Ilość danych umieszczanych w Internecie systematycznie się zwiększa. Wraz z rozwojem sieci pojawiają się coraz to bardziej zaawansowane zagrożenia bezpieczeństwa, które dotyczą praktycznie wszystkich użytkowników surfujących online. Problemem niezwykle przebiegłym i często niewykrywalnym przez konwencjonalne programy antywirusowe jest rootkit. Mimo, że tego typu złośliwe oprogramowanie znane jest już od przynajmniej dwóch dekad, to rootkity stanowią wciąż duży kłopot, który w dodatku ewoluuje. Użytkownicy, którzy choć raz mieli do czynienia z rootkitem, niezbyt dobrze wspominają to doświadczenie. Podstępny wróg jest w stanie uzyskać całkowitą kontrolę nad zainfekowanym urządzeniem.
Czym jest ten rodzaj złośliwego oprogramowania i w jaki sposób można się przed nim zabezpieczyć? Wyjaśniam te kwestie w niniejszym artykule. Sprawdzam, skąd najczęściej łapiemy rootkity.
Spis treści
Rootkit – wyjątkowo złośliwe oprogramowanie
Rootkit przypomina swoim działaniem szpiega idealnego. Znakomicie kamufluje się w systemie operacyjnym zainfekowanego komputera. Pozostaje nieuchwytny jednocześnie zbierając szereg istotnych informacji, których wyciek byłby bardzo niekorzystny z punktu widzenia użytkownika. Hakerzy wykorzystujący rootkity przejmują system, ustawiają komponenty i zapewniają sobie pełną kontrolę nad komputerem. Przejęte dane mogą mieć niebagatelne znaczenie finansowe oraz prywatne dla osoby, która jest zwykle nieświadoma rangi zagrożenia. Rootkit jest w stanie dezaktywować programy antywirusowe i doprowadzać do wyłączenia zapory ogniowej. W zarażonym systemie rootkit czuje się jak ryba w wodzie. Za pomocą dodatkowego oprogramowania hakerskiego może przejmować numery kart kredytowych, sprawdzać hasła wpisywane przez użytkownika czy kontrolować poszczególne funkcjonalności systemu na komputerze ofiary. Rootkit działa przebiegle, przez większość czasu nie dając o sobie znać. Użytkownik komputera, dopiero w pewnym momencie, orientuje się, że padł ofiarą cyberprzestępców. Zwykle jest już za późno, by odratować utracone dane.
Definicja rootkita. Czym jest malware?
Rootkit to program wirusowy, który można zaliczyć do rodzaju malware. Stanowi on jeden z rodzajów złośliwego oprogramowania komputerowego wykorzystywanego przez hakerów. Termin rootkit pochodzi z języka angielskiego i jest połączeniem dwóch słów: root (korzeń) i kit (zestaw). W wolnym tłumaczeniu oznacza to mniej więcej „zestaw do przejmowania kontroli administratora”. W aspekcie praktycznym rootkit jest narzędziem wykorzystywanym w różnego rodzaju włamaniach informatycznych. Oprogramowanie ułatwia cyberprzestępcom uzyskanie dostępu do komputera swojej ofiary. Cele implementowania rootkitów mogą być różne: od przejęcia danych bankowych, przez podejrzenie haseł i loginów, po utrzymanie całkowitej kontroli nad przejętym systemem. Rootkit osadza się w najbardziej wrażliwych obszarach systemu operacyjnego. Złośliwe oprogramowanie, aby zaczęło wyrządzać szkody na zainfekowanym komputerze, musi zostać wcześniej pobrane na urządzenie. Jak działa rootkit? Większość rootkitów przenika do systemu w wyniku pobrania trojanów, czyli na pierwszy rzut oka niegroźnych, lecz skrzętnie sfabrykowanych programów komputerowych. Oprogramowanie w formie „bezpiecznych aplikacji” infekuje system, dzięki czemu haker jest w stanie podjąć niemal dowolne działania na zajętym komputerze.
