O que é Rootkit? Como funcionam os rootkits? Rootkits explicados.

Embora seja possível ocultar malware de uma forma que enganará até mesmo os produtos antivírus/antispyware tradicionais, a maioria dos programas de malware já está usando rootkits para se esconder profundamente em seu PC com Windows ... e eles estão ficando mais perigosos! O rootkit DL3 é um dos rootkits mais avançados já vistos na natureza. O rootkit era estável e podia infectar sistemas operacionais Windows(Windows) de 32 bits ; embora fossem necessários direitos de administrador para instalar a infecção no sistema. Mas o TDL3(TDL3) foi atualizado e agora é capaz de infectar até mesmo versões de 64 bits do Windows(even 64-bit versions  Windows) !

O que é Rootkit

vírus

Um vírus Rootkit é um tipo de malware furtivo  projetado para ocultar a existência de determinados processos ou programas em seu computador dos métodos de detecção regulares, de modo a permitir que ele ou outro processo malicioso tenha acesso privilegiado ao seu computador.

Os rootkits para Windows(Rootkits for Windows) geralmente são usados ​​para ocultar softwares mal-intencionados de, por exemplo, um programa antivírus. Ele é usado para fins maliciosos por vírus, worms, backdoors e spyware. Um vírus combinado com um rootkit produz o que é conhecido como vírus full stealth. Os rootkits são mais comuns no campo de spyware e agora também estão se tornando mais usados ​​por autores de vírus.

Eles agora são um tipo emergente de Super Spyware que oculta efetivamente e afeta diretamente o kernel do sistema operacional. Eles são usados ​​para ocultar a presença de objetos maliciosos como trojans ou keyloggers em seu computador. Se uma ameaça usa a tecnologia de rootkit para se esconder, é muito difícil encontrar o malware no seu PC.

Os rootkits em si não são perigosos. Seu único objetivo é ocultar o software e os rastros deixados no sistema operacional. Se este é um software normal ou programas de malware.

Existem basicamente três tipos diferentes de Rootkit . O primeiro tipo, os “ Kernel Rootkits ” geralmente adicionam seu próprio código a partes do núcleo do sistema operacional, enquanto o segundo tipo, os “ Rootkits de modo de usuário(User-mode Rootkits) ” são especialmente direcionados ao Windows para inicializar normalmente durante a inicialização do sistema, ou injetado no sistema por um chamado “Dropper”. O terceiro tipo é MBR Rootkits ou Bootkits(MBR Rootkits or Bootkits) .

Quando você encontrar o seu antivírus(AntiVirus) e antispyware falhando, talvez seja necessário obter a ajuda de um bom utilitário anti-rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer da Microsoft Sysinternals é um utilitário avançado de detecção de rootkits. Sua saída lista as discrepâncias da API do sistema de arquivos e do Registro(Registry) que podem indicar a presença de um rootkit no modo de usuário ou no modo kernel.

Relatório de ameaças do Microsoft Malware Protection Center(Microsoft Malware Protection Center Threat Report) sobre  rootkits

O Microsoft Malware Protection Center(Microsoft Malware Protection Center) disponibilizou para download seu Relatório de Ameaças(Threat Report) em Rootkits . O relatório examina um dos tipos mais insidiosos de malware que ameaçam organizações e indivíduos hoje – o rootkit. O relatório examina como os invasores usam rootkits e como os rootkits funcionam nos computadores afetados. Aqui está um resumo do relatório, começando com o que são Rootkits – para o iniciante.

Rootkit é um conjunto de ferramentas que um invasor ou criador de malware usa para obter controle sobre qualquer sistema exposto/não seguro que normalmente é reservado para um administrador de sistema. Nos últimos anos, o termo 'ROOTKIT' ou 'FUNCIONALIDADE DO ROOTKIT' foi substituído por MALWARE – um programa projetado para ter efeitos indesejáveis ​​em um computador saudável. A principal função do malware é retirar dados valiosos e outros recursos do computador de um usuário secretamente e fornecê-los ao invasor, dando a ele controle total sobre o computador comprometido. Além disso, eles são difíceis de detectar e remover e podem permanecer ocultos por longos períodos, possivelmente anos, se passarem despercebidos.

Então, naturalmente, os sintomas de um computador comprometido precisam ser mascarados e levados em consideração antes que o resultado seja fatal. Particularmente, medidas de segurança mais rigorosas devem ser tomadas para descobrir o ataque. Mas, como mencionado, uma vez que esses rootkits/malware são instalados, seus recursos furtivos tornam difícil removê-lo e seus componentes que podem ser baixados. Por esse motivo, a Microsoft criou um relatório sobre ROOTKITS .

