Cos'è il Rootkit? Come funzionano i rootkit? Spiegazione dei rootkit.

Sebbene sia possibile nascondere il malware in un modo tale da ingannare anche i tradizionali prodotti antivirus/antispyware, la maggior parte dei programmi malware utilizza già i rootkit per nascondersi in profondità sul tuo PC Windows ... e stanno diventando sempre più pericolosi! Il rootkit DL3 è uno dei rootkit più avanzati mai visti in natura. Il rootkit era stabile e poteva infettare i sistemi operativi Windows(Windows) a 32 bit ; sebbene fossero necessari i diritti di amministratore per installare l'infezione nel sistema. Ma TDL3 ora è stato aggiornato ed è ora in grado di infettare anche le versioni a 64 bit di Windows(even 64-bit versions  Windows) !

Cos'è il Rootkit

virus

Un virus Rootkit è un tipo di malware  invisibile progettato per nascondere l'esistenza di determinati processi o programmi sul tuo computer dai normali metodi di rilevamento, in modo da consentire a esso o a un altro processo dannoso l'accesso privilegiato al tuo computer.

I rootkit per Windows(Rootkits for Windows) vengono in genere utilizzati per nascondere il software dannoso, ad esempio, da un programma antivirus. Viene utilizzato per scopi dannosi da virus, worm, backdoor e spyware. Un virus combinato con un rootkit produce i cosiddetti virus completamente invisibili. I rootkit sono più comuni nel campo degli spyware e ora stanno diventando più comunemente usati anche dagli autori di virus.

Ora sono un tipo emergente di Super Spyware che si nasconde in modo efficace e ha un impatto diretto sul kernel del sistema operativo. Sono usati per nascondere la presenza di oggetti dannosi come trojan o keylogger sul tuo computer. Se una minaccia utilizza la tecnologia rootkit per nascondersi, è molto difficile trovare il malware sul tuo PC.

I rootkit di per sé non sono pericolosi. Il loro unico scopo è nascondere il software e le tracce lasciate nel sistema operativo. Che si tratti di un normale software o di programmi malware.

Esistono fondamentalmente tre diversi tipi di Rootkit . Il primo tipo, i " Rootkit del kernel(Kernel Rootkits) " di solito aggiungono il proprio codice a parti del core del sistema operativo, mentre il secondo tipo, i " Rootkit in modalità utente(User-mode Rootkits) " sono particolarmente mirati a Windows per avviarsi normalmente durante l'avvio del sistema, oppure iniettato nell'impianto da un cosiddetto “Dropper”. Il terzo tipo è MBR Rootkit o Bootkit(MBR Rootkits or Bootkits) .

Quando trovi che il tuo AntiVirus e AntiSpyware non funziona, potresti dover ricorrere all'aiuto di una buona utilità Anti-Rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer di Microsoft Sysinternals è un'utilità di rilevamento rootkit avanzata. Il suo output elenca le discrepanze tra le API del (API)registro(Registry) e del file system che possono indicare la presenza di un rootkit in modalità utente o kernel.

(Microsoft Malware Protection Center Threat Report)Report sulle  minacce di Microsoft Malware Protection Center sui rootkit(Rootkits)

Microsoft Malware Protection Center ha reso disponibile per il download il Report(Threat Report) sulle minacce sui rootkit(Rootkits) . Il rapporto esamina uno dei tipi più insidiosi di malware che minacciano organizzazioni e individui oggi: il rootkit. Il rapporto esamina il modo in cui gli aggressori utilizzano i rootkit e il funzionamento dei rootkit sui computer interessati. Ecco una sintesi del rapporto, a partire da cosa sono i Rootkit(Rootkits) , per i principianti.

Rootkit è un insieme di strumenti che un utente malintenzionato o un creatore di malware utilizza per ottenere il controllo su qualsiasi sistema esposto/non protetto che altrimenti è normalmente riservato a un amministratore di sistema. Negli ultimi anni il termine "ROOTKIT" o "FUNZIONALITÀ ROOTKIT" è stato sostituito da MALWARE, un programma progettato per avere effetti indesiderati su un computer sano. La funzione principale del malware è quella di ritirare segretamente dati preziosi e altre risorse dal computer di un utente e fornirli all'attaccante, dandogli così il controllo completo sul computer compromesso. Inoltre, sono difficili da rilevare e rimuovere e possono rimanere nascosti per lunghi periodi, anche anni, se non vengono notati.

Quindi, naturalmente, i sintomi di un computer compromesso devono essere mascherati e presi in considerazione prima che l'esito si riveli fatale. In particolare, dovrebbero essere adottate misure di sicurezza più rigorose per scoprire l'attacco. Ma, come accennato, una volta installati questi rootkit/malware, le sue capacità stealth rendono difficile rimuoverlo e i suoi componenti che potrebbe scaricare. Per questo motivo Microsoft ha creato un report su ROOTKITS .

