Rootkits já existem há quase 20 anos, permitindo que os atacantes tenham acesso e roubem dados das máquinas dos usuários sem serem detectados por longos períodos de tempo. O termo é vagamente aplicado a um subconjunto de ferramentas de malware que são projetadas especificamente para ficar escondido em computadores infectados e permitir que o atacante controle remotamente o PC. Para ajudar os usuários a entender o que é um rootkit e como se opera, nós montamos um explicador sobre este tipo de malware e o que fazer se alguém infectar o seu computador.,
Rootkit definição
Rootkit é um termo aplicado a um tipo de malware que é projetado para infectar um PC alvo e permitir que um atacante instale um conjunto de ferramentas que lhe concedem acesso remoto persistente ao computador. O malware normalmente será escondido no interior do sistema operacional e será projetado para evitar a detecção por aplicativos anti-malware e outras ferramentas de segurança., O rootkit pode conter qualquer número de ferramentas maliciosas, como um Logger keystroke, um ladrão de senha, um módulo para roubar cartão de crédito ou informações bancárias on-line, um bot para ataques DDoS ou funcionalidade que pode desativar software de segurança. Os Rootkits normalmente atuam como um backdoor que dá ao atacante a capacidade de se conectar remotamente à máquina infectada sempre que ele escolhe e remove ou instala componentes específicos. Alguns exemplos de rootkits baseados no Windows em uso ativo hoje incluem TDSS, ZeroAccess, Alureon e Necurs.,
variantes Rootkit
os dois principais tipos de rootkits são rootkits de modo Usuário e rootkits de modo kernel. Rootkits User-mode são projetados para executar na mesma parte do sistema operacional do computador que aplicativos. Eles executam seu comportamento malicioso, sequestrando processos de aplicação rodando na máquina ou sobrepondo a memória que um aplicativo usa. Este é o mais comum dos dois tipos. Os rootkits do modo Kernel são executados no nível mais baixo do sistema operacional do PC e dão ao atacante o conjunto mais poderoso de privilégios no computador., Após a instalação de um rootkit no modo kernel, e o atacante teria o controle completo do computador comprometido e teria a capacidade de tomar qualquer ação nele que ele escolheu. Os rootkits do modo Kernel são tipicamente mais complexos que os rootkits do modo Usuário e são, portanto, menos comuns. Este tipo de rootkit também é mais difícil de detectar e remover.
Existem algumas variantes menos comuns do rootkit, como bootkits, que são projetados para modificar o carregador de boot do computador, o software de baixo nível que corre antes das cargas do sistema operacional. Nos últimos anos, uma nova classe de rootkits móveis surgiram para atacar smartphones, especificamente dispositivos Android. Estes rootkits muitas vezes são associados a uma aplicação maliciosa baixada de uma app store de terceiros ou fórum.,
método de infecção
Rootkits são instalados através de uma variedade de métodos, mas o vetor de infecção mais comum é através do uso de uma vulnerabilidade no sistema operacional ou uma aplicação rodando no computador. Os atacantes atacam vulnerabilidades conhecidas e desconhecidas no SO e aplicações e usam o código exploit para obter uma posição privilegiada na máquina-alvo. Eles então instalam o rootkit e configuram componentes que permitem o acesso remoto ao computador. O código explore para uma vulnerabilidade específica pode ser hospedado em um site legítimo que tenha sido comprometido., Outro vector de infecção é através de Unidades USB infectadas. Os atacantes podem deixar drives USB com rootkits escondidos sobre eles em lugares onde eles são susceptíveis de ser encontrados e pego pelas vítimas, tais como edifícios de escritórios, cafés e centros de conferências. Em alguns casos, a instalação rootkit ainda pode confiar em vulnerabilidades de segurança, mas em outros, o malware pode instalar como parte de uma aplicação aparentemente legítima ou arquivo na unidade USB.,
remoção
detectar a presença de um rootkit em um computador pode ser difícil, como este tipo de malware é projetado para ficar escondido e fazer o seu negócio em segundo plano. Existem utilitários projetados para procurar tipos conhecidos e desconhecidos de rootkits através de vários métodos, incluindo o uso de assinaturas ou uma abordagem comportamental que tenta detectar um rootkit, procurando por padrões de comportamento conhecidos. Remover um rootkit é um processo complexo e normalmente requer o uso de ferramentas especializadas, como o utilitário TDSSKiller do Laboratório Kaspersky que pode detectar e remover o rootkit TDSS., Em alguns casos, pode ser necessário que a vítima reinstale o sistema operacional se o computador estiver muito danificado.