O relatório de 16 páginas descreve como um invasor usa rootkits e como esses rootkits funcionam nos computadores afetados.

O único objetivo do relatório é identificar e examinar de perto o malware potente que ameaça muitas organizações, principalmente os usuários de computador. Ele também menciona algumas das famílias de malware predominantes e traz à tona o método que os invasores usam para instalar esses rootkits para seus próprios propósitos egoístas em sistemas saudáveis. No restante do relatório, você encontrará especialistas fazendo algumas recomendações para ajudar os usuários a mitigar a ameaça dos rootkits.

Tipos de rootkits

Existem muitos lugares onde o malware pode se instalar em um sistema operacional. Assim, principalmente o tipo de rootkit é determinado pela sua localização onde ele realiza sua subversão do caminho de execução. Isso inclui:

  1. Rootkits de modo de usuário
  2. Rootkits do modo kernel
  3. MBR Rootkits/bootkits

O possível efeito de um comprometimento de rootkit no modo kernel é ilustrado por meio de uma captura de tela abaixo.

O terceiro tipo, modifica o Master Boot Record para obter o controle do sistema e iniciar o processo de carregamento do ponto mais antigo possível na sequência de inicialização3. Ele oculta arquivos, modificações de registro, evidências de conexões de rede, bem como outros possíveis indicadores que podem indicar sua presença.

Famílias de malware notáveis ​​que usam a funcionalidade Rootkit

  • Win32/Sinowal 13 – Uma família de malware multicomponente que tenta roubar dados confidenciais, como nomes de usuário e senhas para diferentes sistemas. Isso inclui tentar roubar detalhes de autenticação para uma variedade de contas de FTP , HTTP e de e-mail, bem como credenciais usadas para transações bancárias on-line e outras transações financeiras.
  • Win32/Cutwail 15 – Um Trojan que baixa e executa arquivos arbitrários. Os arquivos baixados podem ser executados do disco ou injetados diretamente em outros processos. Embora a funcionalidade dos arquivos baixados seja variável, o Cutwail(Cutwail) geralmente baixa outros componentes que enviam spam. Ele usa um rootkit no modo kernel e instala vários drivers de dispositivo para ocultar seus componentes dos usuários afetados.
  • Win32/Rustock  – Uma família multicomponente de cavalos(Trojans) de Troia de backdoor habilitados para rootkit, inicialmente desenvolvida para auxiliar na distribuição de e-mail “spam” por meio de uma botnet . Um botnet é uma grande rede de computadores comprometidos controlada por invasores.

Proteção contra rootkits

Impedir a instalação de rootkits é o método mais eficaz para evitar a infecção por rootkits. Para isso, é necessário investir em tecnologias de proteção, como produtos antivírus e firewall. Esses produtos devem adotar uma abordagem abrangente de proteção usando detecção tradicional baseada em assinatura, detecção heurística, capacidade de assinatura dinâmica e responsiva e monitoramento de comportamento.

Todos esses conjuntos de assinaturas devem ser mantidos atualizados usando um mecanismo de atualização automatizado. As soluções antivírus da Microsoft(Microsoft) incluem várias tecnologias projetadas especificamente para mitigar rootkits, incluindo monitoramento do comportamento do kernel ao vivo que detecta e relata tentativas de modificar o kernel de um sistema afetado e análise direta do sistema de arquivos que facilita a identificação e remoção de drivers ocultos.

Se um sistema for encontrado comprometido, uma ferramenta adicional que permita inicializar em um ambiente bom ou confiável conhecido pode ser útil, pois pode sugerir algumas medidas de correção apropriadas.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Sob tais circunstâncias,

  1. A ferramenta Standalone System Sweeper (parte do Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. O Windows Defender Offline pode ser útil.

Para obter mais informações, você pode baixar o relatório em PDF do (PDF)Centro de Download da Microsoft.(Microsoft Download Center.)



Máximo Maia

About the author

Sou engenheiro de software e tenho experiência com o Microsoft Office e o navegador Chrome. Tenho conhecimento em muitos aspectos do desenvolvimento web, incluindo, mas não limitado a: HTML, CSS, JavaScript, jQuery e React. Meu interesse em trabalhar com tecnologia também significa que estou familiarizado com várias plataformas (Windows, Mac, iOS) e entendo como elas funcionam.


Related posts