Hoe werkt rootkit-detectie tegenwoordig?

U bent waarschijnlijk bekend met computervirussen, adware, spyware en andere kwaadaardige programma's, die voor het grootste deel als bedreigingen worden beschouwd. Een andere vorm of klasse malware (rootkits) is echter misschien wel de gevaarlijkste van allemaal. Met 'gevaarlijk' bedoelen we de mate van schade die het schadelijke programma kan veroorzaken en de moeilijkheid die gebruikers hebben om het te vinden en te verwijderen.





Wat zijn rootkits?

Rootkits zijn een soort malware die is ontworpen om onbevoegde gebruikers toegang te verlenen tot computers (of bepaalde applicaties op computers). Rootkits zijn geprogrammeerd om verborgen te blijven (uit het zicht) terwijl ze geprivilegieerde toegang behouden. Nadat een rootkit in een computer is binnengedrongen, maskeert deze gemakkelijk de aanwezigheid ervan en is het onwaarschijnlijk dat gebruikers het opmerken.

Hoe kan een rootkit een pc schaden?

In wezen kunnen cybercriminelen via een rootkit uw computer besturen. Met zo'n krachtig kwaadaardig programma kunnen ze uw pc dwingen om alles te doen. Ze kunnen uw wachtwoorden en andere gevoelige informatie stelen, alle activiteiten of bewerkingen volgen die op uw computer worden uitgevoerd en zelfs uw beveiligingsprogramma uitschakelen.

Gezien de indrukwekkende mogelijkheden van rootkits om beveiligingstoepassingen te kapen of neer te zetten, zijn ze vrij moeilijk te detecteren of te confronteren, zelfs meer dan het gemiddelde kwaadaardige programma. Rootkits kunnen lange tijd op computers bestaan ​​of werken, terwijl ze detectie omzeilen en aanzienlijke schade aanrichten.



Soms, wanneer geavanceerde rootkits in het spel zijn, hebben gebruikers geen andere keus dan alles op hun computer te verwijderen en helemaal opnieuw te beginnen - als ze de kwaadaardige programma's willen verwijderen.

Is elke malware een rootkit?

Nee. In ieder geval is slechts een klein deel van de malware rootkits. In vergelijking met andere kwaadaardige programma's zijn rootkits aanzienlijk geavanceerd in termen van ontwerp en programmering. Rootkits kunnen veel meer doen dan de gemiddelde malware.

Als we ons moeten houden aan strikte technische definities, dan is een rootkit niet bepaald een vorm of type kwaadaardig programma. Rootkits komen eenvoudigweg overeen met het proces dat wordt gebruikt om malware op een doelwit te plaatsen (meestal een specifieke computer, persoon of organisatie). Het is begrijpelijk dat, aangezien rootkits vrij vaak opduiken in het nieuws over cyberaanvallen of hacks, de term een ​​negatieve bijklank heeft gekregen.



Om eerlijk te zijn, rootkits werken op dezelfde manier als malware. Ze werken graag zonder beperkingen op de computers van slachtoffers; ze willen niet dat beschermende voorzieningen ze herkennen of vinden; ze proberen meestal dingen van de doelcomputer te stelen. Rootkits zijn uiteindelijk bedreigingen. Daarom moeten ze worden geblokkeerd (om te voorkomen dat ze überhaupt binnenkomen) of worden geadresseerd (als ze de weg al hebben gevonden).

Waarom worden rootkits gebruikt of gekozen?

Aanvallers gebruiken rootkits voor vele doeleinden, maar meestal proberen ze deze te gebruiken om de stealth-mogelijkheden van malware te verbeteren of uit te breiden. Met meer stealth kunnen de kwaadaardige ladingen die op een computer worden geïmplementeerd, langer onopgemerkt blijven terwijl de slechte programma's werken om gegevens van een netwerk te exfiltreren of te verwijderen.

Rootkits zijn erg handig omdat ze een gemakkelijke manier of platform bieden waarmee onbevoegde actoren (hackers of zelfs overheidsfunctionarissen) via de achterdeur toegang krijgen tot systemen. Rootkits bereiken doorgaans het hier beschreven doel door inlogmechanismen te ondermijnen om computers te dwingen hen geheime inlogtoegang voor een ander individu te geven.



