Come funziona il rilevamento dei rootkit al giorno d'oggi?

Probabilmente hai familiarità con virus informatici, adware, spyware e altri programmi dannosi, che sono per la maggior parte considerati minacce. Tuttavia, una diversa forma o classe di malware (rootkit) potrebbe essere la più pericolosa di tutte. Per "pericoloso" intendiamo il livello di danno che il programma dannoso può causare e la difficoltà che gli utenti hanno nel trovarlo e rimuoverlo.

Cosa sono i rootkit?

I rootkit sono un tipo di malware progettato per garantire a utenti non autorizzati l'accesso ai computer (o ad alcune applicazioni sui computer). I rootkit sono programmati per rimanere nascosti (non visibili) mentre mantengono l'accesso privilegiato. Dopo che un rootkit entra in un computer, maschera facilmente la sua presenza ed è improbabile che gli utenti se ne accorgano.

In che modo un rootkit danneggia un PC?

In sostanza, attraverso un rootkit, i criminali informatici possono controllare il tuo computer. Con un programma dannoso così potente, possono costringere il tuo PC a fare qualsiasi cosa. Possono rubare le tue password e altre informazioni sensibili, tenere traccia di tutte le attività o operazioni eseguite sul tuo computer e persino disabilitare il tuo programma di sicurezza.

Date le straordinarie capacità dei rootkit di dirottare o disattivare le applicazioni di sicurezza, sono piuttosto difficili da rilevare o affrontare, anche più del normale programma dannoso. I rootkit possono esistere o funzionare sui computer per un lungo periodo eludendo il rilevamento e provocando danni significativi.

A volte, quando sono in gioco rootkit avanzati, gli utenti non hanno altra scelta che eliminare tutto sul proprio computer e ricominciare da capo, se vogliono sbarazzarsi dei programmi dannosi.

Ogni malware è un rootkit?

No. Semmai, solo una piccola parte del malware è costituita da rootkit. Rispetto ad altri programmi dannosi, i rootkit sono notevolmente avanzati in termini di progettazione e programmazione. I rootkit possono fare molto di più del malware medio.

Se dobbiamo seguire definizioni tecniche rigorose, allora un rootkit non è esattamente una forma o un tipo di programma dannoso. I rootkit corrispondono semplicemente al processo utilizzato per distribuire il malware su una destinazione (di solito un computer specifico, un individuo o un'organizzazione). Comprensibilmente, dal momento che i rootkit compaiono abbastanza spesso nelle notizie di attacchi informatici o hack, il termine ha assunto una connotazione negativa.

Ad essere onesti, i rootkit funzionano in modo abbastanza simile al malware. A loro piace operare senza restrizioni sui computer delle vittime; non vogliono che le utilità protettive li riconoscano o li trovino; di solito cercano di rubare roba dal computer di destinazione. In definitiva, i rootkit sono minacce. Pertanto, devono essere bloccati (per impedire loro di entrare in primo luogo) o indirizzati (se hanno già trovato la loro strada).

Perché vengono utilizzati o scelti i rootkit?

Gli aggressori utilizzano i rootkit per molti scopi, ma la maggior parte delle volte cercano di usarli per migliorare o estendere le capacità stealth nel malware. Con una maggiore invisibilità, i payload dannosi distribuiti su un computer possono rimanere inosservati più a lungo mentre i programmi dannosi funzionano per esfiltrare o rimuovere i dati da una rete.

I rootkit sono piuttosto utili in quanto forniscono un modo o una piattaforma conveniente attraverso cui attori non autorizzati (hacker o persino funzionari governativi) ottengono l'accesso backdoor ai sistemi. I rootkit in genere raggiungono l'obiettivo qui descritto sovvertendo i meccanismi di accesso per costringere i computer a concedere loro l'accesso segreto per un altro individuo.

