Rootkits zijn een verzameling stiekeme software die bevoorrechte toegang tot een besturingssysteem biedt terwijl ze hun aanwezigheid verbergen. Ze gedragen zich als goedaardige programma’s en verbergen malware, keyloggers, stelen van wachtwoorden en inloggegevens en bots die zijn ontworpen om een computer of netwerk te infiltreren, waardoor cybercriminelen toegang krijgen tot beschermde gegevens en het systeem ongemerkt kunnen overnemen.
Rootkits kunnen worden geïnstalleerd via een USB of worden gedownload naar een computer via social engineering-tactieken zoals phishing. Eenmaal geïnstalleerd, zijn rootkits onmerkbaar en kunnen ze beveiligingstools zoals antivirus of antimalware blokkeren. Een rootkit verbergt niet alleen zijn aanwezigheid, maar ook malware, virussen en andere software-payloads om heimelijk te werken. Ze infecteren het systeem, creëren een achterdeur en geven hackers privileges op beheerdersniveau om op afstand toegang te krijgen tot een computer of netwerk zonder medeweten of toestemming van de eigenaar.
Maakt gebruik van rootkits
Rootkits kunnen een goede kracht zijn, zoals het bestrijden van piraterij, het afdwingen van digitaal rechtenbeheer (DRM), het opsporen en voorkomen van bedrog in online games en het herkennen van aanvallen in een honeypot. Maar over het algemeen zijn rootkits een platform voor hackers om ongeoorloofde toegang te verlenen, kwaadaardige softwareprogramma’s te verbergen en het gecompromitteerde besturingssysteem in een host te veranderen om andere computers in het netwerk aan te vallen.
Soorten rootkits
Zodra rootkits het systeem binnenkomen, gedragen ze zich met toenemende rechten en kunnen ze zich gedragen als een Trojaans paard, hun bestaan verdoezelen door de beveiligingstools te ondermijnen en de stuurprogramma’s en kernelmodules van een besturingssysteem te wijzigen. Ze zijn er in vijf varianten:
- Gebruikers modus werkt samen met andere applicaties als gebruiker en werkt op Ring 3-niveau met beperkte toegang tot de computer. Maar het kan de processen onderscheppen, wijzigen, wijzigen en het geheugen van andere applicaties overschrijven.
- Kernel-modus is het moeilijkst te detecteren en te verwijderen aangezien het zich gedraagt en draait op Ring 0, dezelfde rechten deelt met de beheerder van een besturingssysteem.
- Bootkits zijn een soort rootkit in de kernelmodus, die de opstartcode of opstartsector van een computer infecteert om schijfversleuteling aan te vallen.
- hypervisor maakt gebruik van de virtualisatiefuncties van hardware en onderschept de communicatie tussen het besturingssysteem en de hardware. Het gedraagt zich als een virtuele machine die het besturingssysteem host.
- firmware rootkits zijn verborgen in het systeem-BIOS van een apparaat of platformfirmware zoals harde schijf, RAM, netwerkkaart, router en kaartlezer.
Detectie en verwijdering
Het opsporen van rootkits kan moeilijk zijn, vooral als het besturingssysteem al is geïnfecteerd, ondermijnd en gecompromitteerd door een rootkit in de kernelmodus. Maar er zijn manieren om rootkits te detecteren, waaronder het gebruik van antivirussoftware, het controleren van de integriteit van het systeem, het volgen van het CPU-gebruik en het netwerkverkeer, het scannen van handtekeningen en het toepassen van op verschillen gebaseerde detectie.
Net zoals rootkits moeilijk te ontmaskeren kunnen zijn, zijn ze ook onmogelijk handmatig te verwijderen. Maar sommige rootkits kunnen worden gedetecteerd en verwijderd door antivirus of antimalware. De eenvoudigste manier om rootkits te verwijderen, is door het besturingssysteem en de toepassingen opnieuw te installeren.