Os rootkits são uma coleção de softwares furtivos que fornecem acesso privilegiado em um sistema operacional e, ao mesmo tempo, ocultam sua presença. Comportando-se como programas benignos, eles escondem malware, keyloggers, ladrões de senhas e credenciais e bots projetados para se infiltrar em um computador ou rede, permitindo que os cibercriminosos acessem dados protegidos e assumam o sistema sem serem detectados.
Os rootkits podem ser instalados por meio de um USB ou baixados para um computador por meio de táticas de engenharia social, como phishing. Depois de instalados, os rootkits ficam imperceptíveis e podem bloquear ferramentas de segurança como antivírus ou antimalware. Um rootkit não apenas esconde sua presença, mas também de malware, vírus e outras cargas de software para funcionar sub-repticiamente. Eles infectam o sistema, criam uma entrada backdoor e fornecem aos hackers privilégios de nível de administração para acessar um computador ou rede remotamente sem o conhecimento ou consentimento do proprietário.
Usos de rootkits
Os rootkits podem ser uma força para o bem, como combater a pirataria, impor o gerenciamento de direitos digitais (DRM), descobrir e prevenir trapaças em jogos online e reconhecer ataques em um honeypot. Mas, geralmente, os rootkits são uma plataforma para os hackers fornecerem acesso não autorizado, ocultar programas de software mal-intencionado e transformar o sistema operacional comprometido em um host para atacar outros computadores na rede.
Tipos de rootkits
Assim que os rootkits entram no sistema, eles se comportam com privilégios crescentes e podem agir como um cavalo de Tróia, obscurecendo sua existência ao subverter as ferramentas de segurança e alterando os drivers e módulos do kernel de um sistema operacional. Eles vêm em cinco variantes:
- Modo de usuário é executado junto com outros aplicativos como um usuário e opera no nível Ring 3 com acesso limitado ao computador. Mas pode interceptar, modificar, alterar os processos e sobrescrever a memória de outros aplicativos.
- Modo kernel é o mais difícil de detectar e remover, pois se comporta e é executado no Ring 0, compartilhando os mesmos privilégios com o administrador de um sistema operacional.
- Bootkits são um tipo de rootkit de modo kernel, que infecta o código de inicialização de um computador ou o setor de inicialização para atacar a criptografia de disco.
- Hipervisor explora os recursos de virtualização do hardware e intercepta as comunicações entre o sistema operacional e o hardware. Ele se comporta como uma máquina virtual que hospeda o sistema operacional.
- firmware Os rootkits estão ocultos no BIOS do sistema de um firmware de dispositivo ou plataforma, como disco rígido, RAM, placa de rede, roteador e leitor de cartão.
Detecção e Remoção
A detecção de rootkits pode ser difícil, especialmente se o sistema operacional já estiver infectado, subvertido e comprometido por um rootkit em modo kernel. Mas existem maneiras de detectar rootkits, incluindo o uso de software antivírus, verificação da integridade do sistema, rastreamento do uso da CPU e tráfego de rede, verificação de assinatura e uso de detecção baseada em diferenças.
Assim como os rootkits podem ser difíceis de desmascarar, eles também são impossíveis de remover manualmente. Mas alguns rootkits podem ser detectados e removidos por antivírus ou antimalware. A maneira mais fácil de se livrar dos rootkits é reinstalar o sistema operacional e seus aplicativos.