Il rapporto di 16 pagine illustra come un utente malintenzionato utilizza i rootkit e come funzionano questi rootkit sui computer interessati.

L'unico scopo del rapporto è identificare ed esaminare da vicino i potenti malware che minacciano molte organizzazioni, in particolare gli utenti di computer. Cita anche alcune delle famiglie di malware prevalenti e mette in luce il metodo utilizzato dagli aggressori per installare questi rootkit per i propri scopi egoistici su sistemi sani. Nella parte restante del rapporto, troverai esperti che formulano alcune raccomandazioni per aiutare gli utenti a mitigare la minaccia dei rootkit.

Tipi di rootkit

Ci sono molti posti in cui il malware può installarsi in un sistema operativo. Quindi, principalmente il tipo di rootkit è determinato dalla sua posizione in cui esegue la sovversione del percorso di esecuzione. Ciò comprende:

  1. Rootkit modalità utente
  2. Rootkit in modalità kernel
  3. Rootkit/bootkit MBR

Il possibile effetto di una compromissione di un rootkit in modalità kernel è illustrato tramite uno screenshot qui sotto.

Il terzo tipo, modifica il Master Boot Record per ottenere il controllo del sistema e avviare il processo di caricamento il primo punto possibile nella sequenza di avvio3. Nasconde file, modifiche del registro, prove di connessioni di rete e altri possibili indicatori che possono indicarne la presenza.

Notevoli famiglie di malware che utilizzano la funzionalità Rootkit

  • Win32/Sinowal 13 – Una famiglia di malware multicomponente che tenta di rubare dati sensibili come nomi utente e password per diversi sistemi. Ciò include il tentativo di rubare i dettagli di autenticazione per una varietà di account FTP , HTTP e di posta elettronica, nonché le credenziali utilizzate per operazioni bancarie online e altre transazioni finanziarie.
  • Win32/Cutwail 15 – Un Trojan che scarica ed esegue file arbitrari. I file scaricati possono essere eseguiti dal disco o iniettati direttamente in altri processi. Sebbene la funzionalità dei file scaricati sia variabile, Cutwail di(Cutwail) solito scarica altri componenti che inviano spam. Utilizza un rootkit in modalità kernel e installa diversi driver di dispositivo per nascondere i suoi componenti agli utenti interessati.
  • Win32/Rustock  – Una famiglia multicomponente di trojan(Trojans) backdoor abilitati per rootkit inizialmente sviluppata per aiutare nella distribuzione di e-mail di "spam" attraverso una botnet . Una botnet è una grande rete di computer compromessi controllata da un utente malintenzionato.

Protezione contro i rootkit

La prevenzione dell'installazione dei rootkit è il metodo più efficace per evitare l'infezione da parte dei rootkit. Per questo è necessario investire in tecnologie di protezione come prodotti antivirus e firewall. Tali prodotti dovrebbero adottare un approccio completo alla protezione utilizzando il rilevamento tradizionale basato sulla firma, il rilevamento euristico, la capacità di firma dinamica e reattiva e il monitoraggio del comportamento.

Tutti questi set di firme devono essere mantenuti aggiornati utilizzando un meccanismo di aggiornamento automatico. Le soluzioni antivirus Microsoft(Microsoft) includono una serie di tecnologie progettate specificamente per mitigare i rootkit, incluso il monitoraggio in tempo reale del comportamento del kernel che rileva e segnala i tentativi di modificare il kernel di un sistema interessato e l'analisi diretta del file system che facilita l'identificazione e la rimozione dei driver nascosti.

Se un sistema viene trovato compromesso, uno strumento aggiuntivo che consente di eseguire l'avvio in un ambiente noto o affidabile potrebbe rivelarsi utile in quanto potrebbe suggerire alcune misure correttive appropriate.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

In tali circostanze,

  1. Lo strumento Standalone System Sweeper (parte del Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. Windows Defender Offline può essere utile.

Per ulteriori informazioni, è possibile scaricare il report in PDF dall'Area download Microsoft.(Microsoft Download Center.)



Riccardo Milani

About the author

Sono un MVP di Windows e lavoro con Windows dal 2007. La mia esperienza include sviluppo software, hardware e suoni e app di Windows. Sono sempre alla ricerca dei modi migliori per migliorare l'esperienza dell'utente nel mio lavoro, quindi se hai bisogno di aiuto per progettare o sviluppare un'applicazione software, posso sicuramente offrire i miei servizi.


Related posts