I rootkit possono anche essere implementati per compromettere o sopraffare un computer per consentire all'attaccante di ottenere il controllo e utilizzare il dispositivo come strumento per eseguire determinate attività. Ad esempio, gli hacker prendono di mira i dispositivi con rootkit e li usano come bot per attacchi DDoS (Distributed Denial of Service). In un tale scenario, se la fonte del DDoS viene rilevata e rintracciata, porterà al computer compromesso (la vittima) anziché al vero computer responsabile (l'attaccante).

I computer compromessi che partecipano a tali attacchi sono comunemente noti come computer zombie. Gli attacchi DDoS non sono certo le uniche cose dannose che gli aggressori fanno con i computer compromessi. A volte, gli hacker utilizzano i computer delle loro vittime per effettuare clic fraudolenti o per distribuire spam.

È interessante notare che ci sono scenari in cui i rootkit vengono distribuiti da amministratori o persone normali per buoni scopi, ma esempi di tali sono ancora piuttosto rari. Abbiamo visto rapporti su alcuni team IT che eseguono rootkit in un honeypot per rilevare o riconoscere gli attacchi. Bene, in questo modo, se riescono con i compiti, possono migliorare le loro tecniche di emulazione e le applicazioni di sicurezza. Potrebbero anche acquisire alcune conoscenze, che potrebbero quindi applicare per migliorare i dispositivi di protezione antifurto.

Tuttavia, se dovessi mai avere a che fare con un rootkit, è probabile che il rootkit venga utilizzato contro di te (o contro i tuoi interessi). Pertanto, è importante imparare come rilevare i programmi dannosi in quella classe e come difendersi (o il proprio computer) da essi.

Tipi di rootkit

Esistono diverse forme o tipi di rootkit. Possiamo classificarli in base alla loro modalità di infezione e al livello in cui operano sui computer. Bene, questi sono i tipi di rootkit più comuni:

1. Rootkit in modalità kernel:

I rootkit in modalità kernel sono rootkit progettati per inserire malware nel kernel dei sistemi operativi per alterare la funzionalità o la configurazione del sistema operativo. Per "kernel" si intende la parte centrale del sistema operativo che controlla o collega le operazioni tra hardware e applicazioni.

Gli aggressori trovano difficile distribuire rootkit in modalità kernel perché tali rootkit tendono a causare il crash dei sistemi se il codice utilizzato non riesce. Tuttavia, se mai riusciranno a distribuire con successo, i rootkit saranno in grado di fare danni incredibili perché i kernel in genere possiedono i livelli di privilegi più alti all'interno di un sistema. In altre parole, con rootkit in modalità kernel di successo, gli aggressori ottengono facili spostamenti con i computer delle loro vittime.

2. Rootkit in modalità utente:

I rootkit in questa classe sono quelli che vengono eseguiti agendo come programmi ordinari o regolari. Tendono a funzionare nello stesso ambiente in cui vengono eseguite le applicazioni. Per questo motivo, alcuni esperti di sicurezza li chiamano rootkit dell'applicazione.

I rootkit in modalità utente sono relativamente più facili da distribuire (rispetto ai rootkit in modalità kernel), ma sono capaci di meno. Fanno meno danni dei rootkit del kernel. Le applicazioni di sicurezza, in teoria, trovano anche più facile gestire i rootkit in modalità utente (rispetto ad altre forme o classi di rootkit).

3. Bootkit (rootkit di avvio):

I bootkit sono rootkit che estendono o migliorano le capacità dei normali rootkit infettando il Master Boot Record. Piccoli programmi che vengono attivati ​​durante l'avvio del sistema costituiscono il Master Boot Record (a volte abbreviato in MBR). Un bootkit è fondamentalmente un programma che attacca il sistema e funziona per sostituire il normale bootloader con una versione hackerata. Un tale rootkit viene attivato anche prima che il sistema operativo di un computer si avvii e si stabilizzi.

Data la modalità di infezione dei bootkit, gli aggressori possono impiegarli in forme di attacco più persistenti perché sono configurati per essere eseguiti all'avvio di un sistema (anche dopo un ripristino difensivo). Inoltre, tendono a rimanere attivi nella memoria di sistema, che è una posizione raramente scansionata dalle applicazioni di sicurezza o dai team IT alla ricerca di minacce.

