O que são rootkits? Funções, tipos e seus níveis
Computadores

O que são rootkits? Funções, tipos e seus níveis

By 26/05/2021No Comments

Quem procura tirar proveito dos usuários de computador sonha em poder acessar os sistemas de computador de outras pessoas sem ser detectado. Combine isso com privilégios elevados e você terá a fantasia de um atacante real. É provavelmente por isso que tantos invasores e cibercriminosos dependem de rootkits para realizar seus sonhos.

Este artigo irá detalhar o que são rootkits, seus componentes, níveis de rootkits, como os rootkits se espalham e o que os rootkits podem fazer em um sistema de computador, bem como alguns dos diferentes tipos de rootkits que circulam nos sistemas de computador atualmente. Aqueles que não são muito versados ​​em Unix também terão uma pequena perspectiva histórica sobre o nome.

Você também pode ler: O que é Bloatware? E como eliminá-lo

O que são rootkits?

Aqueles que são novos em malware provavelmente estão coçando a cabeça se perguntando o que é um rootkit e provavelmente por que ele tem um nome como “rootkit”. Um rootkit é um software que tem duas funções– Fornece acesso privilegiado e não é detectado. Nem todos os rootkits são malware, mas este artigo se concentrará naqueles com intenções maliciosas.

A palavra “RootKit” vem originalmente do mundo dos sistemasUnix‘, onde root é o usuário com mais privilégios de acesso ao sistema’. Enquanto a palavra kit define o kit que contém um conjunto de ferramentas maliciosas, como keyloggers, ladrões de credenciais bancárias, ladrões de senha, desativadores de antivírus ou bots para ataques DDos, etc. Juntando os dois, você obterá o RootKit.

O que são Rootkits. Funções, tipos e seus níveis
O que são Rootkits. Funções, tipos e seus níveis

Os rootkits são uma das piores coisas que podem acontecer a um sistema e são um dos ataques mais perigosos, mais perigosos do que os habituais malware e vírus, tanto pelos danos que causam ao sistema como pela dificuldade em os localizar e detetar. Os rootkits eles podem permanecer no seu sistema por muito tempo sem que o usuário saiba e pode causar sérios danos ao sistema.

Conhecido por roubar informações pessoais

Eles são projetados de tal forma que permanecem ocultos e executam ações maliciosas como interceptar o tráfego da Internet, roubar cartões de crédito e informações bancárias online.

Os rootkits oferecem aos cibercriminosos a capacidade de controlar o sistema do seu computador com acesso administrativo total, também ajuda o invasor a monitorar seus pressionamentos de tecla e desabilitando seu software antivírus, tornando ainda mais fácil roubar suas informações secretas.

Tipos de RootKits

Para entender adequadamente os tipos de rootkits, devemos primeiro imaginar o sistema como um círculo de anéis concêntricos.

  • No meio, há um núcleo conhecido como anel zero. O kernel tem o nível mais alto de privilégios em um sistema de computador. Você tem acesso a todas as informações e pode operar no sistema como quiser.
  • O Toque 1 e o Toque 2 estão reservados para processos menos privilegiados. Se este anel falhar, os únicos processos que serão afetados são aqueles dos quais o anel 3 depende.
  • O anel 3 é onde o usuário reside. É o modo de usuário que possui uma hierarquia de acesso com privilégios estritos.

Fundamentalmente, um procedimento executado em um anel privilegiado mais alto pode reduzir seus benefícios e funcionar em um anel externo, mas isso não pode funcionar ao contrário sem o consentimento inequívoco dos instrumentos de segurança da estrutura.

Em situações em que tais componentes de segurança podem ser mantidos fora do caminho, diz-se que existe uma vulnerabilidade de escalonamento de privilégios. Agora, existem mais 2 tipos proeminentes de RootKits:

2 tipos de rootKits mais destacados

Fundamentalmente, um procedimento executado em um anel privilegiado superior pode reduzir seus benefícios e ser executado em um anel externo, mas isso não pode funcionar ao contrário sem o consentimento inequívoco dos instrumentos de segurança da estrutura.

