Cos'è Rootkit?? Come funzionano i rootkit?? Rootkit spiegato.

Sebbene sia possibile nascondere il malware in un modo che possa ingannare anche i tradizionali prodotti antivirus/antispyware, la maggior parte dei programmi malware utilizza già i rootkit per nascondersi in profondità sul tuo PC Windows... e stanno diventando più pericolosi! Il rootkit DL3 è uno dei rootkit più avanzati mai visti in natura. Il rootkit era stabile e poteva infettare i sistemi operativi Windows a 32 bit; sebbene fossero necessari i diritti di amministratore per installare l'infezione nel sistema. Ma TDL3 ora è stato aggiornato ed è ora in grado di infettare anche versioni a 64 bit Windows!

Cos'è Rootkit?

Un virus Rootkit è un tipo di malware nascosto progettato per nascondere l'esistenza di determinati processi o programmi sul tuo computer ai normali metodi di rilevamento, in modo da consentire a questo o a un altro processo dannoso l'accesso privilegiato al tuo computer.

Rootkit per Windows sono generalmente utilizzati per nascondere software dannoso, ad esempio, da un programma antivirus. Viene utilizzato per scopi dannosi da virus, worm, backdoor e spyware. Un virus combinato con un rootkit produce i cosiddetti virus stealth completi steal. I rootkit sono più comuni nel campo dello spyware e ora stanno diventando più comunemente utilizzati anche dagli autori di virus.

Ora sono un tipo emergente di Super Spyware che si nasconde in modo efficace e ha un impatto diretto sul kernel del sistema operativo. Sono utilizzati per nascondere la presenza di oggetti dannosi come trojan o keylogger sul tuo computer. Se una minaccia utilizza la tecnologia rootkit per nascondersi, è molto difficile trovare il malware sul tuo PC.

I rootkit di per sé non sono pericolosi. Il loro unico scopo è nascondere il software e le tracce lasciate nel sistema operativo. Che si tratti di software normale o di programmi malware.

Esistono fondamentalmente tre diversi tipi di Rootkit. Il primo tipo, il “Rootkit del kernel" di solito aggiungono il proprio codice a parti del core del sistema operativo, mentre il secondo tipo, il "Rootkit in modalità utente" sono appositamente destinati a Windows per l'avvio normale durante l'avvio del sistema o iniettati nel sistema da un cosiddetto "Dropper". Il terzo tipo è Rootkit o Bootkit MBR.

Quando trovi che il tuo antivirus e antispyware non funziona, potresti dover ricorrere all'aiuto di a buona utility anti-rootkitkit. RootkitRevealer da Microsoft Sysinternals è un'utilità di rilevamento rootkit avanzata. Il suo output elenca le discrepanze tra le API del registro e del file system che possono indicare la presenza di un rootkit in modalità utente o in modalità kernel.

Report sulle minacce di Microsoft Malware Protection Center sui rootkit

Microsoft Malware Protection Center ha reso disponibile per il download il suo Rapporto sulle minacce sui rootkit. Il rapporto esamina uno dei tipi più insidiosi di malware che minacciano organizzazioni e individui oggi: il rootkit. Il rapporto esamina il modo in cui gli aggressori utilizzano i rootkit e il funzionamento dei rootkit sui computer interessati. Ecco una sintesi del rapporto, a partire da cosa sono i Rootkit - per i principianti.

Rootkit è un insieme di strumenti che un utente malintenzionato o un creatore di malware utilizza per ottenere il controllo su qualsiasi sistema esposto/non protetto che altrimenti è normalmente riservato a un amministratore di sistema. Negli ultimi anni il termine "ROOTKIT" o "ROOTKIT FUNCTIONALITY" è stato sostituito da MALWARE - un programma progettato per avere effetti indesiderati su un computer sano. La funzione principale del malware è quella di prelevare segretamente dati preziosi e altre risorse dal computer di un utente e fornirli all'attaccante, dandogli così il controllo completo sul computer compromesso. Inoltre, sono difficili da rilevare e rimuovere e possono rimanere nascosti per lunghi periodi, forse anni, se passano inosservati.

