Wat is een rootkit?

Rootkit

Rootkit

Een rootkit is geen virus. Het is geen worm en het is geen trojan. Ook is het geen spyware. Maar wat is een rootkit dan wel?

Hoewel rootkits nauw verbonden zijn met malware, zijn ze in principe niet kwaadaardig. Maar hun mogelijkheid om het besturingssysteem van een computer te manipuleren en externe gebruikers beheerderstoegang te verschaffen, heeft rootkits tot populaire hulpmiddelen onder cybercriminelen gemaakt.

Definitie van een rootkit

De term ‘rootkit‘ komt oorspronkelijk uit de Unix-wereld, waar het woord ‘root‘ wordt gebruikt om een ​​gebruiker te beschrijven met het hoogst mogelijke niveau van toegangsrechten, vergelijkbaar met een ‘beheerder‘ in Windows. Het woord ‘kit‘ verwijst naar de software die op rootniveau toegang tot de machine verleent. Zet de twee bij elkaar en je krijgt ‘rootkit‘, een programma dat iemand – met legitieme of kwaadaardige bedoelingen – bevoorrechte toegang geeft tot een computer.

Omdat een rootkit in staat is om wijzigingen aan te brengen op het meest fundamentele niveau, kan een rootkit zichzelf verbergen, bestanden uitvoeren, wijzigingen aanbrengen in een systeem en het gebruik volgen zonder dat de oorspronkelijke eigenaar zich ook maar bewust is van zijn aanwezigheid.

Historisch gezien waren rootkits beperkt tot de wereld van Unix en Linux, maar uiteindelijk vonden ze hun weg naar Windows-besturingssystemen, begonnen in 1999 met NTRootkit, een tool gericht op Windows NT Sindsdien zijn rootkits snel gegroeid en tegenwoordig een veel voorkomende, koppige bacterie in de digitale wereld.

Hoe werken rootkits?

Rootkits kunnen zichzelf niet verspreiden en vertrouwen in plaats daarvan op clandestiene tactieken om uw computer te infecteren. Ze verspreiden zich meestal door zich te verbergen in sluwe software die legitiem lijkt en eigenlijk functioneel kan zijn. Wanneer u de software echter toestemming verleent om op uw systeem te worden geïnstalleerd, sluipt de rootkit stil naar binnen waar deze sluimerend kan liggen totdat de hacker deze activeert. Rootkits zijn notoir moeilijk te detecteren en te verwijderen vanwege hun vermogen om zich te verbergen voor gebruikers, beheerders en vele soorten beveiligingsproducten. Simpel gezegd, als een systeem eenmaal is gecompromitteerd met een rootkit, is het potentieel voor kwaadwillige activiteiten groot.

Andere veel voorkomende infectievectoren zijn e-mail phishing-scams, downloads van onbetrouwbare websites en het verbinden met gecompromitteerde gedeelde schijven. Het is belangrijk om op te merken dat rootkits niet altijd vereisen dat u een uitvoerbaar bestand uitvoert – soms is iets simpels als het openen van een kwaadaardig PDF- of Word-document voldoende om een ​​rootkit te ontketenen.

Er zijn 4 hoofdtypen rootkits:

1. Kernel rootkits
Kernel-rootkits zijn ontwikkeld om de functionaliteit van uw besturingssysteem te wijzigen. Deze typen rootkits voegen meestal hun eigen code (en soms hun eigen datastructuren) toe aan delen van de kern van het besturingssysteem (ook wel de kernel genoemd). Het creëren van een effectieve kernel-rootkit is tamelijk complex en kan, indien incorrect geïmplementeerd, een merkbare invloed hebben op de systeemprestaties. Het goede nieuws is dat de meeste kernel rootkits gemakkelijker te detecteren zijn dan andere typen rootkits.

SmartService is een uitstekend voorbeeld van een kernel-rootkit. SmartService sloeg halverwege 2017 flink toe en voorkomt dat u veel antivirusproducten verwijderd worden, waardoor u zich in wezen gedraagt ​​als een bewaker voor adware en trojan-infecties die al op de machine aanwezig zijn.

2. Rootkits voor de gebruikersmodus
Rootkits voor de gebruikersmodus worden tijdens het opstarten van het systeem op de normale manier als een programma gestart of door een druppelaar in het systeem geïnjecteerd. Er zijn veel mogelijke methoden en deze zijn sterk afhankelijk van het gebruikte besturingssysteem. Hoewel Windows-rootkits zich meestal richten op het manipuleren van de basisfunctionaliteit van Windows DLL-bestanden, is het in Unix-systemen gebruikelijk dat een hele toepassing volledig wordt vervangen.

Rootkits in de gebruikersmodus komen veel voor in financiële malware. Een van de meest gekopieerde financiële malware met de naam Carberp omvat deze techniek en de broncodes zijn enkele jaren geleden ook gelekt, dus de rootkit-component voor de gebruikersmodus is keer op keer gerecycled en is tot op de dag van vandaag nog in veel financiële malwarefamilies terug te vinden.

