ABC of Cybersecurity: Rootkit

Vă invităm să învățăm împreună despre fiecare literă din ABC-ul securității cibernetice by Bitdefender.

Hai să descoperim un nou element: Rootkit

Rootkitul este unul dintre cele mai sofisticate tipuri de malware. Ani de-a rândul, soluțiile de securitate au întâmpinat piedici privind detecția și eliminarea rootkiturilor, în principal din cauza faptului că acestea compromit sistemele de operare într-așa măsură încât se pot ascunde atât de soluțiile anti-malware, cât și de sistemul de operare însuși.

Termenul rootkit este o combinație între cuvântul „root”, utilizatorul cu cele mai multe privilegii dintr-un sistem de operare bazat pe Unix, și „kit”, setul de instrumente software care compune rootkitul. Rootkiturile își au originea în anii ’90, când acestea vizau sistemele Sun și Linux, însă apariția noilor sisteme de operare a condus la dezvoltarea rootkiturilor pentru Windows în 1999 și pentru Mac în 2009.

Ce este un rootkit și cum funcționează?

Spre deosebire de malware-ul clasic, rootkitul introduce un defect fundamental în computerul pe care îl infectează. Nu compromite fișiere sau directoare, ci modifică toate informațiile pe care le transmite computerul, în funcție de scopurile creatorului său.

Rootkit-urile se împart, în funcție de obiectiv, în două categorii principale:

1. mod utilizator
2. mod kernel

Pentru a înțelege cum anume compromite un sistem de operare, trebuie să înțelegem mai întâi cum funcționează un sistem de operare. Toate aplicațiile din computer comunică prin apelări de funcții transmise prin API-ul (Application Programming Interface) sistemului de operare. Un driver din categoria mod utilizator face conexiunea cu tabela de adrese de import (Import Address Table, IAT) (o listă a tuturor adreselor de API-uri sau funcții de sistem care trebuie să fie efectuate de kernelul sistemului de operare pentru a permite funcționarea programului).

Rootkitul mod kernel utilizează drivere de sistem care se atașează de kernel pentru a „intermedia” apelările API dintre aplicațiile utilizatorului și sistemul de operare însuși. Odată instalat, driverul rootkit redirecționează apelările de funcții ale sistemului în așa fel încât nu mai este executat codul kernel, ci propriul său cod. Așa că, atunci când deschidem un director pentru a-i putea vedea conținutul, de obicei adresăm o întrebare kernel-ului în legătură cu numărul de fișiere care se află în directorul respectiv. Cu toate acestea, un rootkit ar putea intercepta această solicitare și ar putea raporta toate fișierele din directorul respectiv, cu excepția celor care sunt periculoase. Utilizatorul, sistemul său de operare sau produsul său anti-malware nu vor ști niciodată că în directorul respectiv au existat aceste fișiere.
Utilizând un rootkit, un infractor capătă drepturi depline de administrator asupra computerului și software-ului. Astfel obține, în mod convenabil, acces la jurnale, monitorizează activitatea utilizatorului, fură informații și fișiere cu caracter personal și modifică configurații. Fără ca măcar să știe utilizatorul, rootkitul are acces la toate parolele și informațiile sale.

Chiar dacă reprezintă una dintre cele mai periculoase amenințări cibernetice de până acum, rootkitul nu poate acționa singur. Acesta are nevoie de un vector de infectare pentru a se propaga și instala. Hackerii utilizează troieni sau profită de vulnerabilitățile sistemelor de operare pentru a instala un rootkit. Odată ajuns în sistem, de cele mai multe ori colectează spyware, viermi informatici, keyloggere sau viruși informatici, care transformă computerul într-o carcasă fără valoare. Hackerii îl pot utiliza mai apoi pentru a lansa atacuri de tip DoS, campanii spam sau phishing asupra unor terți. Având acces complet asupra sistemului de operare, computerul este controlat în totalitate de hackeri; astfel, rootkitul este greu de detectat imediat, chiar și în cazul unui expert.

Însă rootkit nu sunt întotdeauna programe instalate cu rea-intenție.  În unele cazuri sunt utilizate pentru înșelăciune, cum ar fi pentru eludarea protecției drepturilor de autor și a protecției antifurt.

În alte cazuri, companii producătoare introduc rootkituri voit în dispozitive ca parte a administrării drepturilor digitale ori pentru reinstalarea software-ului. Cu toate că sunt introduse fără rea intenție, acestea sunt vulnerabilități de pe urma cărora hackerii pot profita mai târziu, în cazul în care sunt descoperite.

Cum descoperit un rootkit?

Detectarea unui rootkit este dificilă și se poate dovedi imposibilă din cauza controlului pe care îl deține asupra computerului.

Victimele pot scana semnăturile sau analiza fișierele de imagine de memorie (memory dump), dar în cazul în care rootkitul a preluat controlul asupra memoriei kernel (cu alte cuvinte, asupra creierului sistemului de operare), atunci trebuie formatat hard disk-ul și reinstalat sistemul de operare.

Pentru a evita pierderea datelor, utilizatorii trebuie să aibă un comportament online responsabil:

• Criptați informațiile private și asigurați-vă că sunt salvate în mai multe surse.
• Pentru că troienii reprezintă cea mai întâlnită modalitate prin care hackerii pătrund în rețele, nu deschideți niciodată attachments primite pe mail din partea unor expeditori de care nu ați mai auzit.
• Actualizați-vă constant firewallul și soluția de securitate și efectuați periodic scanări complete de sistem.