Rootkits kunnen ook worden ingezet om een ​​computer in gevaar te brengen of te overweldigen, zodat de aanvaller de controle kan krijgen en het apparaat kan gebruiken als een hulpmiddel om bepaalde taken uit te voeren. Hackers richten zich bijvoorbeeld op apparaten met rootkits en gebruiken deze als bots voor DDoS-aanvallen (Distributed Denial of Service). Als in een dergelijk scenario de bron van de DDoS ooit wordt gedetecteerd en getraceerd, zal dit naar de gecompromitteerde computer (het slachtoffer) leiden in plaats van naar de echte computerverantwoordelijke (de aanvaller).

De gecompromitteerde computers die deelnemen aan dergelijke aanvallen staan ​​algemeen bekend als zombiecomputers. DDoS-aanvallen zijn niet de enige slechte dingen die aanvallers doen met gecompromitteerde computers. Soms gebruiken hackers de computers van hun slachtoffers om klikfraude te plegen of om spam te verspreiden.

Interessant is dat er scenario's zijn waarin rootkits worden ingezet door beheerders of gewone individuen voor goede doeleinden, maar voorbeelden hiervan zijn nog vrij zeldzaam. We hebben rapporten gezien over sommige IT-teams die rootkits in een honeypot draaien om aanvallen te detecteren of te herkennen. Welnu, op deze manier kunnen ze, als ze slagen met de taken, hun emulatietechnieken en beveiligingstoepassingen verbeteren. Ze kunnen ook enige kennis opdoen, die ze vervolgens kunnen toepassen om antidiefstalbeveiligingen te verbeteren.



Mocht u echter ooit met een rootkit te maken hebben, dan is de kans groot dat de rootkit tegen u (of uw belangen) wordt gebruikt. Daarom is het belangrijk dat u leert hoe u kwaadaardige programma's in die klasse kunt detecteren en hoe u uzelf (of uw computer) ertegen kunt verdedigen.

Soorten rootkits

Er zijn verschillende vormen of soorten rootkits. We kunnen ze classificeren op basis van hun infectiemodus en het niveau waarop ze op computers werken. Dit zijn de meest voorkomende rootkit-typen:

  1. Rootkit in kernelmodus:

Rootkits in kernelmodus zijn rootkits die zijn ontworpen om malware in de kernel van besturingssystemen in te voegen om de functionaliteit of instellingen van het besturingssysteem te wijzigen. Met 'kernel' bedoelen we het centrale deel van het besturingssysteem dat bewerkingen tussen hardware en applicaties bestuurt of koppelt.

Aanvallers vinden het moeilijk om rootkits in de kernelmodus te implementeren, omdat dergelijke rootkits de neiging hebben om systemen te laten crashen als de gebruikte code faalt. Als ze er echter ooit in slagen te slagen met de implementatie, kunnen de rootkits ongelooflijke schade aanrichten, omdat kernels doorgaans de hoogste privilege-niveaus binnen een systeem hebben. Met andere woorden, met succesvolle rootkits in kernelmodus kunnen aanvallers gemakkelijk met de computers van hun slachtoffers overweg.

  1. Rootkit in gebruikersmodus:

De rootkits in deze klasse worden uitgevoerd door zich te gedragen als gewone of reguliere programma's. Ze werken meestal in dezelfde omgeving waarin applicaties worden uitgevoerd. Om deze reden noemen sommige beveiligingsexperts ze applicatie-rootkits.

Rootkits in gebruikersmodus zijn relatief gemakkelijker te implementeren (dan rootkits in de kernelmodus), maar ze zijn in staat tot minder. Ze veroorzaken minder schade dan rootkits van de kernel. Beveiligingstoepassingen vinden het in theorie ook gemakkelijker om met rootkits in gebruikersmodus om te gaan (vergeleken met andere vormen of klassen van rootkits).

  1. Bootkit (boot rootkit):

Bootkits zijn rootkits die de mogelijkheden van gewone rootkits uitbreiden of verbeteren door het Master Boot Record te infecteren. Kleine programma's die worden geactiveerd tijdens het opstarten van het systeem, vormen de Master Boot Record (die soms wordt afgekort als MBR). Een bootkit is in feite een programma dat het systeem aanvalt en werkt om de normale bootloader te vervangen door een gehackte versie. Zo'n rootkit wordt geactiveerd zelfs voordat het besturingssysteem van een computer opstart en tot rust komt.

Gezien de infectiemodus van bootkits, kunnen aanvallers ze gebruiken bij meer hardnekkige vormen van aanvallen, omdat ze zijn geconfigureerd om te worden uitgevoerd wanneer een systeem wordt ingeschakeld (zelfs na een defensieve reset). Bovendien blijven ze actief in het systeemgeheugen, een locatie die zelden door beveiligingstoepassingen of IT-teams wordt gescand op bedreigingen.

