Rootkits har funnits i nästan 20 år nu, vilket gör det möjligt för angripare att få tillgång till och stjäla data från användarnas maskiner utan att upptäckas under långa tidsperioder. Termen tillämpas löst på en delmängd av malware verktyg som är utformade speciellt för att hålla sig gömd på infekterade datorer och gör det möjligt för angriparen att fjärrstyra datorn. För att hjälpa användare att förstå vad en rootkit är och hur man fungerar, har vi satt ihop en förklarare på denna typ av skadlig kod och vad man ska göra om man infekterar din dator.,
rootkit Definition
Rootkit är en term som tillämpas på en typ av skadlig kod som är utformad för att infektera en måldator och tillåta en angripare att installera en uppsättning verktyg som ger honom ihållande fjärråtkomst till datorn. Malware kommer vanligtvis att döljas djupt i operativsystemet och kommer att utformas för att undvika upptäckt av anti-malware program och andra säkerhetsverktyg., Den rootkit kan innehålla valfritt antal skadliga verktyg, såsom en tangenttryckning logger, ett lösenord stealer, en modul för att stjäla kreditkort eller online bankinformation, en bot för DDoS attacker eller funktionalitet som kan inaktivera säkerhetsprogram. Rootkits fungerar vanligtvis som en bakdörr som ger angriparen möjlighet att ansluta på distans till den infekterade maskinen när han väljer och tar bort eller installerar specifika komponenter. Några exempel på Windows-baserade rootkits aktivt idag har TDSS, ZeroAccess, Alureon och Necurs.,
rootkit-varianter
de två huvudtyperna av rootkits är rootkits i användarläge och rootkits i kärnläge. Användarläge rootkits är utformade för att köras i samma del av datorns operativsystem som applikationer. De utför sitt skadliga beteende genom att kapa applikationsprocesser som körs på datorn eller genom att skriva över det minne som ett program använder. Detta desto vanligare av de två typerna. Kärnläge rootkits körs på lägsta nivå i datorns operativsystem och ger angriparen den mest kraftfulla uppsättningen privilegier på datorn., Efter installationen av ett kärnläge rootkit, och angripare skulle ha fullständig kontroll över den komprometterade datorn och skulle ha möjlighet att vidta några åtgärder på den han valde. Kärnläge rootkits är vanligtvis mer komplexa än användarläge rootkits och är därför mindre vanliga. Denna typ av rootkit är också svårare att upptäcka och ta bort.
det finns också några mindre vanliga rootkit-varianter, till exempel bootkits, som är utformade för att ändra datorns starthanterare, den lågnivåprogramvara som körs innan operativsystemet laddas. Under de senaste åren har en ny klass av mobila rootkits uppstått för att attackera smartphones, speciellt Android-enheter. Dessa rootkits är ofta förknippade med ett skadligt program som laddas ner från en tredje part App store eller forum.,
infektionsmetod
Rootkits installeras genom olika metoder, men den vanligaste infektionsvektorn är genom användning av en sårbarhet i operativsystemet eller ett program som körs på datorn. Angripare riktar kända och okända sårbarheter i operativsystemet och applikationer och använder exploit code för att få en privilegierad position på målmaskinen. De installerar sedan rootkit och ställer in komponenter som tillåter fjärråtkomst till datorn. Exploit-koden för en specifik sårbarhet kan vara värd på en legitim webbplats som har äventyrats., En annan infektion vektor är via infekterade USB-enheter. Angripare kan lämna USB-enheter med rootkits gömda på dem på platser där de sannolikt kommer att hittas och plockas upp av offer, såsom kontorsbyggnader, kaféer och konferenscenter. I vissa fall kan rootkit-installationen fortfarande förlita sig på säkerhetsproblem, men i andra kan skadlig kod installeras som en del av en till synes legitim applikation eller fil på USB-enheten.,
borttagning
detektering av närvaron av ett rootkit på en dator kan vara svårt, eftersom denna typ av skadlig kod är utformad för att hålla sig dold och göra sin verksamhet i bakgrunden. Det finns verktyg som är utformade för att leta efter kända och okända typer av rootkits genom olika metoder, inklusive att använda signaturer eller en beteendemetod som försöker upptäcka ett rootkit genom att leta efter kända beteendemönster. Att ta bort ett rootkit är en komplex process och kräver vanligtvis användning av specialverktyg, till exempel TDSSKiller-verktyget från Kaspersky Lab som kan upptäcka och ta bort TDSS rootkit., I vissa fall kan det vara nödvändigt för offret att installera om operativsystemet om datorn är för skadad.