4. Rootkit di memoria:

Un rootkit di memoria è un tipo di rootkit progettato per nascondersi all'interno della RAM di un computer (acronimo di Random Access Memory, che è la stessa cosa della memoria temporanea). Questi rootkit (una volta all'interno della memoria) funzionano quindi per eseguire operazioni dannose in background (senza che gli utenti ne siano a conoscenza).

Fortunatamente, i rootkit di memoria tendono ad avere una vita breve. Possono vivere solo nella RAM del tuo computer per una sessione. Se riavvii il PC, scompariranno, almeno, in teoria, dovrebbero. Tuttavia, in alcuni scenari, il processo di riavvio non è sufficiente; gli utenti potrebbero finire per dover fare del lavoro per sbarazzarsi dei rootkit di memoria.

5. Rootkit hardware o firmware:

I rootkit hardware o firmware prendono il nome dal punto in cui sono installati sui computer.

Questi rootkit sono noti per sfruttare il software incorporato nel firmware sui sistemi. Il firmware si riferisce alla classe di programma speciale che fornisce controllo o istruzioni a basso livello per hardware (o dispositivo) specifico. Ad esempio, il tuo laptop ha un firmware (di solito il BIOS) che è stato caricato dal produttore. Anche il tuo router ha il firmware.

Poiché i rootkit del firmware possono esistere su dispositivi come router e unità, possono rimanere nascosti per molto tempo, perché quei dispositivi hardware vengono raramente controllati o ispezionati per l'integrità del codice (se vengono controllati). Se gli hacker infettano il tuo router o guida con un rootkit, saranno in grado di intercettare i dati che fluiscono attraverso il dispositivo.

Come stare al sicuro dai rootkit (suggerimenti per gli utenti)

Anche i migliori programmi di sicurezza lottano ancora contro i rootkit, quindi è meglio fare tutto il necessario per impedire che i rootkit entrino nel tuo computer. Non è così difficile stare al sicuro.

Se segui le migliori pratiche di sicurezza, le possibilità che il tuo computer venga infettato da un rootkit si riducono notevolmente. Ecco qui alcuni di loro:

1. Scarica e installa tutti gli aggiornamenti:

Semplicemente non puoi permetterti di ignorare gli aggiornamenti per nulla. Sì, capiamo che gli aggiornamenti alle applicazioni possono essere fastidiosi e gli aggiornamenti alla build del tuo sistema operativo possono essere fastidiosi, ma non puoi farne a meno. Mantenere aggiornati i programmi e il sistema operativo ti assicura di ottenere patch per falle di sicurezza o vulnerabilità di cui gli aggressori sfruttano per iniettare rootkit nel tuo computer. Se i buchi e le vulnerabilità vengono chiusi, il tuo PC sarà migliore per questo.

2. Attenzione alle email di phishing:

Le e-mail di phishing vengono in genere inviate da truffatori che cercano di indurti con l'inganno a fornire loro informazioni personali o dettagli sensibili (ad esempio dettagli di accesso o password). Tuttavia, alcune e-mail di phishing incoraggiano gli utenti a scaricare e installare alcuni software (che di solito sono dannosi o dannosi).

Tali e-mail potrebbero sembrare provenire da un mittente legittimo o da un individuo di fiducia, quindi devi fare attenzione a loro. Non rispondere a loro. Non fare clic su nulla al loro interno (collegamenti, allegati e così via).

3. Fai attenzione ai download drive-by e alle installazioni indesiderate:

Qui, vogliamo che tu presti attenzione alle cose che vengono scaricate sul tuo computer. Non vuoi ottenere file dannosi o applicazioni dannose che installano programmi dannosi. Devi anche essere consapevole delle app che installi perché alcune applicazioni legittime sono in bundle con altri programmi (che possono essere dannosi).

Idealmente, dovresti ottenere solo le versioni ufficiali dei programmi dalle pagine ufficiali o dai centri di download, fare le scelte giuste durante le installazioni e prestare attenzione ai processi di installazione per tutte le app.

