um rootkit é um software malicioso que permite que um usuário não autorizado tenha acesso privilegiado a um computador e a áreas restritas de seu software. Um rootkit pode conter uma série de ferramentas maliciosas, tais como keyloggers, ladrões bancários credenciais, ladrões de senha, disablers antivírus, e bots para ataques DDoS. Este software permanece escondido no computador e permite o acesso remoto do atacante ao computador.
O termo ” rootkit “é derivado da combinação de duas palavras –” root “e”kit”., “Root” refere-se à conta de administrador em sistemas operacionais Unix e Linux, que é uma conta poderosa com privilégios completos e acesso irrestrito. É equivalente à conta de administrador em sistemas Windows. O termo “kit” refere-se aos programas que permitem a um agente de ameaça obter acesso não autorizado de raiz/nível administrativo ao computador e áreas restritas. O rootkit permite ao agente de ameaça executar todas estas acções sub-repticiamente sem o consentimento ou conhecimento do utilizador.,
How the Attacker Installs Rootkits
The threat actor tries to obtain root/administrator access by exploiting known vulnerabilities, or by stealing administrator privilege credentials. Os criminosos cibernéticos empregam técnicas de engenharia social para obter credenciais. O Root access permite a instalação de rootkits ou qualquer outro malware. A instalação do rootkit permite que o ator ameaça acessar o computador a partir de remoto para instalar outros malware, roubar dados, observar atividades e até mesmo controlar o computador., Os Rootkits são malware sofisticados, e as soluções mostantivirus e antimalware não detectam rootkits. Os Rootkits também são capazes de esconder sua intrusão, e assim que eles estão dentro, eles são praticamente indetectáveis.
Uma vez que os rootkits têm controle completo sobre o sistema, eles podem modificar o software e as soluções de segurança cibernética, como o Antivírus que poderia detectar rootkits. Como mesmo as soluções de detecção são modificadas, é difícil detectar e remover rootkits.
para que são utilizados os Rootkits?,
Ameaça atores utilizam rootkits para muitas finalidades:
- Stealth capacidades: Moderna, rootkits adicionar stealth capacidades de software mal-intencionado cargas (como keyloggers e vírus) para torná-los indetectável.acesso ao Backdoor: os Rootkits permitem acesso não autorizado através de malware backdoor. O rootkit subverte o mecanismo de login para também aceitar um acesso secreto de login para o atacante. Mecanismos padrão de autenticação e autorização são contornados para fornecer privilégios de administração para o atacante.,os Rootkits permitem que o computador comprometido seja usado como um bot para ataques de negação de serviço distribuídos. O ataque seria agora localizado no computador comprometido e não no sistema do atacante. Estes bots também são chamados de computadores zumbis e são usados como parte de redes de bot para lançar os ataques DDoS, e outras atividades maliciosas, tais como fraude clique e distribuição de E-mail spam., própria a partir de ações maliciosas
- gerenciamento de direitos digitais de aplicação
- dispositivo de protecção anti-roubo – baseado em BIOS rootkit software permite o monitoramento, a desactivação e limpeza de dados em dispositivos móveis quando eles serem perdidos ou roubados
Tipos de Rootkits
Existem cinco tipos de rootkits
l href=”http://schema.org/ItemListOrderAscending”>
Como Detectar Rootkits?
uma abordagem comportamental provou ser eficaz na detecção de rootkits. Soluções de segurança cibernética, como a ComodoAdvanced Endpoint Protection (AEP), utilizam seus sistemas de prevenção de intrusão Host para efetivamente detectar e remover rootkits em sistemas informáticos.