Quindi, naturalmente, i sintomi di un computer compromesso devono essere mascherati e presi in considerazione prima che il risultato si dimostri fatale. In particolare, dovrebbero essere adottate misure di sicurezza più rigorose per scoprire l'attacco. Ma, come accennato, una volta installati questi rootkit/malware, le sue capacità nascoste rendono difficile rimuoverlo e i suoi componenti che potrebbe scaricare. Per questo motivo Microsoft ha creato un report sui ROOTKITS.

Il rapporto di 16 pagine illustra come un utente malintenzionato utilizza i rootkit e come questi rootkit funzionano sui computer interessati.

L'unico scopo del rapporto è identificare ed esaminare da vicino il potente malware che minaccia molte organizzazioni, in particolare gli utenti di computer. Menziona anche alcune delle famiglie di malware prevalenti e mette in luce il metodo utilizzato dagli aggressori per installare questi rootkit per i propri scopi egoistici su sistemi sani. Nel resto del rapporto, troverai esperti che forniscono alcune raccomandazioni per aiutare gli utenti a mitigare la minaccia dei rootkit.

Tipi di rootkit

Ci sono molti posti in cui il malware può installarsi in un sistema operativo. Quindi, principalmente il tipo di rootkit è determinato dalla sua posizione in cui esegue la sua sovversione del percorso di esecuzione. Ciò comprende:

1. Rootkit in modalità utente
2. Rootkit in modalità kernel
3. MBR Rootkit/bootkit

Il possibile effetto di una compromissione del rootkit in modalità kernel è illustrato tramite uno screenshot qui sotto.

Il terzo tipo, modifica il Master Boot Record per ottenere il controllo del sistema e avviare il processo di caricamento il primo punto possibile nella sequenza di avvio3. Nasconde file, modifiche al registro, prove di connessioni di rete e altri possibili indicatori che possono indicare la sua presenza.

Notevoli famiglie di malware che utilizzano la funzionalità Rootkit

• Win32/Sinowal13 - Una famiglia di malware multicomponente che tenta di rubare dati sensibili come nomi utente e password per diversi sistemi. Ciò include il tentativo di rubare i dettagli di autenticazione per una varietà di account FTP, HTTP e di posta elettronica, nonché le credenziali utilizzate per l'online banking e altre transazioni finanziarie.
• Win32/Cutwail15 - Un trojan che scarica ed esegue file arbitrari. I file scaricati possono essere eseguiti dal disco o iniettati direttamente in altri processi. Sebbene la funzionalità dei file scaricati sia variabile, Cutwail di solito scarica altri componenti che inviano spam. Utilizza un rootkit in modalità kernel e installa diversi driver di dispositivo per nascondere i suoi componenti agli utenti interessati.
• Win32/Rustock - Una famiglia multicomponente di backdoor Trojan abilitati per rootkit inizialmente sviluppata per aiutare nella distribuzione di email "spam" attraverso un botnet. Una botnet è una grande rete di computer compromessi controllata da un aggressore.

Protezione contro i rootkit

Prevenire l'installazione di rootkit è il metodo più efficace per evitare l'infezione da rootkit. Per questo è necessario investire in tecnologie di protezione come prodotti antivirus e firewall. Tali prodotti dovrebbero adottare un approccio completo alla protezione utilizzando il rilevamento tradizionale basato sulla firma, il rilevamento euristico, la capacità di firma dinamica e reattiva e il monitoraggio del comportamento.

Tutti questi set di firme dovrebbero essere aggiornati utilizzando un meccanismo di aggiornamento automatico automated. Le soluzioni antivirus Microsoft includono una serie di tecnologie progettate specificamente per mitigare i rootkit, incluso il monitoraggio del comportamento del kernel in tempo reale che rileva e segnala i tentativi di modificare il kernel di un sistema interessato e l'analisi diretta del file system che facilita l'identificazione e la rimozione dei driver nascosti.

Se un sistema viene trovato compromesso, uno strumento aggiuntivo che ti permetta di eseguire l'avvio in un ambiente noto o affidabile potrebbe rivelarsi utile in quanto potrebbe suggerire alcune misure correttive appropriate.

In tali circostanze,

1. Lo strumento Standalone System Sweeper (parte di Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline può essere utile.

Per ulteriori informazioni, è possibile scaricare il report in PDF dall'Area download Microsoft.