Um rootkit é um dos tipos de malware mais avançados que existem atualmente. Durante anos, as soluções de segurança lutaram com detecção e remoção, principalmente porque os rootkits comprometem o sistema operacional em tal nível que podem ocultar sua presença tanto das soluções antimalware quanto do próprio sistema operacional.
O que é um Rootkit e como ele funciona?
O termo Rootkit é uma concatenação das palavras “root”, o usuário mais privilegiado em um sistema operacional baseado em Unix e “kit”, o conjunto de ferramentas de software que compõem o rootkit. Os rootkits remontam ao início dos anos 90, quando se concentravam em Sun e Linux, mas o surgimento de novos sistemas operacionais levou ao desenvolvimento de rootkits para Windows em 1999 e Mac em 2009.
Ao contrário do malware tradicional, os rootkits introduzem uma falha fundamental no computador que infectam. Eles não comprometem arquivos ou pastas. Em vez disso, eles alteram tudo o que o sistema operacional informa a você de acordo com as necessidades de seu criador.
Os rootkits são divididos em 2 categorias principais, dependendo de seu escopo de ação: rootkits de modo de usuário e rootkits de modo kernel. Para ter uma ideia de como eles comprometem um sistema operacional, precisamos primeiro entender como um sistema operacional funciona. Todos os aplicativos em seu computador se comunicam por meio de chamadas de função passadas pela API (Application Programming Interface) do sistema operacional. Um driver de modo de usuário conecta a Tabela de Endereços de Importação (uma lista de todos os endereços de APIs ou funções do sistema que o programa precisa que o kernel do sistema operacional execute).
Os rootkits de modo kernel usam drivers de sistema que se conectam ao kernel para chamadas de API “intermediárias” entre os aplicativos do usuário e o próprio sistema operacional. Uma vez instalado, o driver do rootkit redireciona as chamadas de função do sistema para que seu próprio código seja executado em vez do código do kernel. Assim, quando você está abrindo uma pasta para ver seu conteúdo, geralmente está interrogando o kernel sobre o número de arquivos que residem na respectiva pasta. No entanto, um rootkit pode interceptar sua solicitação e relatar todos os arquivos na pasta, exceto alguns que são maliciosos. Você, seu sistema operacional ou sua solução anti-malware nem saberá que alguns arquivos já existiram na respectiva pasta.
Ao usar um rootkit, um hacker tem privilégios totais de administrador em seu computador e software, acessando convenientemente os logs, monitorando sua atividade, roubando informações e arquivos privados e desorganizando as configurações. Mesmo sem você saber, todas as suas senhas e informações estarão disponíveis para serem roubadas.
Como um Rootkit entra no meu computador?
Mesmo que sejam algumas das ameaças eletrônicas mais perigosas até hoje, os rootkits não funcionam sozinhos – eles precisam de um vetor de infecção para se propagar e instalar. Os hackers usam Trojans ou aproveitam as vulnerabilidades do sistema operacional para plantar rootkits. Mas uma vez que eles chegam ao sistema, eles geralmente abrigam spyware, worms, keyloggers ou vírus de computador que transformam seu computador em uma marionete inútil. Os hackers podem usar rootkits posteriormente para lançar ataques DoS, spam e campanhas de phishing em terceiros, talvez até em seus contatos. Tendo acesso root ao sistema operacional, seu computador é completamente dominado por hackers, tornando os rootkits difíceis de detectar imediatamente, mesmo para o olho da tecnologia mais experiente.
Mas os rootkits nem sempre são maliciosos, pois em alguns casos são usados para fins de trapaça, como anular direitos autorais e proteção antifurto. Por outro lado, Sony e Lenovo são empresas conhecidas por terem inserido rootkits nos dispositivos dos usuários para reinstalar software indesejado ou como parte do gerenciamento de direitos digitais. Embora implantados com intenção inofensiva, essas são vulnerabilidades que facilitam a exploração posterior dos hackers, caso sejam descobertas.
Detecção, remoção, prevenção
A detecção de rootkits é cansativa e pode ser impossível devido ao controle total sobre o computador, incluindo qualquer software que você possa escolher para remover uma infecção por rootkit. Se você é um especialista em tecnologia, existem algumas etapas que você pode seguir, como varredura de assinatura ou análise de despejo de memória, mas se o rootkit assumiu a memória do kernel (também conhecido como o cérebro do seu sistema operacional), aceite a derrota. Formate o disco rígido e reinstale o sistema operacional.
Como você provavelmente já deve ter percebido, os rootkits são tão sofisticados que talvez você não consiga se livrar deles sem uma reinstalação. Na verdade, talvez você nem os detecte até que seja tarde demais ou tente executar uma verificação antivírus e o rootkit não permita que seu antivírus seja iniciado.
Para evitar a perda de todos os seus dados, certifique-se de desenvolver alguns hábitos de navegação online adequados:
- Criptografe suas informações privadas e faça backup de seus dados em várias fontes.
- Como a maneira mais comum de um hacker entrar em sua rede são os Trojans, nunca abra anexos de e-mail de remetentes dos quais você nunca ouviu falar.
- Se você estiver transmitindo um vídeo casualmente ou quiser abrir um arquivo e for solicitado a baixar um plug-in, não o faça.
- Atualize constantemente seu firewall e solução de segurança e execute periodicamente verificações completas do sistema em seu computador Windows e Mac.