Wat is eigenlijk een rootkit?

G DATA Guidebook

Ze gaan zonder te worden opgemerkt systemen in en uit. Ze sluipen door de achterdeur binnen en smokkelen waardevolle gegevens naar buiten om ze op de zwarte markt te verkopen; ze stelen geld, creditcardgegevens en vertrouwelijke documenten - zonder dat het slachtoffer er iets van merkt. Iets dat klinkt als een misdaadverhaal op zondagavond, maar ook al lang een digitaal probleem is, is dat hackers complexe software gebruiken om toegang te krijgen tot de systemen van anderen en er in hun eentje in slagen om controle te krijgen over de computers van hun slachtoffers. De rootkit is de medeplichtige in dergelijke activiteiten. Die houdt de wacht en verhult het werk van de dader.

Hoe gevaarlijk zijn rootkits?

Het gevaar komt niet van de rootkit zelf, maar van de malware die deze probeert te verhullen. Een rootkit is dan ook geen malware in de klassieke definitie van het woord. Zijn specifieke capaciteiten liggen in het verbergen van bestanden en processen voor andere applicaties, het besturingssysteem en beveiligingssoftware. Het risico van een infectie met een rootkit is dan ook afhankelijk van wat de aanvallers van plan zijn te gaan doen en welke malware ze besluiten binnen te loodsen via de achterdeur die ze hebben opengebroken.

Wat betekenen “root” en “kit” in deze context?

Deze medeplichtige in codevorm dringt diep door in het besturingssysteem en wordt daar actief. Het woord 'root' verwijst dus naar de root-rechten die ook de naam van de superuser account dragen. Deze account is afkomstig uit de UNIX-wereld en wordt tijdens de installatie van het besturingssysteem ingesteld. Het is dus niet bedoeld voor dagelijks gebruik, maar voor alle administratieve taken die diep in het systeem - op "root"-niveau - moeten worden uitgevoerd. De "kit" betekent aan de andere kant dat het een verzameling van software tools is. Letterlijk gezien is een rootkit dus zoiets als een toolkit voor beheerders.

Hoe werkt een rootkit?

Met deze toolkit kunnen cybercriminelen zonder te worden opgemerkt inloggen op de computer en beheerfuncties uitvoeren. De rootkit voorkomt dat de gebruiker enig teken van illegale toegang op de computer opmerkt. Berichten aan de criminelen worden op de computer vermomd, evenals de bijbehorende bestanden en processen. De rootkit maakt het ook mogelijk gevaarlijke programma's te verbergen die bijvoorbeeld wachtwoorden, bedrijfsgeheimen, toetsenbord- en muisinvoer, creditcardgegevens en dergelijke bespioneren.

Hoe kan ik een infectie voorkomen?

  • Account: Gebruik altijd een gebruikersaccount wanneer u uw Windows-computer gebruikt. De admin-account mag nooit uw dagelijkse manier van toegang tot het systeem zijn. Deze account heeft minder barrières en beschermingsmechanismen tegen bedreigingen van het internet dan een gebruikersaccount, die beperkte rechten heeft.
     
  • Systeemupdates: Zorg ervoor dat het besturingssysteem (bijvoorbeeld Windows) altijd volledig up-to-date is en installeer altijd alle updates en patches.
     
  • Software-updates: Hetzelfde geldt voor geïnstalleerde programma's. Aangezien rootkits ook toegang kunnen krijgen tot het systeem via veiligheidslekken in programma's, moet u deze regelmatig dichten met behulp van de updates die regelmatig door de softwareproviders worden geleverd.
     
  • Beveiligingssoftware: Robuuste beveiligingssoftware is een must. Het moet veiligheidsmechanismen omvatten zoals gedragsmonitoring en andere proactieve technologieën.
     
  • Boot-CD: Een boot-CD scant het systeem wanneer het niet wordt gebruikt. Zo'n bootmedium analyseert de computer op een hele reeks malware, waaronder rootkits. Een boot-CD kan er niet zeker van zijn dat infectie met een rootkit wordt voorkomen. Het kan wel voorkomen dat malware zich zonder dat het wordt opgemerkt een weg baant naar de computer.
     
  • Rootkit-controle: Voor een rootkit-controle wordt het systeem in een specifieke staat gebracht en vervolgens gecontroleerd op rootkitbesmetting. Een rootkit is gemakkelijker te vinden in deze staat, omdat het zichzelf vermomt wanneer het systeem in werking is. Deze controle kan ook worden uitgevoerd met behulp van een boot-CD.
     
  • Alertheid: Net als de enorme verzameling malware, verspreiden rootkits zichzelf via opslagmedia, internet of e-mails. Wees hiervan bewust van door kritisch te zijn op USB-sticks en bijlagen van derden of links die u worden gestuurd door onbekende afzenders. Klik nooit op een link zonder na te denken en open alleen bestanden die er onschuldig uitzien, zoals PDF's, als u zeker weet dat u niet wordt misleid.
     