3. Bootloader rootkits
Bootloader rootkits of bootkits targeten de bouwstenen van uw computer door de Master Boot Record te infecteren (een fundamentele sector die uw computer instrueert hoe het besturingssysteem moet worden geladen). Dit soort rootkits zijn bijzonder moeilijk uit te roeien omdat, als de bootloader code in de MBR heeft geïnjecteerd, het verwijderen van deze rootkits uw computer kan beschadigen.

Moderne besturingssystemen zoals Windows 8 en 10 zijn bijna volledig immuun geworden voor dit soort rootkits vanwege de introductie van Secure Boot. Als gevolg hiervan zijn bootkits bijna uitgestorven. De meest prominente bootkitfamilie moet de Alureon / TDL-4-familie zijn die actief was van 2007 tot 2012. Tijdens zijn levensduur was de Alureon-malware die werd beschermd door zijn bootkitcomponent het op één na meest actieve botnet voordat de makers aan het einde werden gearresteerd van 2011.

4. Geheugen rootkits
Dit soort rootkits bestaat in het geheugen van uw computer (RAM). In tegenstelling tot andere typen rootkits die zich jaren of jaren zonder uw medeweten op uw computer kunnen opbergen, gaan geheugen-rootkits verloren wanneer u uw computer opnieuw opstart, omdat de inhoud van uw RAM opnieuw wordt ingesteld bij het opstarten.

Hoewel er veel verschillende typen rootkits zijn, zijn de meeste ontworpen met dezelfde taak voor ogen: het elimineren van sporen van zichzelf (of bijbehorende software) in het besturingssysteem. Ze kunnen dit op verschillende manieren doen. Windows heeft bijvoorbeeld een ingebouwde functie die verantwoordelijk is voor het weergeven van de inhoud van mappen. Een rootkit zou deze basisfunctie (API) kunnen wijzigen, zodat de naam van het bestand dat de rootkit bevat nooit wordt weergegeven, waardoor het bestand plotseling onzichtbaar voor de normale gebruiker zou worden. Door manipulatie van andere Windows API’s kunnen niet alleen bestanden en mappen worden verborgen, maar ook actieve programma’s, geopende netwerkcommunicatiepoorten die worden gebruikt of registersleutels. Natuurlijk zijn dit slechts enkele van de vele camouflagemaatregelen die worden gebruikt door rootkits.

Moeten rootkits als malware worden beschouwd?

Zoals we eerder al hebben aangehaald, worden rootkits vaak gebruikt door malware-distributeurs, maar maakt dat ze kwaadaardig op zichzelf?

In één woord: Nee. Rootkits zijn niet inherent gevaarlijk. Hun enige doel is om software te verbergen en de sporen achter te laten in het besturingssysteem. Of de verborgen software een legitiem of kwaadaardig programma is, is een ander verhaal.

Er zijn in de loop der jaren veel voorbeelden van legitieme rootkits geweest, met een van de beroemdste gevallen die van het kopieerbeveiligingssysteem van Sony BMG. In 2005 ontdekte Windows-specialist Mark Russinovich dat simpelweg het gebruik van een Sony BMG-CD die met dit systeem werd beschermd ervoor zorgde dat een stukje software automatisch werd geïnstalleerd, zonder de goedkeuring van de gebruiker, die niet in de proceslijst stond en niet kon worden verwijderd ( dat wil zeggen, het verborg zich voor de gebruiker). Deze kopieerbeveiligingssoftware was oorspronkelijk bedoeld om te voorkomen dat een koper van een muziek-cd de audiogegevens op enigerlei wijze zou kunnen lezen en vervolgens mogelijk illegaal opnieuw zou verspreiden.

Hoewel ze legitieme applicaties kunnen hebben, moet worden gezegd dat cybercriminelen het meest hebben geprofiteerd van het gebruik van de kracht van rootkits. Omdat rootkits kunnen worden gebruikt om lopende processen, bestanden en opslagmappen te verbergen, gebruiken hackers ze vaak om schadelijke software voor gebruikers te verbergen en het moeilijker te maken voor antivirusproducten om de aanstootgevende programma’s te detecteren en te verwijderen. Rootkits worden ook vaak gebruikt voor keyloggers, omdat ze zich tussen uw besturingssysteem en de hardware van uw computer kunnen bevinden en elke toets die u indrukt in de gaten houden. Daarnaast hebben hackers rootkits gebruikt om enorme botnets te maken die bestaan ​​uit miljoenen machines, die ze aan het werk zetten om cryptocurrency te oogsten, DDoS-aanvallen te lanceren en andere illegale campagnes op grote schaal uit te voeren.

Gebruik onze Appzoeker voor het zoeken naar de beste antivirus software mbt rootkits

Bron: Emsisoft

Emsisoft banner

Geef een antwoord