Een Rootkit is een van de meest geavanceerde vormen van malware die momenteel op de markt zijn. Jarenlang hebben beveiligingsoplossingen geworsteld met detectie en verwijdering, meestal omdat rootkits het besturingssysteem op een dusdanig niveau compromitteren, dat ze hun aanwezigheid kunnen verbergen voor zowel anti-malware oplossingen als het besturingssysteem zelf.
Wat is een Rootkit en hoe werkt het?
De term Rootkit is een aaneenschakeling van de woorden "root", de meest bevoorrechte gebruiker op een Unix-gebaseerd besturingssysteem en "kit", de set van software tools die de rootkit maken. Rootkits gaan terug tot het begin van de jaren 90, toen ze gericht waren op Sun en Linux, maar de opkomst van nieuwe besturingssystemen leidde tot de ontwikkeling van rootkits voor Windows in 1999 en Mac in 2009.
In tegenstelling tot klassieke malware, introduceren rootkits een fundamentele fout in de computer die ze infecteren. Ze compromitteren geen bestanden of mappen. In plaats daarvan veranderen ze alles wat het besturingssysteem aan u rapporteert volgens de doelstellingen van hun maker.
Rootkits worden onderverdeeld in 2 hoofdcategorieën, afhankelijk van hun werkingsgebied: user-mode rootkits en kernel-mode rootkits.
Om een idee te krijgen van hoe ze een besturingssysteem compromitteren, moeten we eerst begrijpen hoe een besturingssysteem werkt. Alle applicaties op je computer communiceren via functie-aanroepen die worden doorgegeven via de API (Application Programming Interface) van het besturingssysteem. Een user-mode driver haakt de Import Address Table (een lijst van alle adressen van API's of systeemfuncties die het programma nodig heeft om de kernel van het besturingssysteem uit te voeren).
Kernel-mode rootkits gebruiken systeemdrivers die zich aan de kernel hechten om API-oproepen tussen gebruikerstoepassingen en het besturingssysteem zelf te "bemiddelen". Zodra het geïnstalleerd is, leidt de rootkit driver de systeemfunctie-aanroepen om zodat zijn eigen code wordt uitgevoerd in plaats van kernelcode. Als je dus een map opent om de inhoud te bekijken, ondervraag je meestal de kernel over het aantal bestanden in de betreffende map. Een rootkit kan uw verzoek echter onderscheppen en alle bestanden in de map melden, behalve enkele die kwaadaardig zijn. Jij, je besturingssysteem, of je anti-malware oplossing zullen niet eens weten dat sommige bestanden ooit in de betreffende map hebben gestaan.
Door gebruik te maken van een rootkit heeft een hacker volledige beheerdersrechten op uw computer en software, heeft hij gemakkelijk toegang tot logboeken, kan hij uw activiteiten in de gaten houden, privé-informatie en bestanden stelen en configuraties ontregelen. Zonder dat u het zelfs weet, zijn al uw wachtwoorden en informatie beschikbaar voor hen om te stelen.
Hoe infecteert een Rootkit mijn computer?
Ook al behoren ze tot de gevaarlijkste bedreigingen, rootkits werken niet uit zichzelf - ze hebben een infectievector nodig om zich te verspreiden en te installeren. Hackers gebruiken Trojaanse paarden of maken gebruik van kwetsbaarheden in het besturingssysteem om rootkits te plaatsen. Maar zodra ze het systeem hebben bereikt, herbergen ze vaak spyware, wormen, keyloggers of computervirussen die uw computer in een waardeloze zombie veranderen. Hackers kunnen deze vervolgens gebruiken om DoS-aanvallen, spam en phishingcampagnes uit te voeren op derden, misschien zelfs op uw contacten. Als je root toegang hebt tot het besturingssysteem, wordt je computer volledig overgenomen door hackers, waardoor rootkits zelfs voor de meest ervaren techneut moeilijk direct te detecteren zijn.
Maar rootkits zijn niet altijd kwaadaardig. In sommige gevallen worden ze gebruikt om vals te spelen, zoals het omzeilen van auteursrechten en antidiefstalbeveiliging. Anderzijds zijn Sony en Lenovo bedrijven waarvan bekend is dat ze rootkits in de apparaten van gebruikers hebben ingebracht om ongewenste software opnieuw te installeren of als onderdeel van digitaal rechtenbeheer. Hoewel deze met onschadelijke bedoelingen zijn geïmplanteerd, gaat het hier om kwetsbaarheden die hackers later gemakkelijk kunnen uitbuiten als ze aan het licht komen.
Detectie, verwijdering, preventie
Het opsporen van rootkits is inspannend en kan onmogelijk blijken vanwege hun volledige controle over je computer, inclusief over software die je zou kunnen kiezen om een rootkit infectie te verwijderen. Als je een technisch onderlegd slachtoffer bent, zijn er enkele stappen die je kan volgen zoals het scannen van handtekeningen of geheugendump-analyse, maar als de rootkit het kernelgeheugen (ook wel bekend als het brein van je besturingssysteem) heeft overgenomen, accepteer dan je nederlaag. Formatteer de harde schijf en installeer uw besturingssysteem opnieuw.
Zoals je nu waarschijnlijk wel door hebt, zijn rootkits zo geavanceerd dat je er misschien niet vanaf komt zonder een herinstallatie. Het is zelfs mogelijk dat u ze niet eens ontdekt tot het te laat is, of dat u probeert een antivirusscan uit te voeren en uw antivirus niet laat opstarten.
Om te voorkomen dat u al uw gegevens verliest, moet u een aantal goede online surfgewoonten ontwikkelen:
- Versleutel uw privé-informatie en maak een back-up van uw gegevens in meerdere bronnen.
- Omdat de meest voorkomende manier voor een hacker om in uw netwerk te komen Trojaanse paarden zijn, open nooit e-mailbijlagen van onbekende afzenders.
- Als u een video streamt of een bestand wilt openen en u wordt gevraagd een plugin te downloaden, doe dat dan niet.
- Werk uw firewall en beveiligingsoplossing voortdurend bij en voer regelmatig volledige systeemscans uit onder Windows en op de Mac.