Rootkit có thể được đặt tên là dạng mã độc [phần mềm độc hại] tinh vi nhất về mặt kỹ thuật và là một trong những loại khó phát hiện và loại bỏ nhất. Trong tất cả các loại phần mềm độc hại, có lẽ vi-rút và sâu được công khai nhất vì chúng thường phổ biến. Nhiều người được biết là đã bị ảnh hưởng bởi virus hoặc sâu, nhưng điều này chắc chắn không có nghĩa là virus và sâu là loại phần mềm độc hại có sức tàn phá lớn nhất. Có nhiều loại phần mềm độc hại nguy hiểm hơn, vì theo quy tắc, chúng hoạt động ở chế độ ẩn, rất khó phát hiện và xóa và có thể không được chú ý trong thời gian rất dài, âm thầm truy cập, đánh cắp dữ liệu và sửa đổi các tệp trên máy của nạn nhân .
Một ví dụ về kẻ thù lén lút như vậy là rootkit - một tập hợp các công cụ có thể thay thế hoặc thay đổi các chương trình thực thi, hoặc thậm chí là hạt nhân của chính hệ điều hành, để có quyền truy cập cấp quản trị viên vào hệ thống, có thể được sử dụng để cài đặt phần mềm gián điệp, keylogger và các công cụ độc hại khác. Về cơ bản, rootkit cho phép kẻ tấn công có được quyền truy cập hoàn toàn vào máy của nạn nhân [và có thể là toàn bộ mạng mà máy thuộc về]. Một trong những ứng dụng đã biết của rootkit gây ra tổn thất / thiệt hại đáng kể là việc đánh cắp mã nguồn của công cụ trò chơi Half-Life 2: Source của Valve.
Rootkit không phải là một cái gì đó mới - chúng đã xuất hiện trong nhiều năm và được biết là đã ảnh hưởng đến nhiều hệ điều hành khác nhau [Windows, UNIX, Linux, Solaris, v.v.]. Nếu không phải do một hoặc hai sự cố hàng loạt xảy ra sự cố rootkit [Xem phần Ví dụ nổi tiếng], đã thu hút sự chú ý của công chúng, họ có thể đã thoát khỏi nhận thức, ngoại trừ một nhóm nhỏ các chuyên gia bảo mật. Cho đến ngày hôm nay, rootkit vẫn chưa phát huy hết tiềm năng hủy diệt của chúng vì chúng không lan rộng như các dạng phần mềm độc hại khác. Tuy nhiên, điều này có thể được thoải mái chút.
Cơ chế Rootkit tiếp xúc Tương tự như ngựa Trojan, virus và sâu, rootkit tự cài đặt bằng cách khai thác lỗ hổng trong hệ điều hành và bảo mật mạng, thường không có tương tác với người dùng. Mặc dù có những rootkit có thể là một tệp đính kèm e-mail hoặc trong một gói với một chương trình phần mềm hợp pháp, chúng vô hại cho đến khi người dùng mở tệp đính kèm hoặc cài đặt chương trình. Nhưng không giống như các dạng phần mềm độc hại ít phức tạp hơn, rootkit xâm nhập rất sâu vào hệ điều hành và thực hiện các nỗ lực đặc biệt để ngụy trang sự hiện diện của chúng - ví dụ, bằng cách sửa đổi các tệp hệ thống.
Về cơ bản, có hai loại rootkit: rootkit cấp kernel và rootkit cấp ứng dụng. Rootkit cấp kernel kernel thêm mã vào hoặc sửa đổi kernel của hệ điều hành. Điều này đạt được bằng cách cài đặt trình điều khiển thiết bị hoặc mô-đun có thể tải, giúp thay đổi các cuộc gọi hệ thống để che giấu sự hiện diện của kẻ tấn công. Do đó, nếu bạn xem trong tệp nhật ký của mình, bạn sẽ thấy không có hoạt động đáng ngờ nào trên hệ thống. Rootkit cấp độ ứng dụng ít tinh vi hơn và thường dễ phát hiện hơn vì chúng sửa đổi các tệp thực thi của ứng dụng, thay vì chính hệ điều hành. Vì Windows 2000 báo cáo mọi thay đổi của tệp thực thi cho người dùng, khiến cho kẻ tấn công khó bị chú ý hơn.
Tại sao Rootkit gây rủi ro Rootkit có thể hoạt động như một cửa hậu và thường không đơn độc trong nhiệm vụ của họ - chúng thường đi kèm với phần mềm gián điệp, ngựa trojan hoặc virus. Mục đích của rootkit có thể thay đổi từ niềm vui độc hại đơn giản là xâm nhập máy tính của người khác [và che giấu dấu vết của sự hiện diện nước ngoài], để xây dựng toàn bộ hệ thống để lấy dữ liệu bí mật [số thẻ tín dụng hoặc mã nguồn như trong trường hợp của Half -Luôn 2].
