rootkity istnieją już od prawie 20 lat, umożliwiając atakującym uzyskanie dostępu i kradzież danych z maszyn użytkowników bez wykrycia przez długi czas. Termin ten jest luźno stosowany do podzbioru narzędzi złośliwego oprogramowania, które zostały zaprojektowane specjalnie po to, aby pozostać ukryte na zainfekowanych komputerach i umożliwić atakującemu zdalne sterowanie komputerem. Aby pomóc użytkownikom zrozumieć, czym jest rootkit i jak działa, przygotowaliśmy wyjaśnienie tego rodzaju złośliwego oprogramowania i co zrobić, jeśli ktoś zainfekuje komputer.,
definicja Rootkitu
Rootkit to termin stosowany do typu złośliwego oprogramowania, które ma za zadanie zainfekować komputer docelowy i umożliwić atakującemu zainstalowanie zestawu narzędzi, które zapewniają mu stały zdalny dostęp do komputera. Złośliwe oprogramowanie Zazwyczaj będzie ukryte głęboko w systemie operacyjnym i będzie zaprojektowane tak, aby uniknąć wykrycia przez aplikacje antywirusowe i inne narzędzia zabezpieczające., Rootkit może zawierać dowolną liczbę złośliwych narzędzi, takich jak rejestrator naciśnięć klawiszy, wykradacz haseł, moduł do kradzieży danych karty kredytowej lub bankowości internetowej, bot do ataków DDoS lub funkcje, które mogą wyłączyć oprogramowanie zabezpieczające. Rootkity zazwyczaj działają jako backdoor, który daje atakującemu możliwość zdalnego połączenia się z zainfekowaną maszyną, gdy tylko zechce i usunięcia lub zainstalowania określonych komponentów. Niektóre przykłady rootkitów opartych na systemie Windows w aktywnym użyciu to TDSS, ZeroAccess, Alureon i Necurs.,
warianty rootkitów
dwa główne typy rootkitów to rootkity w trybie użytkownika i rootkity w trybie jądra. Rootkity w trybie użytkownika są zaprojektowane tak, aby działały w tej samej części systemu operacyjnego komputera, co aplikacje. Wywołują one złośliwe zachowanie, przejmując procesy aplikacji uruchomione na komputerze lub nadpisując pamięć używaną przez aplikację. To bardziej powszechne z tych dwóch typów. Rootkity w trybie jądra działają na najniższym poziomie systemu operacyjnego komputera i dają atakującemu najpotężniejszy zestaw uprawnień na komputerze., Po zainstalowaniu rootkitu w trybie jądra, a atakujący miałby pełną kontrolę nad skompromitowanym komputerem i miałby możliwość podjęcia na nim dowolnych działań. Rootkity w trybie jądra są zazwyczaj bardziej złożone niż rootkity w trybie użytkownika i dlatego są mniej powszechne. Ten rodzaj rootkitu jest również trudniejszy do wykrycia i usunięcia.
istnieje również kilka mniej popularnych wariantów rootkitów, takich jak bootkity, które są przeznaczone do modyfikowania boot loadera komputera, oprogramowania niskiego poziomu, które działa przed załadowaniem systemu operacyjnego. W ostatnich latach pojawiła się nowa klasa mobilnych rootkitów, które atakują smartfony, w szczególności urządzenia z systemem Android. Rootkity te często są powiązane ze złośliwą aplikacją pobraną z zewnętrznego sklepu z aplikacjami lub forum.,
metoda infekcji
rootkity są instalowane za pomocą różnych metod, ale najczęstszym wektorem infekcji jest użycie luki w systemie operacyjnym lub aplikacji uruchomionej na komputerze. Atakujący atakują znane i nieznane luki w systemie operacyjnym i aplikacjach oraz używają kodu exploita, aby uzyskać uprzywilejowaną pozycję na docelowej maszynie. Następnie instalują rootkit i konfigurują komponenty, które umożliwiają zdalny dostęp do komputera. Kod exploita dla określonej luki może być przechowywany na legalnej witrynie internetowej, która została naruszona., Inny wektor infekcji odbywa się za pośrednictwem zainfekowanych dysków USB. Atakujący mogą pozostawić dyski USB z rootkitami ukrytymi w miejscach, w których prawdopodobnie zostaną znalezione i odebrane przez ofiary, takich jak biurowce, kawiarnie i centra konferencyjne. W niektórych przypadkach instalacja rootkitu może nadal polegać na lukach w zabezpieczeniach, ale w innych złośliwe oprogramowanie może zostać zainstalowane jako część pozornie legalnej aplikacji lub Pliku na dysku USB.,
usuwanie
wykrywanie obecności rootkita na komputerze może być trudne, ponieważ tego rodzaju złośliwe oprogramowanie ma pozostać ukryte i robić swoje interesy w tle. Istnieją narzędzia zaprojektowane do wyszukiwania znanych i nieznanych typów rootkitów za pomocą różnych metod, w tym za pomocą podpisów lub podejścia behawioralnego, które próbuje wykryć rootkita, szukając znanych wzorców zachowań. Usuwanie rootkitu jest złożonym procesem i zazwyczaj wymaga użycia specjalistycznych narzędzi, takich jak narzędzie TDSSKiller z Kaspersky Lab, które może wykryć i usunąć rootkit TDSS., W niektórych przypadkach może być konieczne, aby ofiara ponownie zainstalowała system operacyjny, jeśli komputer jest zbyt uszkodzony.