Rootkit to złośliwe oprogramowanie wykorzystywane przez hakerów do uzyskania dostępu do komputera docelowego i przejęcia nad nim kontroli. Zazwyczaj wpływa na systemy operacyjne; jednak w rzadkich przypadkach rootkit może przeniknąć do fabryki, osadzając się w nowych komputerach w trakcie produkcji.
Mówiąc prościej, rootkit to tylne wejście atakującego do sieci.
Czym jest rootkit?
W systemach Unix, Linux i innych systemach operacyjnych uniksopodobnych, takich jak macOS, „root” to superużytkownik z uprawnieniami administratora. Część „kit” odnosi się do zbioru narzędzi programowych, których atakujący używa do uzyskania uprawnień roota, utworzenia tylnego wejścia i ukrycia go przed systemem operacyjnym.
Chociaż pierwsze rootkity zostały stworzone do ataków na komputery Unix w latach 90. XX wieku, obecnie są one wykorzystywane do włamywania się do systemów z dowolnym popularnym systemem operacyjnym, w tym Windows, macOS, Linux i Chrome OS.
Jak instaluje się rootkity? Aktorzy mogą wykorzystywać kampanie phishingowe lub inne metody socjotechniczne, aby zainstalować rootkita. Infekcje ze stron internetowych są również powszechne, wykorzystując luki w niezałatanych przeglądarkach.
Powszechną metodą ataku są również zrzuty pamięci USB. Zestaw pamięci USB z zainfekowanym złośliwym oprogramowaniem jest umieszczany w różnych lokalizacjach, gdzie pracownicy firmy docelowej znajdują je w porze lunchu.
Po lunchu, oczywiście, podpinają pamięć USB do komputera, aby sprawdzić, czy uda im się zidentyfikować właściciela. I to wszystko – infekcja się rozpoczyna.
Typowy proces infekcji rootkitem rozpoczyna się od droppera. Jest to niewielki program, który instaluje loader. Loader może znajdować się w dropperze, ale obecnie częściej jest pobierany przez dropper. Loader przejmuje kontrolę i pobiera rootkita, który będzie zestawem zaawansowanych, złośliwych programów.
Oczywiście, człowiek może zainstalować rootkita lokalnie, jeśli on – lub jego wspólnik – ma fizyczny dostęp do sieci. Mogą zdalnie zainstalować rootkita, jeśli uda im się włamać do sieci z zewnątrz.
Znacznie rzadsze, choć już spotykane, są przypadki, w których atakującym udaje się złamać „złoty kod” używany do produkcji komputerów. Oznacza to, że nowy komputer ma zainstalowany dropper prosto z fabryki.