I rootkit sono una raccolta di software invisibile che fornisce accesso privilegiato a un sistema operativo nascondendo la loro presenza. Comportandosi come programmi benigni, nascondono malware, keylogger, ladri di password e credenziali e bot progettati per infiltrarsi in un computer o in una rete, consentendo ai criminali informatici di accedere ai dati protetti e assumere il controllo del sistema senza essere rilevati.
I rootkit possono essere installati tramite USB o scaricati su un computer tramite tattiche di ingegneria sociale come il phishing. Una volta installati, i rootkit sono impercettibili e possono bloccare strumenti di sicurezza come antivirus o anti-malware. Un rootkit non solo nasconde la sua presenza, ma anche malware, virus e altri payload software per funzionare di nascosto. Infettano il sistema, creano una backdoor e forniscono agli hacker privilegi a livello di amministrazione per accedere a un computer o una rete in remoto senza che il proprietario ne sia a conoscenza o il consenso.
Usi dei rootkit
I rootkit possono essere una forza positiva, come combattere la pirateria, applicare la gestione dei diritti digitali (DRM), scoprire e prevenire le frodi nei giochi online e riconoscere gli attacchi in un honeypot. Ma in genere, i rootkit sono una piattaforma per gli hacker per fornire accesso non autorizzato, nascondere programmi software dannosi e trasformare il sistema operativo compromesso in un host per attaccare altri computer nella rete.
Tipi di rootkit
Non appena i rootkit entrano nel sistema, si comportano con privilegi crescenti e possono agire come un cavallo di Troia, oscurando la loro esistenza sovvertendo gli strumenti di sicurezza e alterando i driver ei moduli del kernel di un sistema operativo. Sono disponibili in cinque varianti:
- modalità d'uso funziona insieme ad altre applicazioni come utente e opera a livello Ring 3 con accesso limitato al computer. Ma può intercettare, modificare, alterare i processi e sovrascrivere la memoria di altre applicazioni.
- Modalità kernel è il più difficile da rilevare e rimuovere poiché si comporta e viene eseguito su Ring 0, condividendo gli stessi privilegi con l'amministratore di un sistema operativo.
- Bootkit sono un tipo di rootkit in modalità kernel, che infetta il codice di avvio di un computer o il settore di avvio per attaccare la crittografia del disco.
- hypervisor sfrutta le funzionalità di virtualizzazione dell'hardware e intercetta le comunicazioni tra il sistema operativo e l'hardware. Si comporta come una macchina virtuale che ospita il sistema operativo.
- firmware i rootkit sono nascosti nel BIOS di sistema di un dispositivo o firmware di una piattaforma come disco rigido, RAM, scheda di rete, router e lettore di schede.
Rilevamento e rimozione
Il rilevamento dei rootkit può essere difficile, soprattutto se il sistema operativo è già infetto, sovvertito e compromesso da un rootkit in modalità kernel. Ma ci sono modi per rilevare i rootkit, incluso l'uso di software antivirus, il controllo dell'integrità del sistema, il monitoraggio dell'utilizzo della CPU e del traffico di rete, la scansione delle firme e il rilevamento basato sulle differenze.
Così come i rootkit possono essere difficili da smascherare, sono anche impossibili da rimuovere manualmente. Ma alcuni rootkit possono essere rilevati e rimossi da antivirus o antimalware. Il modo più semplice per sbarazzarsi dei rootkit è reinstallare il sistema operativo e le sue applicazioni.