Un rootkit è un software dannoso che consente a un utente non autorizzato di avere accesso privilegiato a un computer e ad aree riservate del suo software. Un rootkit può contenere una serie di strumenti dannosi come keylogger, ladri di credenziali bancarie, ladri di password, disabler antivirus e bot per attacchi DDoS. Questo software rimangono nascosti nel computer e consentire l’accesso remoto attaccante al computer.
Il termrootkit deriva dalla combinazione di due parole: “root” e “kit”., “Root” si riferisce all’account amministratore nei sistemi operativi Unix e Linux, che è un account onnipotente con privilegi completi e accesso illimitato. È equivalente all’account amministratore nei sistemi Windows. Il termine ” kit ” si riferisce ai programmi che consentono a un attore di minacce di ottenere l’accesso non autorizzato a livello di root/amministratore al computer e alle aree riservate. Il rootkit consente all’attore della minaccia di eseguire tutte queste azioni di nascosto senza il consenso o la conoscenza dell’utente.,
Come l’attaccante installa Rootkit
L’attore minaccia tenta di ottenere l’accesso root / amministratore sfruttando vulnerabilità note, o rubando credenziali di privilegi di amministratore. I criminali informatici impiegano tecniche di ingegneria sociale per ottenere le credenziali. L’accesso root consente l’installazione di rootkit o qualsiasi altro malware. L’installazione del rootkit consente all’attore delle minacce di accedere al computer da remoto per installare altri malware, rubare dati, osservare attività e persino controllare il computer., I rootkit sono malware sofisticati e la maggior partesoluzioni antivirus e antimalware non rilevano rootkit. Rootkit sono anche in grado di nascondere la loro intrusione, e quindi una volta che sono in, sono praticamente inosservabile.
Poiché i rootkit hanno il controllo completo sul sistema, possono modificare il software e le soluzioni di sicurezza informatica come l’antivirus che potrebbe rilevare i rootkit. Poiché anche le soluzioni di rilevamento vengono modificate, è difficile rilevare e rimuovere i rootkit.
A cosa servono i rootkit?,
Gli attori delle minacce usano i rootkit per molti scopi:
- Capacità stealth: I rootkit moderni aggiungono funzionalità stealth ai payload di software dannosi (come keylogger e virus) per renderli non rilevabili.
- Accesso backdoor: i rootkit consentono l’accesso non autorizzato tramite malware backdoor. Il rootkit sovverte il meccanismo di accesso per accettare anche un accesso di accesso segreto per l’attaccante. I meccanismi di autenticazione e autorizzazione standard vengono ignorati per fornire privilegi di amministratore all’utente malintenzionato.,
- Attacchi DDoS: i rootkit consentono di utilizzare il computer compromesso come bot per attacchi distributed denial of service. L’attacco sarebbe ora riconducibile al computer compromesso e non al sistema dell’aggressore. Questi bot sono anche chiamati come computer zombie e vengono utilizzati come parte delle reti bot per lanciare gli attacchi DDoS, e altre attività dannose come la frode clic e la distribuzione di e-mail di spam., di per sé dannosi azioni
- gestione dei diritti digitali di applicazione
- dispositivo di protezione anti-furto – BIOS-based software rootkit consente il monitoraggio, la disattivazione e cancellazione dei dati su dispositivi mobili quando si ottiene perso o rubato
Tipi di Rootkit
Ci sono cinque tipi di rootkit
l href=”http://schema.org/ItemListOrderAscending”>
Come rilevare i rootkit?
Un approccio basato sul comportamento si dimostra efficace nel rilevare i rootkit. Soluzioni di sicurezza informatica come ComodoAdvanced Endpoint Protection (AEP) utilizzano i loro sistemi di prevenzione delle intrusioni host per rilevare e rimuovere in modo efficace i rootkit nei sistemi informatici.