Ett rootkit är en av de mest avancerade typerna av skadlig kod som finns för närvarande. I åratal har säkerhetslösningar kämpat med att upptäcka och avlägsna den, främst på grund av att rootkits äventyrar operativsystemet på en sådan nivå att de kan dölja sin närvaro för både anti-malware-lösningar och själva operativsystemet.
Vad är en Rootkit och hur fungerar den?
Termen rootkit är en sammansättning av orden "root", den mest privilegierade användaren i ett Unix-baserat operativsystem, och "kit", den uppsättning programvaruverktyg som utgör rootkiten. Rootkits går tillbaka till början av 90-talet då de var inriktade på Sun och Linux, men framväxten av nya operativsystem ledde till att rootkits för Windows utvecklades 1999 och Mac 2009.
Till skillnad från traditionell skadlig kod introducerar rootkits en grundläggande brist i den dator de infekterar. De äventyrar inte filer eller mappar. I stället ändrar de allt som operativsystemet rapporterar tillbaka till dig enligt deras skapares behov.
Rootkits delas in i två huvudkategorier, beroende på deras handlingsutrymme: rootkits i användarläge och rootkits i kärnläge. För att få en inblick i hur de äventyrar ett operativsystem måste vi först förstå hur ett operativsystem fungerar. Alla program på din dator kommunicerar via funktionsanrop som skickas via operativsystemets API (Application Programming Interface). En drivrutin i användarläget kopplar in importadresstabellen (en förteckning över alla adresser till API:er eller systemfunktioner som programmet behöver att operativsystemets kärna utför).
Rootkits i kärnläge använder systemdrivrutiner som kopplas till kärnan för att "förmedla" API-samtal mellan användarprogram och själva operativsystemet. När den väl är installerad omdirigerar rootkit-drivrutinen systemfunktionsanrop så att dess egen kod exekveras i stället för kärnans kod. När du öppnar en mapp för att se dess innehåll frågar du alltså vanligtvis kärnan om antalet filer som finns i respektive mapp. En rootkit kan dock avlyssna din förfrågan och rapportera alla filer i mappen, utom några som är skadliga. Du, ditt operativsystem eller din antimalware-lösning kommer inte ens att veta att vissa filer någonsin funnits i respektive mapp.
Genom att använda ett rootkit har en hackare fullständiga administratörsrättigheter till din dator och programvara, vilket gör det bekvämt att få tillgång till loggar, övervaka din aktivitet, stjäla privat information och privata filer och störa konfigurationer. Utan att du ens vet om det kommer alla dina lösenord och all din information att vara tillgängliga för dem att stjäla.
Hur kommer ett Rootkit in på min dator?
Även om de är några av de farligaste e-hoten hittills fungerar rootkits inte bara av sig själva - de behöver en infektionsvektor för att spridas och installeras. Hackare använder Trojaner eller utnyttjar sårbarheter i operativsystemet för att placera rootkits. Men när de väl har tagit sig in i systemet hyser de ofta spionprogram, maskar, keyloggers eller datavirus som förvandlar din dator till en värdelös marionett. Hackare kan sedan använda rootkits för att starta DoS-attacker, skräppost och phishing-kampanjer mot tredje part, kanske till och med mot dina kontakter. Genom att ha rotåtkomst till operativsystemet tas datorn helt över av hackare, vilket gör rootkits svåra att upptäcka direkt även för den mest erfarne teknikern.
Men rootkits är inte alltid skadliga, eftersom de i vissa fall används för att fuska, till exempel för att besegra upphovsrätts- och stöldskydd. Å andra sidan är Sony och Lenovo företag som är kända för att ha infört rootkits i användarnas enheter för att installera om oönskad programvara eller som en del av förvaltningen av digitala rättigheter. Även om de är inplanterade i ofarligt syfte är det sårbarheter som gör det lätt för hackare att senare utnyttja om de upptäcks.
Upptäckt, avlägsnande, förebyggande
Det är svårt att upptäcka rootkits och det kan visa sig omöjligt eftersom de har fullständig kontroll över din dator, inklusive över alla program som du väljer för att ta bort en rootkit-infektion. Om du är tekniskt kunnig finns det vissa steg du kan följa, t.ex. signaturskanning eller minnesdumpanalys, men om rootkiten har tagit över kärnminnet (dvs. hjärnan i operativsystemet), acceptera då nederlaget. Formatera hårddisken och installera om operativsystemet.
Som du förmodligen har förstått vid det här laget är rootkits så sofistikerade att du kanske inte kan bli av med dem utan en nyinstallation. Faktum är att du kanske inte ens upptäcker dem förrän det är för sent, eller att du försöker köra en antivirusskanning och rootkiten inte tillåter ditt antivirus att starta.
För att undvika att förlora all din data bör du se till att utveckla några lämpliga surfvanor på nätet:
- Kryptera din privata information och se till att säkerhetskopiera dina data i flera olika källor.
- Eftersom det vanligaste sättet för en hackare att ta sig in i ditt nätverk är trojaner, öppna aldrig e-postbilagor från avsändare du aldrig hört talas om.
- Om du slentrianmässigt streamar en video eller vill öppna en fil och om du blir ombedd att ladda ner ett insticksprogram, gör det inte.
- Uppdatera ständigt din brandvägg och säkerhetslösning, och kör regelbundet fullständiga systemscanningar på din Windows-dator och Mac.