Chi cerca di sfruttare gli utenti di computer sogna di poter accedere ai sistemi informatici di altri senza essere rilevato. Combina questo con privilegi elevati e avrai la fantasia di un vero attaccante. Questo è probabilmente il motivo per cui così tanti aggressori e criminali informatici si affidano ai rootkit per realizzare i propri sogni.

Questo articolo descriverà cosa sono i rootkit, i suoi componenti, i livelli di rootkit, il modo in cui si diffondono i rootkit e cosa possono fare i rootkit su un sistema informatico, nonché alcuni dei diversi tipi di rootkit che circolano nei sistemi informatici in questi giorni. Coloro che non sono esperti in Unix avranno anche una piccola prospettiva storica sul nome.

Puoi anche leggere: Cos’è Bloatware? E come eliminarlo

Cosa sono i rootkit?

Chi è nuovo al malware probabilmente si sta grattando la testa chiedendosi cosa sia un rootkit e probabilmente perché ha un nome come “rootkit”. Un rootkit è un software che ha due funzioni– Fornire accesso privilegiato e non essere rilevato. Non tutti i rootkit sono malware, ma questo articolo si concentrerà su quelli con intenti dannosi.

La parola “RootKit” originariamente proviene dal mondo dei sistemiUnix‘, dove root è l’utente con il maggior numero di privilegi di accesso al sistema’. Mentre la parola kit definisce il kit che contiene una serie di strumenti dannosi come keylogger, ladri di credenziali bancarie, ladri di password, disattivatori di antivirus o bot per attacchi DDos, ecc. Mettendo insieme entrambi, otterrai RootKit.

Cosa sono i rootkit.  Funzioni, tipi e loro livelli
Cosa sono i rootkit. Funzioni, tipi e loro livelli

I rootkit sono una delle cose peggiori che possono accadere a un sistema e sono uno degli attacchi più pericolosi, più pericolosi dei soliti malware e virus, sia per i danni che provocano al sistema, sia per la difficoltà nel trovarli e rilevarli. I rootkit possono rimanere nel tuo sistema per molto tempo senza che l’utente se ne accorga e può causare gravi danni al sistema.

Noto per il furto di informazioni personali

Sono progettati in modo tale che rimanere nascosti ed eseguire azioni dannose come intercettare il traffico Internet, rubare carte di credito e informazioni bancarie in linea.

I rootkit offrono ai criminali informatici la possibilità di controllare il sistema del computer con accesso amministrativo completo, aiuta anche l’autore dell’attacco a monitorare le battiture e disabilitare il tuo software antivirus, rendendo ancora più facile rubare le tue informazioni segrete.

Tipi di rootkit

Per comprendere correttamente i tipi di rootkit, dobbiamo prima immaginare il sistema come un cerchio di anelli concentrici.

  • Nel mezzo, c’è un nucleo noto come anello zero. Il kernel ha il più alto livello di privilegi su un sistema informatico. Hai accesso a tutte le informazioni e puoi operare nel sistema come preferisci.
  • L’anello 1 e l’anello 2 sono riservati per processi meno privilegiati. Se questo anello fallisce, gli unici processi che saranno interessati sono quelli da cui dipende l’anello 3.
  • L’anello 3 è dove risiede l’utente. È la modalità utente che ha una gerarchia di accesso con privilegi rigorosi.

Fondamentalmente, una procedura che gira su un anello privilegiato più alto può ridurne i benefici e funzionare in un anello esterno, ma ciò non può funzionare al contrario senza il consenso inequivocabile degli strumenti di sicurezza del framework.

In situazioni in cui tali componenti di sicurezza possono essere tenuti fuori mano, si dice che esista una vulnerabilità di escalation dei privilegi. Ora ci sono 2 tipi più importanti di RootKit:

2 tipi di rootkit più eccezionali

Fondamentalmente, una procedura che si svolge in un anello privilegiato superiore può ridurre i suoi benefici e correre in un anello esterno, ma ciò non può funzionare al contrario senza il consenso inequivocabile degli strumenti di sicurezza del framework.