4. Installa un'utilità di protezione:

Se un rootkit deve entrare nel tuo computer, è probabile che la sua voce sia collegata alla presenza o all'esistenza di un altro programma dannoso sul tuo computer. È probabile che una buona applicazione antivirus o antimalware rilevi la minaccia originale prima che un rootkit venga introdotto o attivato.

È possibile ottenere Auslogics Anti-Malware. Farai bene a riporre un po' di fiducia nell'applicazione consigliata perché buoni programmi di sicurezza costituiscono ancora la tua migliore difesa contro ogni forma di minaccia.

Come rilevare i rootkit (e alcuni suggerimenti per organizzazioni e amministratori IT)

Esistono poche utilità in grado di rilevare e rimuovere i rootkit. Anche le applicazioni di sicurezza competenti (note per gestire tali programmi dannosi) a volte faticano o non riescono a svolgere correttamente il lavoro. Gli errori di rimozione dei rootkit sono più comuni quando il malware esiste e opera a livello di kernel (rootkit in modalità kernel).

A volte, la reinstallazione del sistema operativo su una macchina è l'unica cosa che può essere fatta per sbarazzarsi di un rootkit. Se hai a che fare con rootkit del firmware, potresti dover sostituire alcune parti hardware all'interno del dispositivo interessato o acquistare apparecchiature specializzate.

Uno dei migliori processi di rilevamento dei rootkit richiede agli utenti di eseguire scansioni di primo livello per i rootkit. Per "scansione di primo livello" si intende una scansione eseguita da un sistema pulito separato mentre la macchina infetta è spenta. In teoria, una tale scansione dovrebbe fare abbastanza per verificare la presenza di firme lasciate dagli attaccanti e dovrebbe essere in grado di identificare o riconoscere qualche gioco scorretto sulla rete.

È inoltre possibile utilizzare un'analisi del dump della memoria per rilevare i rootkit, soprattutto se si sospetta che sia coinvolto un bootkit, che si aggancia alla memoria di sistema per funzionare. Se è presente un rootkit nella rete di un normale computer, probabilmente non sarà nascosto se sta eseguendo comandi che implicano l'uso della memoria e il provider di servizi gestiti (MSP) sarà in grado di visualizzare le istruzioni inviate dal programma dannoso .

L'analisi del comportamento è un'altra procedura o metodo affidabile che viene talvolta utilizzato per rilevare o tenere traccia dei rootkit. Qui, invece di cercare un rootkit direttamente controllando la memoria di sistema o osservando le firme di attacco, devi cercare i sintomi del rootkit sul computer. Cose come velocità operative lente (notevolmente più lente del normale), traffico di rete dispari (che non dovrebbe essere presente) e altri modelli di comportamento devianti comuni dovrebbero eliminare i rootkit.

I fornitori di servizi di gestione possono effettivamente implementare il principio dei privilegi minimi (PoLP) come strategia speciale nei sistemi dei loro clienti per affrontare o mitigare gli effetti di un'infezione rootkit. Quando viene utilizzato PoLP, i sistemi sono configurati per limitare ogni modulo su una rete, il che significa che i singoli moduli hanno accesso solo alle informazioni e alle risorse di cui hanno bisogno per il loro lavoro (scopi specifici).

Ebbene, la configurazione proposta garantisce una maggiore sicurezza tra le braccia di una rete. Fa anche abbastanza per bloccare l'installazione di software dannoso nei kernel di rete da parte di utenti non autorizzati, il che significa che impedisce ai rootkit di entrare e causare problemi.

Fortunatamente, in media, i rootkit sono in declino (rispetto al volume di altri programmi dannosi che hanno proliferato negli ultimi anni) perché gli sviluppatori migliorano continuamente la sicurezza dei sistemi operativi. Le difese degli endpoint stanno diventando più forti e un numero maggiore di CPU (o processori) viene progettato per utilizzare modalità di protezione del kernel integrate. Tuttavia, attualmente, i rootkit esistono ancora e devono essere identificati, terminati e rimossi ovunque si trovino.