Em situações em que tais componentes de segurança podem ser mantidos fora do caminho, diz-se que existe uma vulnerabilidade de escalonamento de privilégios. Agora, existem mais 2 tipos proeminentes de RootKits:

Rootkits do modo de usuário:

Os rootkits desta categoria operar com baixo nível de usuário ou privilégio no sistema operacional. Como declarado antes, os rootkits fazem os hackers manterem sua autoridade sobre o sistema, fornecendo um canal de passagem secundário, o Rootkit em modo de usuário.

Em geral, ele mudará aplicativos importantes no nível do usuário dessa maneira, ocultando-se como dando acesso pela porta dos fundos. existir diferentes rootkits deste tipo para Windows e Linux.

RootKits do modo de usuário do Linux:

Muitos rootkits de modo de usuário do Linux estão disponíveis hoje, por exemplo:

  • Para obter acesso remoto à máquina de destino, serviços de login como ‘login’, ‘sshd’ são modificados pelo rootkit para incluir um backdoor. Os atacantes podem obter acesso à máquina do alvo simplesmente alcançando uma porta dos fundos. Lembre-se que o hacker já explodiu a máquina, acabou de adicionar uma porta dos fundos para voltar em outro momento.
  • PPara realizar o ataque de escalonamento de privilégios. O invasor modifica comandos como ‘su’, sudo para que, ao usar esses comandos por meio de uma porta dos fundos, obtenha acesso de root aos serviços.
  • Para esconder sua presença durante um ataque
  • Ocultação do processo: São modificados vários comandos que mostram dados sobre procedimentos que são executados na máquina como ‘ps’, ‘pidof’, ‘top’ com o objetivo de que o procedimento de assalto não seja registrado entre outros procedimentos em execução. Além disso, o comando ‘kill all’ geralmente é alterado para que o processo do hacker não possa ser morto, e a ordem do ‘crontab’ é alterada para que processos maliciosos sejam executados em um momento específico sem alterar as configurações do crontab.
  • Ocultar arquivos: oculte sua presença de comandos como ‘ls’, ‘pesquisa’. Além disso, está oculto do comando ‘du’, que mostra o uso do disco de um processo executado por um invasor.
  • Ocultando eventos: ocultem-se dos logs do sistema, modificando o arquivo ‘syslog.d’ para que não possam ser registrados nesses arquivos.
  • Escondido na rede: ocultando comandos como ‘netstat’, ‘iftop’ mostrando conexões ativas. Comandos como ‘ifconfig’ também são modificados para erradicar sua presença.

Rootkits de modo kernel:

Antes de mudar para rootkits no modo kernel, primeiro vamos ver como o kernel funciona, como ele lida com solicitações. O kernel permite que os aplicativos sejam executados usando recursos de hardware.

Como discutimos o conceito de anéis, Os aplicativos do Anel 3 não podem acessar um anel mais seguro ou altamente privilegiado, ou seja, o Anel 0, eles dependem das chamadas do sistema que processam usando as bibliotecas do subsistema. Portanto, o fluxo é mais ou menos assim:

Modo de usuário >> Sistema de biblioteca >> Sistema de chamada de tabela >> Kernel

Agora, o que um invasor fará é alterar a Tabela de Chamadas do Sistema usando insmod e mapear as instruções maliciosas. Em seguida, ele irá inserir o código malicioso do kernel e o fluxo será assim:

Modo de usuário >> Bibliotecas do sistema >> Tabela de chamadas do sistema alterada >>
Código de kernel malicioso

O que veremos agora é como modificar esta tabela de chamadas do sistema e como o código malicioso pode ser inserido.

