Rootkit to zaawansowane złośliwe oprogramowanie, którego głównym celem jest ukrywanie obecności innych programów malware lub nieautoryzowanych działań w systemie operacyjnym. Nazwa “rootkit” wywodzi się od słowa “root” oznaczającego konto administratora w systemach Unix/Linux oraz “kit” (zestaw narzędzi), ponieważ rootkity zazwyczaj zawierają zestaw narzędzi, umożliwiających atakującemu przejęcie i kontrolę nad systemem operacyjnym na poziomie administratora. Działają one na bardzo niskim poziomie systemowym, co sprawia, że są wyjątkowo trudne do wykrycia i usunięcia. Rootkity są zaprojektowane tak, aby ukrywać swoje działania oraz obecność innych złośliwych programów, dlatego zwykły użytkownik może nawet nie zdawać sobie sprawy z ich obecności w systemie.
Jak rootkit różni się od wirusa?
Rootkity i wirusy różnią się przede wszystkim w swoich celach i sposobach działania. Głównym zadaniem rootkita jest ukrywanie działań szkodliwych programów oraz umożliwienie atakującemu zdalnego dostępu i kontroli nad systemem, bez wywoływania widocznych skutków. Rootkit nie musi powodować bezpośrednich uszkodzeń w systemie, ponieważ jego główną funkcją jest kamuflowanie i pozostawanie w ukryciu, by umożliwić dalsze działania atakującego.
Wirus natomiast to rodzaj malware, który koncentruje się na samopowielaniu i infekowaniu jak największej liczby plików lub systemów. Jego celem jest rozprzestrzenianie się na różne elementy systemu, co często prowadzi do uszkodzeń danych, zakłóceń w działaniu aplikacji, a czasem także poważnych strat w systemie. Wirus jest bardziej agresywny i widoczny, ponieważ jego działania są ukierunkowane na infekowanie nowych plików oraz rozprzestrzenianie się do innych systemów, co sprawia, że użytkownicy mogą zauważyć jego obecność przez problemy z działaniem komputera, spadek wydajności lub nawet utratę danych.
Trudność wykrycia
Rootkit operuje na znacznie głębszym poziomie systemowym niż wirus, ponieważ może modyfikować jądro systemu, co daje mu pełny dostęp do zasobów systemowych oraz pozwala omijać mechanizmy ochrony. Wirusy z reguły działają na poziomie aplikacji, co oznacza, że mają bardziej ograniczony dostęp do systemowych zasobów i są łatwiejsze do wykrycia przez standardowe oprogramowanie antywirusowe. Rootkit, działając na poziomie jądra, ukrywa swoje pliki, procesy oraz połączenia sieciowe, co sprawia, że wymaga specjalistycznych narzędzi do wykrycia. Z tego powodu wykrycie i usunięcie rootkita jest często trudniejsze niż pozbycie się wirusa – czasem może być konieczna nawet pełna reinstalacja systemu.
Przykładowe Rootkity
Rootkity od lat wykorzystywane są w atakach cyberprzestępczych i stanowią jedne z najbardziej zaawansowanych narzędzi używanych przez hakerów do infiltracji i kontroli systemów. Istnieje wiele znanych rootkitów, które zostały odkryte w wyniku analiz incydentów bezpieczeństwa, a niektóre z nich miały szerokie konsekwencje zarówno dla organizacji, jak i zwykłych użytkowników.
Rootkit Flame
Flame to wyjątkowo złożony rootkit / robak wykorzystywany do inwigilacji, który najprawdopodobniej został stworzony na potrzeby cyberwojny przez agencje wywiadowcze. Jego głównym celem była infiltracja systemów w krajach Bliskiego Wschodu, gdzie służył do zbierania danych wywiadowczych. Flame posiadał zaawansowane funkcje umożliwiające zdalne sterowanie mikrofonami i kamerami komputerów, przechwytywanie zrzutów ekranu, rejestrowanie rozmów oraz monitorowanie ruchu sieciowego. W odróżnieniu od typowych rootkitów, które zazwyczaj służą do ukrywania działań malware, Flame był swego rodzaju kompletnym narzędziem wywiadowczym, które służyło do szerokiej i szczegółowej inwigilacji celów.
Rootkit ZeroAccess
ZeroAccess to rootkit o bardziej przestępczym charakterze, który był wykorzystywany do masowego tworzenia botnetów w celu generowania przychodów z nielegalnych kliknięć reklamowych oraz wydobywania kryptowalut. Rootkit ten był wyjątkowo trudny do wykrycia, gdyż potrafił modyfikować niskopoziomowe funkcje systemowe i ukrywać się przed narzędziami antywirusowymi. ZeroAccess infekował systemy Windows i zyskiwał pełne uprawnienia administracyjne, co pozwalało przestępcom na pełną kontrolę nad zainfekowanymi maszynami. Skala działania ZeroAccess była ogromna – szacuje się, że rootkit ten zainfekował miliony komputerów na całym świecie.