Nói chung, rootkit cấp ứng dụng ít nguy hiểm hơn và dễ phát hiện hơn. Nhưng nếu chương trình bạn đang sử dụng để theo dõi tài chính của bạn, được rootkit vá bởi rootkit, thì tổn thất tiền tệ có thể là đáng kể - tức là kẻ tấn công có thể sử dụng dữ liệu thẻ tín dụng của bạn để mua một vài vật phẩm và nếu bạn không ' Không nhận thấy hoạt động đáng ngờ trên số dư thẻ tín dụng của bạn trong thời gian đáo hạn, rất có thể bạn sẽ không bao giờ nhìn thấy tiền nữa.
So với rootkit cấp kernel, rootkit cấp ứng dụng trông ngọt ngào và vô hại. Tại sao? Bởi vì về lý thuyết, một rootkit cấp kernel mở tất cả các cửa cho một hệ thống. Khi các cánh cửa được mở, các dạng phần mềm độc hại khác có thể xâm nhập vào hệ thống. Bị nhiễm rootkit cấp kernel và không thể phát hiện và gỡ bỏ nó dễ dàng [hoặc hoàn toàn, như chúng ta sẽ thấy tiếp theo] có nghĩa là ai đó có thể có toàn quyền kiểm soát máy tính của bạn và có thể sử dụng nó theo bất kỳ cách nào anh ta hoặc cô ta hài lòng - ví dụ, để bắt đầu một cuộc tấn công vào các máy khác, tạo ấn tượng rằng cuộc tấn công bắt nguồn từ máy tính của bạn chứ không phải từ một nơi nào khác.
Phát hiện và loại bỏ Rootkit Không phải các loại phần mềm độc hại khác dễ dàng phát hiện và loại bỏ, nhưng các rootkit cấp kernel là một thảm họa cụ thể. Theo một nghĩa nào đó, đó là Catch 22 - nếu bạn có rootkit, thì các tệp hệ thống cần thiết của phần mềm chống rootkit có thể sẽ bị sửa đổi và do đó kết quả kiểm tra không thể tin cậy được. Hơn nữa, nếu rootkit đang chạy, nó có thể sửa đổi thành công danh sách các tệp hoặc danh sách các quy trình đang chạy mà các chương trình chống vi-rút dựa vào, do đó cung cấp dữ liệu giả mạo. Ngoài ra, một rootkit đang chạy có thể đơn giản giải nén các tiến trình chương trình chống vi-rút khỏi bộ nhớ, khiến ứng dụng bị tắt hoặc chấm dứt bất ngờ. Tuy nhiên, bằng cách này, nó gián tiếp cho thấy sự hiện diện của nó, vì vậy người ta có thể nghi ngờ khi có sự cố, đặc biệt là với phần mềm duy trì bảo mật hệ thống.
Một cách được đề xuất để phát hiện sự hiện diện của rootkit là khởi động từ một phương tiện thay thế, được biết là sạch [tức là sao lưu hoặc cứu CD-ROM] và kiểm tra hệ thống đáng ngờ. Ưu điểm của phương pháp này là rootkit sẽ không chạy [do đó nó sẽ không thể tự ẩn] và các tệp hệ thống sẽ không được can thiệp một cách chủ động.
Có nhiều cách để phát hiện và [cố gắng] loại bỏ rootkit. Một cách là có dấu vân tay MD5 sạch của các tệp hệ thống gốc để so sánh dấu vân tay của tệp hệ thống hiện tại. Phương pháp này không đáng tin cậy lắm, nhưng tốt hơn là không có gì. Sử dụng trình gỡ lỗi kernel đáng tin cậy hơn, nhưng nó đòi hỏi kiến thức chuyên sâu về hệ điều hành. Ngay cả phần lớn các quản trị viên hệ thống cũng sẽ hiếm khi sử dụng nó, đặc biệt là khi có các chương trình tốt miễn phí để phát hiện rootkit, như RootkitRevealer của Marc Russinovich. Nếu bạn vào trang web của anh ấy, bạn sẽ tìm thấy hướng dẫn chi tiết cách sử dụng chương trình.
Nếu bạn phát hiện một rootkit trên máy tính của mình, bước tiếp theo là loại bỏ nó [nói dễ hơn làm]. Với một số rootkit, loại bỏ không phải là một tùy chọn, trừ khi bạn muốn loại bỏ toàn bộ hệ điều hành! Giải pháp rõ ràng nhất - để xóa các tệp bị nhiễm [miễn là bạn biết chính xác tệp nào bị che giấu] là hoàn toàn không thể áp dụng, khi các tệp hệ thống quan trọng được quan tâm. Nếu bạn xóa các tệp này, rất có thể bạn sẽ không bao giờ có thể khởi động lại Windows. Bạn có thể thử một vài ứng dụng loại bỏ rootkit, như UnHackMe hoặc F-Secure BlackLight Beta, nhưng đừng tin tưởng vào chúng quá nhiều để có thể loại bỏ dịch hại một cách an toàn.