  1. Geheugen rootkit:

Een geheugen-rootkit is een soort rootkit die is ontworpen om te verbergen in het RAM-geheugen van een computer (een afkorting voor Random Access Memory, wat hetzelfde is als tijdelijk geheugen). Deze rootkits (eenmaal in het geheugen) werken vervolgens om schadelijke bewerkingen op de achtergrond uit te voeren (zonder dat gebruikers hiervan op de hoogte zijn).

Gelukkig hebben geheugen-rootkits de neiging om een ​​korte levensduur te hebben. Ze kunnen alleen gedurende een sessie in het RAM van uw computer staan. Als u uw pc opnieuw opstart, zullen ze verdwijnen - in theorie zouden ze dat althans moeten doen. Niettemin is in sommige scenario's het herstartproces niet voldoende; gebruikers moeten misschien wat werk verzetten om zich te ontdoen van geheugenrootkits.

  1. Rootkit voor hardware of firmware:

Hardware- of firmwarerootkits krijgen hun naam van de plaats waar ze op computers zijn geïnstalleerd.

Van deze rootkits is bekend dat ze profiteren van software die is ingebed in de firmware op systemen. Firmware verwijst naar de speciale programmaklasse die controle of instructies op een laag niveau biedt voor specifieke hardware (of apparaat). Uw laptop heeft bijvoorbeeld firmware (meestal het BIOS) die door de fabrikant erin is geladen. Uw router heeft ook firmware.

Omdat firmware-rootkits kunnen bestaan ​​op apparaten zoals routers en schijven, kunnen ze heel lang verborgen blijven - omdat die hardwareapparaten zelden worden gecontroleerd of geïnspecteerd op code-integriteit (als ze überhaupt worden gecontroleerd). Als hackers uw router of schijf infecteren met een rootkit, kunnen ze gegevens onderscheppen die door het apparaat stromen.

Veilig blijven voor rootkits (tips voor gebruikers)

Zelfs de beste beveiligingsprogramma's worstelen nog steeds met rootkits, dus u kunt beter al het nodige doen om te voorkomen dat rootkits uw computer binnendringen. Het is niet zo moeilijk om veilig te blijven.

Als u zich aan de beste beveiligingspraktijken houdt, wordt de kans dat uw computer wordt geïnfecteerd door een rootkit aanzienlijk verkleind. Hier zijn er een paar:

  1. Download en installeer alle updates:

U kunt het zich eenvoudigweg niet veroorloven om updates voor wat dan ook te negeren. Ja, we begrijpen dat updates van applicaties vervelend kunnen zijn en dat updates van de build van uw besturingssysteem storend kunnen zijn, maar u kunt niet zonder hen. Door uw programma's en besturingssysteem up-to-date te houden, zorgt u ervoor dat u patches krijgt voor beveiligingslekken of kwetsbaarheden waarvan aanvallers profiteren om rootkits in uw computer te injecteren. Als de gaten en kwetsbaarheden worden gedicht, zal uw pc er beter van worden.

  1. Pas op voor phishing-e-mails:

Phishing-e-mails worden doorgaans verzonden door oplichters die u willen misleiden om hen uw persoonlijke informatie of gevoelige details te verstrekken (bijvoorbeeld inloggegevens of wachtwoorden). Niettemin moedigen sommige phishing-e-mails gebruikers aan om bepaalde software te downloaden en te installeren (die meestal kwaadaardig of schadelijk is).

Dergelijke e-mails kunnen eruitzien alsof ze afkomstig zijn van een legitieme afzender of vertrouwde persoon, dus u moet op ze letten. Reageer er niet op. Klik nergens op (links, bijlagen, enzovoort).

  1. Pas op voor drive-by downloads en onbedoelde installaties:

Hier willen we dat u aandacht besteedt aan de dingen die op uw computer worden gedownload. U wilt geen schadelijke bestanden of slechte applicaties krijgen die schadelijke programma's installeren. U moet ook rekening houden met de apps die u installeert, omdat sommige legitieme toepassingen zijn gebundeld met andere programma's (die schadelijk kunnen zijn).

Idealiter haalt u alleen de officiële versies van programma's van officiële pagina's of downloadcentra, maakt u de juiste keuzes tijdens installaties en let u op de installatieprocessen voor alle apps.

