Rootkit-urile sunt unele dintre cele mai avansate tipuri de malware. Ani de-a rândul, soluțiile de securitate au întâmpinat piedici privind detecția și eliminarea rootkit-urilor, în principal din cauza faptului că acestea compromit sistemele de operare în asemenea măsură încât se pot ascunde atât de soluțiile anti-malware, cât și de sistemul de operare însuși.
Ce sunt Rootkit-urile și cum funcționează?
Termenul Rootkit este o combinație între cuvântul „root”, utilizatorul cu cele mai multe privilegii dintr-un sistem de operare bazat pe Unix, și „kit”, setul de instrumente software care compune rootkitul. Rootkiturile își au originea în anii ’90, când acestea vizau sistemele Sun și Linux, însă apariția noilor sisteme de operare a condus la dezvoltarea rootkit-urilor pentru Windows în 1999 și pentru Mac în 2009.
Spre deosebire de malware-ul clasic, rootkit-ul introduce un defect fundamental în computerul pe care îl infectează. Nu compromite fișiere sau directoare, ci modifică toate informațiile pe care le transmite computerul, în funcție de scopurile creatorului său.
Rootkit-urile se împart, în funcție de obiectiv, în două categorii principale: mod utilizator, respectiv mod kernel.
Pentru a înțelege cum anume compromite un sistem de operare, trebuie să înțelegem mai întâi cum funcționează un sistem de operare. Toate aplicațiile din computer comunică prin apelări de funcții transmise prin API-ul (Application Programming Interface) sistemului de operare. Un driver din categoria mod utilizator face conexiunea cu tabela de adrese de import (Import Address Table, IAT) (o listă a tuturor adreselor de API-uri sau funcții de sistem care trebuie să fie efectuate de kernelul sistemului de operare pentru a permite funcționarea programului).
Rootkitul mod kernel utilizează drivere de sistem care se atașează de kernel pentru a „intermedia” apelările API dintre aplicațiile utilizatorului și sistemul de operare însuși. Odată instalat, driverul rootkit redirecționează apelările de funcții ale sistemului în așa fel încât nu mai este executat codul kernel, ci propriul său cod. Așa că, atunci când deschidem un director pentru a-i putea vedea conținutul, de obicei adresăm o întrebare kernel-ului în legătură cu numărul de fișiere care se află în directorul respectiv. Cu toate acestea, un rootkit ar putea intercepta această solicitare și ar putea raporta toate fișierele din directorul respectiv, cu excepția celor care sunt periculoase. Utilizatorul, sistemul său de operare sau produsul său anti-malware nu vor ști niciodată că în directorul respectiv au existat aceste fișiere.
Utilizând un rootkit, un infractor capătă drepturi depline de administrator asupra computerului și software-ului. Astfel obține, în mod convenabil, acces la jurnale, monitorizează activitatea utilizatorului, fură informații și fișiere cu caracter personal și modifică setări. Fără ca măcar să știe utilizatorul, rootkitul are acces la toate parolele și informațiile sale.
Cum ajunge un Rookit în calculator?
Chiar dacă reprezintă una dintre cele mai periculoase amenințări cibernetice de până acum, rootkitul nu poate acționa singur. Acesta are nevoie de un vector de infectare pentru a se propaga și instala. Hackerii utilizează Troieni sau profită de vulnerabilitățile sistemelor de operare pentru a instala un rootkit. Odată ajuns în sistem, de cele mai multe ori colectează spyware, viermi informatici, keyloggere sau viruși informatici, care transformă computerul într-o marionetă fără valoare. Hackerii pot utiliza mai apoi un rootkit pentru a lansa atacuri de tip DoS, campanii spam sau phishing asupra unor terți. Având acces complet asupra sistemului de operare, computerul este controlat în totalitate de hackeri. Astfel, rootkitul este greu de detectat imediat, chiar și în cazul unui expert.
Însă rootkit-urile nu sunt întotdeauna programe instalate cu rea intenție. În unele cazuri sunt utilizate pentru înșelăciune, cum ar fi pentru eludarea protecției drepturilor de autor și a protecției antifurt. În alte cazuri, companii producătoare introduc rootkituri voit în dispozitive ca parte a administrării drepturilor digitale ori pentru reinstalarea software-ului. Cu toate că sunt introduse fără rea intenție, acestea sunt vulnerabilități de pe urma cărora hackerii pot profita mai târziu, în cazul în care sunt descoperite.
Detectare, eliminare, prevenție
Detectarea unui rootkit este dificilă și se poate dovedi imposibilă din cauza controlului pe care îl deține asupra calculatorului. Victimele care au cunoștințe informatice avansate pot scana semnăturile sau analiza fișierele de imagine de memorie (memory dump), dar în cazul în care rootkit-ul a preluat controlul asupra memoriei kernel (cu alte cuvinte, asupra creierului sistemului de operare), atunci trebuie formatat hard disk-ul și reinstalat sistemul de operare.
După cum probabil v-ați dat seama până acum, rootkit-urile sunt atât de sofisticate încât s-ar putea să nu le puteți elimina fără o reinstalare. De fapt, este posibil să nu le detectați decât atunci când este prea târziu sau când încercați să rulați o scanare antivirus iar rootkit-ul nu permite antivirusului să pornească.
Pentru a evita pierderea datelor, utilizatorii trebuie să aibă un comportament online responsabil:
- Criptați informațiile private și faceți copii de rezervă ale datelor în mai multe surse.
- Pentru că troienii reprezintă cea mai întâlnită modalitate prin care hackerii pătrund în rețele, nu deschideți niciodată atașamentele primite pe mail din partea unor expeditori de care nu ați mai auzit.
- Dacă vă uitați la un videoclip sau doriți să deschideți un fișier și vi se cere să descărcați un plugin, nu dați curs solicitării.
- Actualizați-vă constant firewall-ul și soluția de securitate și efectuați periodic scanări complete de sistem pe Windows și pe macOS.