Nghe có vẻ giống như trị liệu sốc, nhưng cách duy nhất được chứng minh để loại bỏ rootkit là định dạng ổ cứng và cài đặt lại hệ điều hành một lần nữa [tất nhiên là từ phương tiện cài đặt sạch!]. Nếu bạn có manh mối nơi bạn lấy rootkit từ đó [nó được gói trong một chương trình khác hay ai đó đã gửi nó cho bạn qua e-mail?], Thậm chí đừng nghĩ đến việc chạy hoặc không tìm lại nguồn lây nhiễm!
Ví dụ nổi tiếng về Rootkit Rootkit đã được sử dụng lén lút trong nhiều năm, nhưng chỉ cho đến năm ngoái khi chúng xuất hiện trong các tiêu đề tin tức. Trường hợp của Sony-BMG với công nghệ Quản lý quyền kỹ thuật số [DRM] của họ đã bảo vệ việc sao chép đĩa CD trái phép bằng cách cài đặt rootkit trên máy của người dùng đã gây ra sự chỉ trích gay gắt. Có những vụ kiện và một cuộc điều tra hình sự. Sony-BMG đã phải rút CD của họ khỏi các cửa hàng và thay thế các bản sao đã mua bằng các bản sạch, theo cách giải quyết vụ việc. Sony-BMG bị buộc tội bí mật che giấu các tệp hệ thống trong nỗ lực che giấu sự hiện diện của chương trình chống sao chép cũng được sử dụng để gửi dữ liệu riêng tư đến trang web của Sony. Nếu người dùng gỡ cài đặt chương trình, ổ đĩa CD sẽ không hoạt động. Trên thực tế, chương trình bảo vệ bản quyền này đã vi phạm tất cả các quyền riêng tư, sử dụng các kỹ thuật bất hợp pháp điển hình cho loại phần mềm độc hại này và trên hết, khiến máy tính của nạn nhân dễ bị tấn công. Đó là điển hình cho một tập đoàn lớn, chẳng hạn như Sony-BMG, trước tiên đi theo cách kiêu ngạo bằng cách tuyên bố rằng nếu hầu hết mọi người không biết rootkit là gì và tại sao họ lại quan tâm rằng họ có một cái. Chà, nếu không có kẻ nào như Mark Roussinovich, người đầu tiên rung chuông về rootkit của Sony, thì mánh khóe có thể đã hoạt động và hàng triệu máy tính đã bị lây nhiễm - một hành vi phạm tội toàn cầu trong sự bảo vệ trí tuệ của một công ty bất động sản!
Tương tự như trường hợp của Sony, nhưng khi không cần kết nối Internet, đó là trường hợp của Norton SystemWorks. Đúng là cả hai trường hợp không thể được so sánh theo quan điểm đạo đức hoặc kỹ thuật bởi vì trong khi rootkit của Norton [hoặc công nghệ giống rootkit] sửa đổi các tệp hệ thống Windows để phù hợp với Thùng rác được bảo vệ của Norton, Norton khó có thể bị buộc tội nhằm mục đích hạn chế quyền của người dùng hoặc được hưởng lợi từ rootkit, như trường hợp của Sony. Mục đích của việc che giấu là để ẩn khỏi mọi người [người dùng, quản trị viên, v.v.] và mọi thứ [các chương trình khác, chính Windows] một thư mục sao lưu các tệp mà người dùng đã xóa và sau đó có thể được khôi phục từ thư mục sao lưu này. Chức năng của Thùng rác được bảo vệ là thêm một mạng lưới an toàn chống lại những ngón tay nhanh chóng xóa đầu tiên và sau đó nghĩ xem họ có xóa đúng tệp không, cung cấp một cách bổ sung để khôi phục các tệp đã bị xóa khỏi Thùng rác [ hoặc đã bỏ qua Thùng rác].
Hai ví dụ này hầu như không phải là trường hợp nghiêm trọng nhất của hoạt động rootkit, nhưng chúng đáng được đề cập bởi vì bằng cách thu hút sự chú ý đến các trường hợp cụ thể này, toàn bộ sự quan tâm đã được thu hút vào rootkit. Hy vọng rằng, bây giờ nhiều người không chỉ biết rootkit là gì, mà còn quan tâm nếu họ có, và có thể phát hiện và loại bỏ chúng!