Dobra strona rootkitów
Każdy wynalazek, jak dynamit czy atom, ma swoje pozytywne i negatywne strony. Tak samo jest w przypadku opisywanego zjawiska. Rootkity znajdują także pozytywne zastosowanie w wielu różnych dziedzinach. Są stosowane do wykrywania oszustw w grach online, pozwalają na działanie niektórych funkcji aplikacji antywirusowych, są w stanie tworzyć system zabezpieczający prawa autorskie. Mogą być wykorzystywane także w nielegalny sposób np. do omijania płatnej licencji systemu operacyjnego. Są składnikiem programów lokalizujących urządzenie w przypadku zgubienia i kradzieży. Pożyteczny rootkit jest w stanie przekazać informacje o miejscu, w którym znajduje się utracony laptop, a nawet wymazać z niego najważniejsze dane.
Działanie hakera w trybie użytkownika. Czym grozi infekcja rootkitem?
Działanie rootkitów jest niezwykle przebiegłe. Niektóre rootkity zagnieżdżają się w trybie jądra systemu i infekują bardzo istotne obszary pamięci operacyjnej, modyfikując jej kod. Oprogramowanie skrzętnie ukrywa się na liście procesów i plików, przez co jego aktywność jest bardzo trudna do zaobserwowania. Co więcej, rootkity działające już w systemie są w stanie maskować swoją obecność dosłownie myląc tropy. Takie działanie sprawia, że wykrycie szkodliwych plików oprogramowaniem antywirusowym graniczy z cudem. Mowa oczywiście o rootkitach już działających – te które nie zostały jeszcze uruchomione program antywirusowy jest w stanie zwalczyć. Rootkit jest tak naprawdę narzędziem, które może spełniać kilka funkcji. Najważniejszą z nich jest ukrycie przed zabezpieczeniami faktu, że komputer został zainfekowany. Rootkit zwykle występuje w pakiecie z innymi programami, które służą do nielegalnych działań na komputerze ofiary. Umożliwiają one cyberprzestępcom m.in.:
- pozyskiwanie informacji wrażliwych użytkownika (dane osobowe, dane kart kredytowych),
- działanie w zakresie kradzieży haseł,
- wyłączenie oprogramowania antywirusowego,
- uruchomienie keyloggerów (przechwytywanie znaków wpisywanych na klawiaturze),
- włączenie botów atakujących DDoS,
- użycie zainfekowanego komputera do niemalże nieograniczonych celów (np. wysyłania wiadomości e-mail).
Oprogramowanie zapewnia hakerowi dostęp do aplikacji, danych, sieci, kont, wpisywanych informacji – w niemalże dowolny sposób. Niestety, działający rootkit jest trudny do wykrycia.
Jak instalują się rootkity i dlaczego oprogramowanie antywirusowe jest często bezbronne?
Rootkity wykorzystują luki w zabezpieczeniach, przez co wyszukują tylko im znane ścieżki do wnikania w głąb systemu. Aby zarazić się złośliwym oprogramowaniem trzeba wcześniej przenieść tego typu niebezpieczny plik na komputer. Najczęściej dochodzi do tego w wyniku pobrania niezweryfikowanego programu komputerowego z sieci. Pliki, znajdujące się na niezweryfikowanych serwerach, mogą posiadać w sobie różnego typu zagrożenia. Niestety, do zakażenia może dojść także w momencie pobrania określonego programu ze zweryfikowanej witryny, która jednak została wcześniej przejęta przez hakerów (a pliki na stronie podmieniono). Rootkit może przeniknąć do komputera także przez podłączone urządzenia mobilne, czy w wyniku podpięcia zainfekowanej pamięci flash. Wirusy mogą dostać się do urządzenia bazowego za pośrednictwem zewnętrznego dysku USB bądź w wyniku podpięcia używanego i niewyczyszczonego dysku twardego. Jak widać: źródeł infekcji rootkitów jest całkiem sporo, a użytkownik ma ograniczone pole do ich wykrywania. Oprogramowanie antywirusowe jest w stanie zwalczyć niebezpieczny plik jeszcze przed uruchomieniem. W momencie przeniknięcia rootkitów do systemu twojego komputera… wykrycie problemu jest praktycznie niemożliwe.