  • Oplettendheid: Laat uw computer of mobiele apparaten nooit ontgrendeld wanneer u ze niet gebruikt, vooral niet wanneer ze aan staan, of u nu even opstaat in het café of een ander boek haalt in de bibliotheek. Het instellen van sterke wachtwoorden biedt extra beveiliging, zodat onbevoegden niet op uw computer, tablet of smartphone kunnen inloggen, zelfs niet als ze één van uw apparaten in handen krijgen.

Wat voor verschillende rootkits zijn er?

Omdat een rootkit zoveel verschillende bestanden en processen kan verbergen, is een huidige rootkit niet meer hetzelfde als een oude rootkit. Elke variant gaat op een andere manier te werk en maakt gebruik van verschillende onderdelen van het systeem. De twee meest verspreide soorten rootkits zijn de user mode rootkit en de kernel mode rootkit. De kernel mode is de binnenste kern van een besturingssysteem. Hier worden de instellingen voor het laagste niveau opgegeven en alleen de beheerder heeft toegang tot dit deel van het systeem. Wanneer een rootkit zich hier nestelt, kunnen aanvallers de computer op afstand naar hartelust manipuleren. De user mode rootkit daarentegen, omvat aanzienlijk minder rechten en heeft daardoor minder invloed op het besturingssysteem. Het besturingssysteem kan op verschillende niveaus worden binnengedrongen, waarvan de diepte afhankelijk is van waar de rootkit zich bevindt. Complexe kernel rootkits zijn zeldzamer, maar tegelijkertijd zijn ze moeilijker te ontdekken en te verwijderen dan user mode rootkits.

Wat is een achterdeurfunctie?

Als criminelen zo'n rootkit op de computer weten te smokkelen, hebben ze al één voet in de deur. Als ze er ook in slagen om de wachtwoorden voor de computer te bespioneren en ze hebben de juiste malware, dan hebben ze de sleutel tot uw systeem in handen en kunnen ze het op elk gewenst moment overnemen. Als alle communicatie met de command server met de bescherming van een rootkit gebeurt, noemen de deskundigen dat vaak een "achterdeur" die is opengezet naar het systeem. Achterdeuren stellen hackers in staat om meer software te installeren of te starten, toegang te krijgen tot gegevens en instellingen te wijzigen.

Met de juiste wachtwoorden kunnen criminelen elke deur openen

Waar worden rootkits gebruikt?

Wat indringers kunnen doen met behulp van een rootkit is zeer verschillend. Een bekend voorbeeld van zo'n ongewenste gast op computers van derden is het Sony-schandaal. In 2005 kwam aan het licht dat Sony kopieerbescherming gebruikte op diverse muziek-cd's waarin een soort rootkit was verstopt. Deze rootkit manipuleerde de besturingssystemen van gebruikers om te voorkomen dat cd's werden gekopieerd. Antivirus- en antispywaresoftware detecteerden dit programma niet. Bovendien stuurde de software heimelijk de privé-luistergewoontes van de gebruikers naar Sony - allemaal onder de bescherming van de rootkit. Sony heeft daardoor niet alleen een enorme kennis van de gebruikers opgedaan, maar ook een groot schandaal veroorzaakt. In plaats van het auteursrecht te beschermen, heeft Sony de gegevensbescherming ernstig geschonden - en mogelijk het voor hackers gemakkelijker gemaakt om binnen te komen door op deze manier geopende beveiligingslekken.

Hoe ontdek ik een rootkit en wat is een rootkit-scan?

Of de deuren van uw computer nog goed gesloten zijn, kunt u niet met het blote oog zien. Bovendien worden rootkits zelden gedetecteerd door verdacht gedrag van de computer. Beveiligingssoftware kan hier technische ondersteuning bieden met een speciale rootkit-controle. Een dergelijke bescherming tegen rootkits is inbegrepen in de meeste beveiligingssoftwarepakketten. De rootkit-controle, ook wel rootkit-scan genoemd, wordt op een bepaalde manier uitgevoerd: Omdat rootkits zich actief beschermen tegen detectie op een actief systeem, kunnen ze bijna alleen worden gedetecteerd als het systeem in een specifieke staat wordt gebracht. Het is de enige manier waarmee de harde schijf waarop het systeem draait met succes kan worden gecontroleerd op rootkits.

Hoe kan ik een rootkit verwijderen?

Speciale boot-CD's helpen bij het detecteren van rootkits. G DATA beveiligingsoplossingen bieden de mogelijkheid om een op Linux-gebaseerde opstart-CD te maken die kan worden gebruikt om de computer op afstand op te starten vanaf het geïnstalleerde besturingssysteem. Het systeem kan worden gescand door de virusscanner op de CD in een toestand waarin de rootkit die mogelijk aanwezig is op de harde schijf niet actief is en dus gemakkelijker kan worden ontdekt. In deze staat is de vermommende functie ineffectief en wordt het masker van de rootkit verwijderd - samen met dat van zijn criminele handlangers.