Rootkity jsou sbírkou tajného softwaru, který poskytuje privilegovaný přístup v operačním systému a zároveň skrývá jejich přítomnost. Chovají se jako neškodné programy a skrývají malware, keyloggery, krádeže hesel a pověření a roboty určené k infiltraci do počítače nebo do sítě, což kyberzločincům umožňuje přístup k chráněným datům a nezjištěný systém.
Rootkity lze nainstalovat přes USB nebo stáhnout do počítače pomocí taktiky sociálního inženýrství, jako je phishing. Po instalaci jsou rootkity nepostřehnutelné a mohou blokovat bezpečnostní nástroje, jako je antivirus nebo anti-malware. Rootkit skrývá nejen svou přítomnost, ale také malware, viry a další užitečné zátěže softwaru, aby tajně fungovaly. Infikují systém, vytvářejí položku na zadních vrátkách a poskytují hackerům oprávnění na úrovni správy pro vzdálený přístup k počítači nebo síti bez vědomí nebo souhlasu vlastníka.
Použití rootkitů
Rootkity mohou být silou dobra, jako je boj proti pirátství, prosazování správy digitálních práv (DRM), odhalování a prevence podvádění v online hrách a rozpoznávání útoků v honeypotu. Ale obecně jsou rootkity platformou pro hackery, aby poskytli neoprávněný přístup, skryli škodlivé softwarové programy a vytvořili z napadeného operačního systému hostitele, který napadne ostatní počítače v síti.
Typy rootkitů
Jakmile rootkity vstoupí do systému, chovají se s eskalujícími oprávněními a mohou se chovat jako trojský kůň, což zakrývá jejich existenci rozvrácením bezpečnostních nástrojů a změnou ovladačů a modulů jádra operačního systému. Přicházejí v pěti variantách:
- Uživatelský režim běží spolu s dalšími aplikacemi jako uživatel a pracuje na úrovni Ring 3 s omezeným přístupem k počítači. Může však zachytit, upravit, změnit procesy a přepsat paměť jiných aplikací.
- Režim jádra je nejobtížnější detekovat a odstranit, jak se chová a běží na Ring 0 a sdílí stejná oprávnění se správcem operačního systému.
- Bootkity jsou typem rootkitu režimu jádra, který infikuje spouštěcí kód počítače nebo spouštěcí sektor, aby napadl šifrování disku.
- Hypervisor využívá virtualizační funkce hardwaru a zachycuje komunikaci mezi operačním systémem a hardwarem. Chová se jako virtuální stroj, který je hostitelem operačního systému.
- firmware rootkity jsou skryty v systému BIOS firmwaru zařízení nebo platformy, jako je pevný disk, RAM, síťová karta, router a čtečka karet.
Detekce a odstranění
Detekce rootkitů může být obtížná, zvláště pokud je operační systém již infikován, narušen a napaden rootkitem v režimu jádra. Existují však způsoby, jak detekovat rootkity, včetně použití antivirového softwaru, kontroly integrity systému, sledování využití CPU a síťového provozu, skenování podpisů a použití detekce založené na rozdílech.
Stejně jako je těžké demaskovat rootkity, není možné je ani ručně odstranit. Některé rootkity však mohou být detekovány a odstraněny antivirem nebo antimalwarem. Nejjednodušší způsob, jak se rootkitů zbavit, je přeinstalovat operační systém a jeho aplikace.