Działanie rootkita i rodzaje rootkitów
Wśród rodzajów rootkitów wyróżnia się m.in. rootkity operujące w trybie użytkownika oraz w trybie jądra. Rootkity działające z poziomu użytkownika funkcjonują w tej samej części systemu operacyjnego, co większość standardowych i bezpiecznych aplikacji. Takiego rootkita teoretycznie łatwiej wykryć. Jest on stosunkowo mniej groźny – co nie znaczy, że nie może wyrządzić poważnych szkód. Z kolei rootkity operujące w trybie jądra zagnieżdżają się znacznie głębiej, pozwalając na niemalże nieograniczoną eksploatację funkcji i zasobów komputera ofiary. Te ostatnie (na poziomie jądra) są w stanie przejąć cały system i przekazać największe uprawnienia hakerom, umożliwiając zdalny dostęp do np. systemu Windows. Mogłoby się wydawać, że to wizja rodem z filmu science-fiction – ale to niestety prawda. Skrzętnie ukryty rootkit, kierowany przez hakera, jest w stanie:
- modyfikować i usuwać pliki z twojego komputera,
- instalować nowe programy (w tym szpiegujące) na komputerze,
- blokować dostęp do urządzenia,
- dystrybuować wiadomości e-mail (SPAM) podszywając się pod internautę,
- wykorzystywać zainfekowany komputer jako słup do dalszych działań hakerskich.
To kilka najpoważniejszych zagrożeń jakie niesie za sobą infekcja systemu operacyjnego przez rootkita. Niektóre rodzaje złośliwego oprogramowania uruchamiają się tuż przed startem systemu (tzw. bootkity), uniemożliwiając ich wykrycie przez program antywirusowy.
Jak zabezpieczyć się przed działalnością hakerską?
Rootkit wnika do systemu najczęściej wraz z trojanem. Musi on zatem w pewien sposób dostać się na dysk. Dzieje się tak w wyniku instalowania programów komputerowych z niezaufanych źródeł. Warto zatem każdorazowo zwracać uwagę na to, z jakich stron ściąga się poszczególne programy. Należy zawsze korzystać z bezpiecznego, pewnego źródła danych. Radzę ci także zadbać o to, aby Twój system operacyjny był zaktualizowany i gotowy do stawienia czoła internetowym zagrożeniom. Rootkit jest w stanie wniknąć na dowolne urządzenie, bez rozgraniczania konkretnych systemów operacyjnych. Większość programów antywirusowych wykryje podejrzany plik, ale jeśli zignorujemy komunikaty i uruchomimy instalator – wówczas może być już za późno na obronę. Oprócz powyższych zasad bezpieczeństwa pamiętaj także o:
- stosowaniu nowoczesnego oprogramowania antywirusowego,
- skanowaniu zewnętrznych nośników danych podłączanych do komputera,
- systematycznym czyszczeniu komputera,
- niekorzystaniu z podejrzanych stron online.
Czy da się usunąć rootkit za pomocą oprogramowania antywirusowego?
Analiza działalności rootkitów w systemie jest skrajnie trudna. Istnieje ich wiele rodzajów dedykowanych dla wielu systemów operacyjnych. Jednym z popularnych typów rootkit jest Hacker Defender, którego obecność na komputerze można rozpoznać po m.in. wolniejszej pracy oprogramowania antywirusowego. Rootkity przybierają różną formę ale zwykle nie występują same: współgrają z innymi programami hakerskimi, umożliwiającymi dowolne i nieautoryzowane działania w systemie. Użytkownik, który stracił kontrolę nad systemem, powinien jak najszybciej rozważyć zmianę haseł, loginów i kont za pomocą innego, czystego urządzenia. Jak usunąć rootkit? Najskuteczniejszym sposobem na usunięcie rootkita jest ponowne zainstalowanie systemu operacyjnego. To najpewniejsze i najbezpieczniejsze rozwiązanie, które pozwoli na użytkowanie czystego systemu. Usuwanie rootkita jest także możliwe za pośrednictwem wielu aplikacji antywirusowych. Istnieją także oddzielne programy, takie jak HiJackThis (oprogramowanie służące do wykrywania zagrożeń typu rootkit), pozwalające dokonać wykrycia i usunięcia złośliwego oprogramowania. Dla wielu, szczególnie niedoświadczonych użytkowników, obsługa takich aplikacji może być skomplikowanym procesem. Jeśli chcesz usunąć rootkit za pomocą programu antywirusowego pamiętaj o przejściu w tryb offline. Mimo wszystko w przypadku wykrycia programu typu rootkit najbezpieczniej wykonać nową, czystą instalację systemu operacyjnego.
Korzystaj z dobrych programów zabezpieczających i traktuj każdy niezweryfikowany pendrive jak potencjalne źródło niebezpieczeństw. Nie instaluj programów, co do których nie masz pewności bezpieczeństwa.