  • Módulos do kernel: O kernel do Linux é projetado de forma que carregue um módulo de kernel externo para suportar sua funcionalidade e inserir código no nível do kernel. Esta opção oferece aos invasores um grande luxo para injetar código malicioso diretamente no kernel.
  • Alterando o arquivo kernel: Quando o kernel do Linux não está configurado para carregar módulos externos, a alteração do arquivo do kernel pode ser feita na memória ou no disco rígido.
  • O arquivo kerneAquele que contém a imagem da memória no disco rígido é / dev / kmem. O código de execução ao vivo no kernel também existe nesse arquivo. Nem mesmo requer uma reinicialização.
  • Se a memória não pode ser modificada, o arquivo do kernel no disco rígido pode ser. O arquivo que contém o kernel no disco rígido é vmlinuz. Este arquivo só pode ser lido e alterado pelo root. Lembre-se de que, para que o novo código seja executado, você precisa reinicializar neste caso. Para alterar o arquivo do kernel, não é necessário ir do anel 3 ao anel 0. Você só precisa de permissões de root.

Um excelente exemplo de rootkits Kernel é o rootkit SmartService. Impedir que os usuários iniciem qualquer software antivírus e, portanto, serve como guarda-costas para todos os outros malwares e vírus. Foi um rootkit notoriamente devastador até meados de 2017.

Níveis de rootkit

Algumas frases atrás, eu estava me referindo aos níveis de rootkit. O que eu quis dizer é o nível em que o rootkit realmente fica no computador. A seguir uma lista desses níveis é exibida, em uma escala de privilégios crescentes:

  • Nível 3 – Aplicativos
  • Nível 2: drivers de dispositivo
  • Nível 1: drivers de dispositivo
  • Nível 0 – Kernel

Infecções nesses níveis, eles aumentam de gravidade até atingirem o nível do kernel, que alguns podem considerar o santo graal dos níveis de rootkit. Quando atinge o nível 0, a infecção por rootkit se torna a mais difícil de remover. Isso é agravado pelo fato de que a maioria, senão todas, as soluções antivírus não têm acesso total ao nível 1 e abaixo.

Como funcionam os rootkits

Malware deixa sinais indicadores de sua presença, incluindo:

  • Geração de processo
  • Presença de arquivos companheiros estranhos
  • O aparecimento de certas chaves de registro suspeitas
  • Mudanças na utilização da CPU e do espaço em disco

Parte do trabalho do rootkit é monitorar computadores infectados para esses sinais indicadores. Se eles existirem no computador infectado, o rootkit irá alterar as partes do sistema do computador que mostram esses sinais para manter o malware invisível para o usuário do computador.

Conclusão

Os rootkits pode causar sérios danos irreversíveis ao sistema operacional. Ele contém uma variedade de ferramentas maliciosas, como keyloggers, ladrões de credenciais bancárias, ladrões de senhas, desativadores de antivírus ou bots para ataques DDos, etc.

O software permanece oculto em um sistema de computador e continua a fazer seu trabalho para um invasor, pois pode acessar remotamente o sistema da vítima. Nossa prioridade após detectar um rootkit deve ser alterar todas as senhas no sistema. Pode corrigir todos os links fracos, mas é melhor apagar e reformatar completamente a unidade, já que você nunca sabe o que está dentro do sistema.

Os rootkits representam duas coisas: uma cortina de fumaça para que os invasores mantenham campanhas de ataques persistentes e um pesadelo para o usuário do computador.. Este tipo de malware irá esconder as ações do malware aos olhos dos supervisores e pode conceder altos privilégios aos invasores para promover suas campanhas.

No entanto, apesar do perigo, rootkits não são o fim do mundo. As pessoas preocupadas com a infecção devem reforçar sua segurança e adotar uma postura mais “paranóica” ou defensiva em relação à sua atividade no computador. Essa é a melhor maneira de ajudar a garantir que seu computador não seja vítima de rootkits e se torne mais uma estatística de crime cibernético.

Você também pode ler: Como obter mais desempenho do processador

Recommended For You

ComputadoresTutoriais

https://mundoapps.net/como-configurar-repeater-xiaomi/

Bryant24/02/2022
Computadores

9 Aplicativos como Showbox. Melhores alternativas para ShowBox 2021

Bryant14/09/2021
Computadores

Como fazer uma captura de tela em um iPhone. Guia 2021

Bryant14/09/2021