In situazioni in cui tali componenti di sicurezza possono essere tenuti fuori mano, si dice che esista una vulnerabilità di escalation dei privilegi. Ora ci sono 2 tipi più importanti di RootKit:

Rootkit in modalità utente:

I rootkit di questa categoria operare a un livello di utente o privilegio basso nel sistema operativo. Come affermato in precedenza, i rootkit consentono agli hacker di mantenere la propria autorità sul sistema fornendo un canale pass-through secondario, il Rootkit in modalità utente.

In generale, cambierà in questo modo importanti applicazioni a livello di utente, nascondendosi per dare accesso alla porta di servizio. esistere diversi rootkit di questo tipo sia per Windows che per Linux.

RootKit in modalità utente Linux:

Molti rootkit in modalità utente Linux sono disponibili oggi, per esempio:

  • Per ottenere l’accesso remoto alla macchina di destinazione, i servizi di login come ‘login’, ‘sshd’ vengono modificati dal rootkit per includere una backdoor. Gli aggressori possono accedere alla macchina del bersaglio semplicemente raggiungendo una porta sul retro. Ricorda che l’hacker ha già fatto saltare in aria la macchina, ha solo aggiunto una porta sul retro per tornare in un altro momento.
  • PPer eseguire l’attacco di escalation dei privilegi. L’aggressore modifica comandi come “su”, sudo in modo che quando utilizza questi comandi tramite una backdoor otterrà un accesso a livello di root ai servizi.
  • Per nascondere la tua presenza durante un attacco
  • Nascondere il processo: Vengono modificati diversi comandi che mostrano i dati sulle procedure che vengono eseguite nella macchina come “ps”, “pidof”, “top” con l’obiettivo che la procedura di assalto non sia registrata tra le altre procedure in esecuzione. Inoltre, il comando “kill all” viene solitamente modificato in modo che il processo dell’hacker non possa essere ucciso e l’ordine “crontab” viene modificato in modo che i processi dannosi vengano eseguiti in un momento specifico senza modificare le impostazioni di crontab.
  • Nascondi file: nasconde la sua presenza da comandi come “ls”, “search”. Inoltre, è nascosto dal comando “du” che mostra l’utilizzo del disco di un processo eseguito da un utente malintenzionato.
  • Nascondere eventi: nascondersi dai log di sistema modificando il file ‘syslog.d’ in modo che non possano essere registrati in questi file.
  • Nascondersi nella rete: nascondere comandi come ‘netstat’, ‘iftop’ che mostra le connessioni attive. Anche comandi come “ifconfig” vengono modificati per sradicare la loro presenza.

Rootkit in modalità kernel:

Prima di passare ai rootkit in modalità kernel, innanzitutto vedremo come funziona il kernel, come gestisce le richieste. Il kernel consente alle applicazioni di funzionare utilizzando risorse hardware.

Come abbiamo discusso il concetto di anelli, Le applicazioni Ring 3 non possono accedere a un ring più sicuro o altamente privilegiato, ovvero Ring 0, dipendono dalle chiamate di sistema che elaborano utilizzando le librerie del sottosistema. Quindi il flusso è qualcosa del genere:

Modalità utente >> Sistema libreria >> Sistema di chiamata tabella >> Kernel

Ora ciò che un utente malintenzionato farà è alterare la tabella delle chiamate di sistema utilizzando insmod e quindi mappare istruzioni dannose. Quindi inserirà un codice kernel dannoso e il flusso sarà così:

Modalità utente >> Librerie di sistema >> Tabella delle chiamate di sistema modificata >>
Codice del kernel dannoso

Quello che vedremo ora è come modificare questa tabella delle chiamate di sistema e come inserire codice dannoso.

