Os rootkits podem ser nomeados como a forma mais sofisticada tecnicamente de código malicioso (malware) e uma das mais difíceis de descobrir e eliminar. De todos os tipos de malware, provavelmente vírus e worms recebem mais publicidade porque geralmente são generalizados. Sabe-se que muitas pessoas foram afetadas por um vírus ou worm, mas isso definitivamente não significa que vírus e worms sejam os tipos de malware mais destrutivos. Existem tipos de malware mais perigosos, porque, em regra, eles operam no modo furtivo, são difíceis de detectar e remover e podem passar despercebidos por períodos muito longos, obtendo acesso silencioso, roubando dados e modificando os arquivos na máquina da vítima .
Um exemplo de um inimigo tão furtivo são os rootkits - uma coleção de ferramentas que podem substituir ou alterar programas executáveis, ou mesmo o kernel do próprio sistema operacional, a fim de obter acesso de nível de administrador ao sistema, que pode ser usado para instalar spyware, keyloggers e outras ferramentas maliciosas. Essencialmente, um rootkit permite que um invasor obtenha acesso completo à máquina da vítima (e possivelmente a toda a rede à qual a máquina pertence). Um dos usos conhecidos de um rootkit que causou perdas / danos significativos foi o roubo do código-fonte do mecanismo de jogo Half-Life 2: Source da Valve.
Os rootkits não são algo novo - eles existem há anos e são conhecidos por terem afetado vários sistemas operacionais (Windows, UNIX, Linux, Solaris etc.). Se não fosse por uma ou duas ocorrências em massa de incidentes com rootkits (consulte a seção Exemplos famosos), que chamaram a atenção do público, eles poderiam ter escapado novamente à consciência, exceto por um pequeno círculo de profissionais de segurança. Atualmente, os rootkits não liberam todo o seu potencial destrutivo, uma vez que não são tão difundidos quanto outras formas de malware. No entanto, isso pode ser de pouco conforto.
Mecanismos de rootkit expostos
Semelhante aos cavalos de Tróia, vírus e worms, os rootkits se instalam explorando falhas na segurança da rede e no sistema operacional, geralmente sem interação do usuário. Embora existam rootkits que podem vir como um anexo de email ou em um pacote com programas de software legítimos, eles são inofensivos até o usuário abrir o anexo ou instalar o programa. Mas, diferentemente das formas menos sofisticadas de malware, os rootkits se infiltram profundamente no sistema operacional e fazem esforços especiais para disfarçar sua presença - por exemplo, modificando arquivos do sistema.
Basicamente, existem dois tipos de rootkits: rootkits no nível do kernel e rootkits no nível do aplicativo. Os rootkits no nível do kernel adicionam código ou modificam o kernel do sistema operacional. Isso é conseguido instalando um driver de dispositivo ou um módulo carregável, que altera as chamadas do sistema para ocultar a presença de um invasor. Portanto, se você procurar nos arquivos de log, não verá nenhuma atividade suspeita no sistema. Os rootkits no nível do aplicativo são menos sofisticados e geralmente são mais fáceis de detectar porque modificam os executáveis dos aplicativos, em vez do próprio sistema operacional. Como o Windows 2000 relata todas as alterações de um arquivo executável para o usuário, torna mais difícil para o invasor passar despercebido.
Por que os rootkits representam um risco
Os rootkits podem atuar como backdoor e geralmente não estão sozinhos em sua missão - eles geralmente são acompanhados por spyware, cavalos de tróia ou vírus. Os objetivos de um rootkit podem variar da simples alegria maliciosa de penetrar no computador de outra pessoa (e ocultar os traços de presença estrangeira), até a construção de um sistema inteiro para obter ilegalmente dados confidenciais (números de cartão de crédito ou código-fonte, como no caso de Half -Vida 2).
Geralmente, os rootkits no nível do aplicativo são menos perigosos e mais fáceis de detectar. Mas se o programa que você está usando para acompanhar suas finanças for "corrigido" por um rootkit, a perda monetária poderá ser significativa - ou seja, um invasor poderá usar os dados do seu cartão de crédito para comprar alguns itens e se você não Se você notar atividades suspeitas no saldo do seu cartão de crédito no devido tempo, é mais provável que você nunca mais veja o dinheiro.
Comparado aos rootkits no nível do kernel, os rootkits no nível do aplicativo parecem doces e inofensivos. Por quê? Porque, em teoria, um rootkit no nível do kernel abre todas as portas para um sistema. Uma vez que as portas estão abertas, outras formas de malware podem entrar no sistema. Ter uma infecção por rootkit no nível do kernel e não ser capaz de detectá-la e removê-la facilmente (ou, como veremos a seguir) significa que alguém pode ter controle total sobre o seu computador e usá-lo da maneira que desejar - por exemplo, para iniciar um ataque a outras máquinas, dando a impressão de que o ataque se origina no seu computador, e não em outro lugar.
Detecção e remoção de rootkits
Não é fácil detectar e remover outros tipos de malware, mas os rootkits no nível do kernel são um desastre específico. De certa forma, é um Catch 22 - se você tiver um rootkit, os arquivos do sistema necessários pelo software anti-rootkit provavelmente serão modificados e, portanto, os resultados da verificação não serão confiáveis. Além disso, se um rootkit estiver em execução, ele poderá modificar com êxito a lista de arquivos ou processos em execução nos quais os programas antivírus se baseiam, fornecendo dados falsos. Além disso, um rootkit em execução pode simplesmente descarregar os processos do programa antivírus da memória, fazendo com que o aplicativo seja encerrado ou finalizado inesperadamente. No entanto, ao fazer isso, indiretamente, mostra sua presença, para que se possa suspeitar quando algo der errado, especialmente no software que mantém a segurança do sistema.
