Che cosa sono i rootkit?

I rootkit esistono da circa 20 anni e permettono agli hacker di accedere e rubare dati dal computer di un utente rimanendo nascosti nel computer per molto tempo. Il termine

I rootkit esistono da circa 20 anni e permettono agli hacker di accedere e rubare dati dal computer di un utente rimanendo nascosti nel computer per molto tempo. Il termine descrive una serie di programmi malware disegnati per eludere i sistemi di rilevamento e dare all’hacker accesso remoto al PC della vittima. Per aiutarvi a capire che cos’è un rootkit, come opera e cosa fare in caso di infezione, noi di Kaspersky Lab abbiamo preparato una piccola guida.

Definizione di rootkit

Rootkit è un tipo di malware disegnato per attaccare computer e eludere i sistemi di sicurezza. Il rootkit permettere all’hacker di installare una serie di strumenti che gli danno accesso al computer da remoto. In genere il malware si nasconde in un punto profondo del sistema operativo ed è studiato in modo tale da non essere rilevato dalle applicazioni anti-malware e dai principali strumenti di controllo e sicurezza. I rootkit possono contenere vari moduli nocivi come keylogger, moduli per rubare password, informazioni bancarie e dati di carte di credito, bot per attacchi DDos e diverse funzionalità in grado di disabilitare i software di sicurezza. I rootkit si comportano come i programmi di backdoor dando la possibilità all’hacker di connettersi in modalità remota al computer infetto, installare e disinstallare specifici componenti. Alcuni esempi di rootkit per Windows sono: TDSS, ZeroAccess, Alureon e Necurs.

Categorie di rootkit

I due tipi di rootkit più conosciuti sono i rootkit user-mode e i kernel-mode. I primi sono disegnati per funzionare nella parte del sistema operativo dove si trovano le applicazioni. Espletano la loro funzione nociva intercettando e modificando i processi relativi alle applicazioni e sovrascrivendo la memoria che questa usa.  Questo è il caso più comune. I rootkit di tipo kernel agiscono a livello basso del sistema operativo del PC e danno all’hacker una serie di potenti privilegi sul computer. Dopo l’installazione, un rootkit di tipo kernel può prendere il controllo di una qualsiasi funzione del sistema direttamente al livello più privilegiato. Questa categoria di rootkit è molto più pericolosa e complessa che quella di tipo user-mode; sono rootkit difficili da individuare e rimuovere, tuttavia sono meno comuni.

Oltre a questi due tipi, ci sono altre varianti di rootkit, come i bootkit, che  sono disegnati per modificare i processi durante la fase di avvio, a livello primario, prima che il sistema operativo si avvi. Negli ultimi anni è emersa una nuova classe di rootkit, i  mobile rootkit, rootkit per dispositivi mobili pensati per dispositivi Android. Questi malware sono spesso associati a  applicazioni nocive scaricate da uno store o forum terzista.

Infezione

Si può contrarre un rootkit in vari modi però il vettore di infezione più comune è attraverso una vulnerabilità nel sistema operativo o attraverso una applicazione aperta sul computer. Gli hacker attaccano le vulnerabillità conosciute e sconosciute del sistema operativo e delle applicazioni, e usano codici exploit per ottenere una posizione privilegiata sul computer della vittima. In seguito installano il rootkit e i componenti che permettono loro accesso remoto al computer. Il codice exploit per una specifica vulnerabillità può essere ospitato su di un sito web autentico, ma che è stato compromesso. Un altro vettore di infezione è attraverso dispositivo USB.  Gli hacker possono piazzare dispositivi USB con rootkit in luoghi in cui possono essere facilmente trovati dalla vittima, come uffici, caffetterie e congressi. In certi casi, si può contrarre un rootkit attraverso una vulnerabilità del sistema di sicurezza, mentre in altri il malware può installarsi spacciandosi per una applicazione o file apparentemente affidabile contenuto in una USB.

Rimozione

Individuare la presenza di un rootkit su di un computer non è sempre facile perché questi malware sono studiati per eludere i sistemi di sicurezza e di controllo e operare in sordina. Tuttavia ci sono diverse utility che ci aiutano a individuare i rootkit conosciuti e conosciuti. Queste utility operano attraverso vari metodi, per esempio, usando signature o studiando lo schema comportamentale comune dei rootkit. Rimuovere un rootkit rimane tuttavia un compito abbastanza difficile e richiede l’uso di strumenti specifici, come TDSSKiller di Kaspersky Lab in grado di individuare e rimuovere rootkit TDSS. Nonostante ciò, in alcuni casi, quando il danno è molto grande, non ci resta che reinstallare il sistema operativo.

Consigli