  • Moduli del kernel: Il kernel Linux è progettato in modo tale da caricare un modulo kernel esterno per supportarne la funzionalità e inserire codice a livello di kernel. Questa opzione offre agli aggressori un grande lusso di iniettare codice dannoso direttamente nel kernel.
  • Modifica del file del kernel: Quando il kernel Linux non è configurato per caricare moduli esterni, è possibile modificare il file del kernel in memoria o sul disco rigido.
  • Il file kerneQuello che contiene l’immagine della memoria sul disco rigido è / dev / kmem. Il codice in esecuzione dal vivo nel kernel esiste anche in quel file. Non richiede nemmeno un riavvio.
  • Se la memoria non può essere modificata, il file del kernel sul disco rigido può essere. Il file che contiene il kernel sul disco rigido è vmlinuz. Questo file può essere letto e modificato solo da root. Ricorda che per eseguire il nuovo codice, in questo caso devi riavviare. Per cambiare il file del kernel non è necessario passare dall’anello 3 all’anello 0. Sono necessari solo i permessi di root.

Un eccellente esempio di rootkit del kernel è il rootkit SmartService. Impedisci agli utenti di avviare qualsiasi software antivirus e quindi funge da guardia del corpo per tutti gli altri malware e virus. È stato un rootkit notoriamente devastante fino alla metà del 2017.

Livelli di rootkit

Solo poche frasi fa, mi riferivo ai livelli di rootkit. Quello che volevo dire è il livello in cui il rootkit poggia effettivamente sul computer. Poi viene visualizzato un elenco di questi livelli, su una scala di privilegi crescenti:

  • Livello 3 – Applicazioni
  • Livello 2: driver di dispositivo
  • Livello 1: driver di dispositivo
  • Livello 0 – Kernel

Infezioni a questi livelli aumentano di gravità fino a raggiungere il livello del kernel, che alcuni potrebbero considerare il Santo Graal dei livelli di rootkit. Una volta raggiunto il livello 0, l’infezione da rootkit diventa la più difficile da rimuovere. Ciò è aggravato dal fatto che la maggior parte, se non tutte, le soluzioni antivirus non hanno pieno accesso al livello 1 e inferiore.

Come funzionano i rootkit

Malware lascia segni rivelatori della tua presenza, tra cui:

  • Generazione di processi
  • Presenza di strani file di accompagnamento
  • La comparsa di alcune chiavi di registro sospette
  • Modifiche nell’utilizzo della CPU e dello spazio su disco

Parte del lavoro del rootkit è monitorare i computer infetti per questi segni rivelatori. Se esistono sul computer infetto, il rootkit altererà le parti del sistema informatico che mostrano questi segni per mantenere il malware invisibile all’utente del computer.

Conclusione

I rootkit può causare gravi danni irreversibili al sistema operativo. Contiene una varietà di strumenti dannosi come keylogger, ladri di credenziali bancarie, ladri di password, disattivatori di antivirus o bot per attacchi DDos, ecc.

Il software rimane nascosto in un sistema informatico e continua a fare il suo lavoro per un utente malintenzionato in quanto può accedere da remoto al sistema della vittima. La nostra priorità dopo aver rilevato un rootkit dovrebbe essere quella di modificare tutte le password sul sistema. Può riparare tutti i collegamenti deboli, ma è meglio cancellare completamente e riformattare l’unità, poiché non si sa mai cosa c’è all’interno del sistema.

I rootkit rappresentano due cose: una cortina fumogena per gli aggressori per mantenere campagne di attacco persistenti e un incubo per l’utente del computer.. Questo tipo di malware nasconderà le azioni del malware agli occhi dei supervisori e possono concedere privilegi elevati agli aggressori per promuovere le loro campagne.

Tuttavia, nonostante il suo pericolo, i rootkit non sono la fine del mondo. Chi è preoccupato per l’infezione dovrebbe rafforzare la propria sicurezza e adottare un atteggiamento più “paranoico” o difensivo nei confronti della propria attività sul computer. Questo è il modo migliore per garantire che il tuo computer non cada vittima di rootkit e diventi un’altra statistica sulla criminalità informatica.

Puoi anche leggere: Come ottenere maggiori prestazioni dal processore

Leave a Reply