Uma maneira recomendada para detectar a presença de um rootkit é inicializar a partir de uma mídia alternativa, que é conhecida por ser limpa (por exemplo, um CD-ROM de backup ou resgate) e verificar o sistema suspeito. A vantagem deste método é que o rootkit não estará em execução (portanto, não poderá se ocultar) e os arquivos do sistema não serão ativamente violados.
Existem maneiras de detectar e (tentar) remover rootkits. Uma maneira é ter impressões digitais MD5 limpas dos arquivos originais do sistema para comparar as impressões digitais atuais dos arquivos do sistema. Este método não é muito confiável, mas é melhor que nada. O uso de um depurador de kernel é mais confiável, mas requer conhecimento aprofundado do sistema operacional. Até a maioria dos administradores de sistema raramente recorre a ele, especialmente quando existem bons programas gratuitos para detecção de rootkits, como o RootkitRevealer de Marc Russinovich. Se você for ao site dele, encontrará instruções detalhadas sobre como usar o programa.
Se você detectar um rootkit no seu computador, o próximo passo é se livrar dele (é mais fácil falar do que fazer). Com alguns rootkits, a remoção não é uma opção, a menos que você queira remover todo o sistema operacional! A solução mais óbvia - excluir arquivos infectados (desde que você saiba exatamente quais são camuflados) é absolutamente inaplicável, quando se trata de arquivos vitais do sistema. Se você excluir esses arquivos, é provável que você nunca consiga inicializar o Windows novamente. Você pode experimentar alguns aplicativos de remoção de rootkit, como UnHackMe ou F-Secure BlackLight Beta, mas não conte com eles demais para poder remover a praga com segurança.
Pode parecer uma terapia de choque, mas a única maneira comprovada de remover um rootkit é formatar o disco rígido e reinstalar o sistema operacional novamente (a partir de uma mídia de instalação limpa, é claro!). Se você tem uma idéia de onde você obteve o rootkit (ele foi empacotado em outro programa ou alguém o enviou por e-mail?), Nem pense em executar ou não é a fonte da infecção novamente!
Exemplos famosos de rootkits
Os rootkits estão em uso furtivo há anos, mas apenas até o ano passado, quando apareceram nas manchetes das notícias. O caso da Sony-BMG com sua tecnologia Digital Right Management (DRM) que protegia a cópia não autorizada de CD instalando um rootkit na máquina do usuário provocou fortes críticas. Houve ações judiciais e uma investigação criminal. A Sony-BMG teve que retirar seus CDs das lojas e substituir as cópias adquiridas por cópias limpas, de acordo com o caso. A Sony-BMG foi acusada de ocultar secretamente arquivos do sistema, na tentativa de ocultar a presença do programa de proteção contra cópia, que também costumava enviar dados privados para o site da Sony. Se o programa foi desinstalado pelo usuário, a unidade de CD ficou inoperante. De fato, esse programa de proteção de direitos autorais violava todos os direitos de privacidade, empregava técnicas ilegais típicas desse tipo de malware e, acima de tudo, deixava o computador da vítima vulnerável a vários tipos de ataques. Era típico de uma grande corporação, como a Sony-BMG, seguir o caminho arrogante primeiro afirmando que se a maioria das pessoas não sabia o que era um rootkit e por que eles se importariam de ter um. Bem, se não houvesse caras como Mark Roussinovich, que foi o primeiro a tocar o sino sobre o rootkit da Sony, o truque poderia ter funcionado e milhões de computadores teriam sido infectados - uma ofensa global na suposta defesa do intelectual de uma empresa propriedade!
Semelhante ao caso da Sony, mas quando não era necessário estar conectado à Internet, é o caso do Norton SystemWorks. É verdade que os dois casos não podem ser comparados do ponto de vista ético ou técnico, porque, embora o rootkit do Norton (ou a tecnologia semelhante ao rootkit) modifique os arquivos do sistema Windows para acomodar a lixeira protegida do Norton, o Norton dificilmente pode ser acusado de intenções maliciosas de restringir direitos do usuário ou de se beneficiar do rootkit, como é o caso da Sony. O objetivo da camuflagem era esconder de todos (usuários, administradores, etc.) e de tudo (outros programas, o próprio Windows) um diretório de backup de arquivos que os usuários excluíram e que podem ser restaurados posteriormente a partir desse diretório de backup. A função da Lixeira Protegida era adicionar mais uma rede de segurança contra os dedos rápidos que primeiro excluem e depois pensam se eles excluíram o (s) arquivo (s) certo (s), fornecendo uma maneira adicional de restaurar arquivos que foram excluídos da Lixeira ( ou que contornaram a Lixeira).
Esses dois exemplos dificilmente são os casos mais graves de atividade de rootkit, mas vale a pena mencionar porque, atraindo a atenção para esses casos específicos, o interesse público foi atraído pelos rootkits como um todo. Felizmente, agora mais pessoas não apenas sabem o que é um rootkit, mas também se importam se têm um, além de poder detectá-lo e removê-lo!
