Rootkit
Rootkit é uma coleção de software de computador, normalmente mal-intencionada, projetada para permitir o acesso privilegiado a um computador ou a uma área do software que não é permitida (por exemplo, a um usuário não autorizado).
O termo rootkit é a junção da palavra “root” (do inglês raiz e nome tradicional da conta privilegiada de superusuário administrador em sistemas operacionais semelhantes a Unix) e a palavra “kit” (que se refere aos componentes de software que implementam a ferramenta).
Esse termo tem conotações negativas através de sua associação com software malicioso. Uma das propostas desse programa é o uso para ocultar processos e arquivos específicos em algumas partes do sistema.
O malware se integra a partes do sistema operacional para que não seja possível fazer a leitura do mesmo no disco rígido do computador, dando a impressão que o mesmo não existe.
Desta forma os antivírus não conseguem ler o código do malware para efetuar testes de detecção e identificar a ameaça.
Outra função comum é camuflar seu processo de execução o fazendo rodar como uma thread em algum processo essencial do sistema, como o Explorer no Windows.
Assim não podendo ser visualizado no gerenciador de tarefas e enganando profissionais na área de TI e sistemas de detecção menos avançados.
A instalação do rootkit pode ser automatizada, ou um invasor pode pessoalmente instalá-lo depois de obter acesso root ou de administrador.
A obtenção desse acesso normalmente é resultado de um ataque direto em um sistema, ou seja, a exploração de uma vulnerabilidade conhecida (como escalonamento de privilégios) ou uma senha (obtida por táticas de cracking ou de engenharia social, como “phishing“).
Uma vez instalado, torna-se possível ocultar a invasão, bem como manter o acesso privilegiado enquanto estiver instalado.
A chave aqui é o acesso root ou administrador. Controle total sobre um sistema significa que o software existente pode ser modificado, incluindo o software que poderia ser usado para detectá-lo ou removê-lo.
A detecção de rootkits é difícil pois o próprio rootkit pode subverter o software que se destina a encontrá-lo.
Os métodos de detecção incluem o uso de um sistema operacional alternativo e confiável, métodos baseados em comportamento, verificação de assinatura, verificação de diferenças e análise de despejo de memória.
A remoção pode ser complicada ou praticamente impossível, especialmente nos casos em que o rootkit reside no kernel. A reinstalação do sistema operacional pode ser a única solução disponível para o problema.
Ao lidar com rootkits de firmware, a remoção pode exigir substituição de hardware ou equipamento especializado.
Fonte: Wikipedia → https://pt.wikipedia.org/wiki/Rootkit
Conheça o curso mais bem avaliado da Hotmart e torne-se um perito em Firewall, IPS, Proxy, Anti-Spam, Anti-vírus, Anti-Malware, VPN, Sandboxing, NAC, etc
Clique na imagem abaixo e confira mais detalhes:
Dúvidas ou sugestões? Deixem nos comentários! Para mais dicas, acesse o nosso canal no YouTube:
https://youtube.com/criandobits