  1. Installeer een beschermend hulpprogramma:

Als een rootkit uw computer binnendringt, is de invoer waarschijnlijk verbonden met de aanwezigheid of het bestaan ​​van een ander kwaadaardig programma op uw computer. De kans is groot dat een goede antivirus- of antimalwaretoepassing de oorspronkelijke dreiging detecteert voordat een rootkit wordt geïntroduceerd of geactiveerd.

U kunt Anti-Malware krijgen. U doet er goed aan enig vertrouwen te stellen in de aanbevolen toepassing, want goede beveiligingsprogramma's vormen nog steeds uw beste verdediging tegen alle vormen van bedreigingen.

Hoe rootkits te detecteren (en enkele tips voor organisaties en IT-beheerders)

Er zijn enkele hulpprogramma's die rootkits kunnen detecteren en verwijderen. Zelfs de bekwame beveiligingstoepassingen (waarvan bekend is dat ze omgaan met dergelijke kwaadaardige programma's) worstelen soms of slagen er niet in om het werk naar behoren te doen. Fouten bij het verwijderen van rootkits komen vaker voor als de malware bestaat en op kernelniveau werkt (rootkits in kernelmodus).

Soms is het opnieuw installeren van het besturingssysteem op een machine het enige dat kan worden gedaan om van een rootkit af te komen. Als u te maken heeft met firmware-rootkits, moet u mogelijk enkele hardwareonderdelen in het getroffen apparaat vervangen of gespecialiseerde apparatuur aanschaffen.

Een van de beste rootkit-detectieprocessen vereist dat gebruikers scans op het hoogste niveau voor rootkits uitvoeren. Met 'scan op het hoogste niveau' bedoelen we een scan die wordt uitgevoerd door een afzonderlijk schoon systeem terwijl de geïnfecteerde machine is uitgeschakeld. In theorie zou een dergelijke scan voldoende moeten zijn om te controleren op handtekeningen die door aanvallers zijn achtergelaten en zou een vals spel op het netwerk moeten kunnen worden geïdentificeerd of herkend.

Je kunt ook een geheugendump-analyse gebruiken om rootkits te detecteren, vooral als je vermoedt dat het om een ​​bootkit gaat - die aan het systeemgeheugen vastklikt om te werken -. Als er een rootkit is in het netwerk van een normaal computernetwerk, zal deze waarschijnlijk niet verborgen zijn als het opdrachten uitvoert waarbij geheugen wordt gebruikt - en Managed Service Provider (MSP) kan de instructies bekijken die het kwaadaardige programma verstuurt .

Gedragsanalyse is een andere betrouwbare procedure of methode die soms wordt gebruikt om rootkits te detecteren of te volgen. Hier moet u, in plaats van rechtstreeks naar een rootkit te zoeken door het systeemgeheugen te controleren of aanvalshandtekeningen te observeren, naar rootkitsymptomen op de computer zoeken. Zaken als lage werksnelheden (aanzienlijk langzamer dan normaal), vreemd netwerkverkeer (dat er niet zou moeten zijn) en andere veelvoorkomende afwijkende gedragspatronen zouden rootkits moeten weggeven.

Manager Service Providers kunnen het principe van de minste privileges (PoLP) daadwerkelijk inzetten als een speciale strategie in de systemen van hun klanten om de effecten van een rootkit-infectie aan te pakken of te verminderen. Wanneer PoLP wordt gebruikt, zijn systemen geconfigureerd om elke module op een netwerk te beperken, wat betekent dat individuele modules alleen toegang krijgen tot de informatie en bronnen die ze nodig hebben voor hun werk (specifieke doeleinden).

Welnu, de voorgestelde opstelling zorgt voor een betere beveiliging tussen de armen van een netwerk. Het doet ook voldoende om de installatie van kwaadaardige software in netwerkkernels door onbevoegde gebruikers te blokkeren, wat betekent dat het voorkomt dat rootkits inbreken en problemen veroorzaken.

Gelukkig zijn rootkits gemiddeld in verval (vergeleken met het aantal andere kwaadaardige programma's dat zich de afgelopen jaren heeft verspreid) omdat ontwikkelaars voortdurend de beveiliging van besturingssystemen verbeteren. Eindpuntverdediging wordt sterker en een groter aantal CPU's (of processors) wordt ontworpen om ingebouwde kernelbeschermingsmodi te gebruiken. Desalniettemin bestaan ​​er momenteel nog steeds rootkits en moeten ze worden geïdentificeerd, beëindigd en verwijderd, waar ze ook worden gevonden.