten rootkits door middel van verschillende methoden, waaronder het gebruik van handtekeningen of een gedragsbenadering die probeert om een rootkit te detecteren door te zoeken naar bekende gedragspatronen. Het verwijderen van een rootkit is een complex proces en vereist meestal het gebruik van gespecialiseerde tools, zoals de TDSSKiller utility van Kaspersky Lab dat de TDSS rootkit kan detecteren en verwijderen., In sommige gevallen kan het nodig zijn voor het slachtoffer om het besturingssysteem opnieuw te installeren als de computer te beschadigd is.