Rootkit là gì? Rootkit hoạt động như thế nào? Rootkit giải thích.

Mặc dù có thể ẩn phần mềm độc hại theo cách có thể đánh lừa ngay cả các sản phẩm chống vi-rút / chống phần mềm gián điệp truyền thống, nhưng hầu hết các chương trình phần mềm độc hại đã sử dụng rootkit để ẩn sâu trên PC Windows của bạn … và chúng ngày càng nguy hiểm hơn! Rootkit DL3(DL3) là một trong những rootkit tiên tiến nhất từng thấy trong tự nhiên . Bộ rootkit ổn định và có thể lây nhiễm sang hệ điều hành Windows 32 bit ; mặc dù quyền quản trị viên là cần thiết để cài đặt sự lây nhiễm trong hệ thống. Nhưng TDL3 hiện đã được cập nhật và bây giờ có thể lây nhiễm sang Windows phiên bản 64-bit(even 64-bit versions  Windows) !

Rootkit là gì

vi-rút

Virus Rootkit là một loại phần mềm độc hại tàng hình  được thiết kế để che giấu sự tồn tại của một số quy trình hoặc chương trình nhất định trên máy tính của bạn khỏi các phương pháp phát hiện thông thường, để cho phép nó hoặc một quy trình độc hại khác có đặc quyền truy cập vào máy tính của bạn.

Rootkit dành cho Windows(Rootkits for Windows) thường được sử dụng để ẩn phần mềm độc hại, chẳng hạn như chương trình chống vi-rút. Nó được sử dụng cho các mục đích độc hại bởi vi-rút, sâu, cửa hậu và phần mềm gián điệp. Virus kết hợp với rootkit tạo ra thứ được gọi là virus ẩn toàn bộ. Rootkit phổ biến hơn trong lĩnh vực phần mềm gián điệp và hiện nay chúng cũng được các tác giả vi rút sử dụng phổ biến hơn.

Hiện nay chúng là một loại Super Spyware mới nổi , ẩn chứa hiệu quả và tác động trực tiếp đến nhân hệ điều hành. Chúng được sử dụng để che giấu sự hiện diện của đối tượng độc hại như trojan hoặc keylogger trên máy tính của bạn. Nếu một mối đe dọa sử dụng công nghệ rootkit để che giấu thì rất khó tìm thấy phần mềm độc hại trên PC của bạn.

Bản thân rootkit không nguy hiểm. Mục đích duy nhất của chúng là che giấu phần mềm và các dấu vết để lại trong hệ điều hành. Cho dù đây là phần mềm bình thường hay các chương trình phần mềm độc hại.

Về cơ bản có ba loại Rootkit khác nhau . Loại đầu tiên, " Kernel Rootkit(Kernel Rootkits) " thường thêm mã riêng của chúng vào các phần của lõi hệ điều hành, trong khi loại thứ hai, " User-mode Rootkit(User-mode Rootkits) " được nhắm mục tiêu đặc biệt cho Windows để khởi động bình thường trong quá trình khởi động hệ thống, hoặc được tiêm vào hệ thống bằng cái gọi là "Dropper". Loại thứ ba là MBR Rootkit hoặc Bootkit(MBR Rootkits or Bootkits) .

Khi bạn phát hiện thấy AntiVirus & AntiSpyware của mình bị lỗi , bạn có thể cần đến sự trợ giúp của Tiện ích Anti-Rootkit tốt(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer từ Microsoft Sysinternals là một tiện ích phát hiện rootkit nâng cao. Đầu ra của nó liệt kê sự khác biệt về API hệ thống tệp và đăng ký(Registry) có thể cho thấy sự hiện diện của rootkit chế độ người dùng hoặc chế độ hạt nhân.

Báo cáo về mối đe dọa của Trung tâm bảo vệ phần mềm độc hại của Microsoft(Microsoft Malware Protection Center Threat Report) về  Rootkit(Rootkits)

Trung tâm Bảo vệ Phần mềm độc hại của Microsoft(Microsoft Malware Protection Center) đã có sẵn để tải xuống Báo cáo Đe dọa(Threat Report) trên Rootkit(Rootkits) . Báo cáo xem xét một trong những loại phần mềm độc hại ngấm ngầm đe dọa các tổ chức và cá nhân ngày nay - rootkit. Báo cáo kiểm tra cách những kẻ tấn công sử dụng rootkit và cách rootkit hoạt động trên các máy tính bị ảnh hưởng. Đây là ý chính của báo cáo, bắt đầu với Rootkit(Rootkits) là gì - dành cho người mới bắt đầu.

Rootkit là một bộ công cụ mà kẻ tấn công hoặc người tạo phần mềm độc hại sử dụng để giành quyền kiểm soát bất kỳ hệ thống bị lộ / không bảo mật nào thường được dành cho quản trị viên hệ thống. Trong những năm gần đây, thuật ngữ 'ROOTKIT' hoặc 'ROOTKIT FUNCTIONICAL' đã được thay thế bằng MALWARE - một chương trình được thiết kế để gây ra các tác dụng không mong muốn trên một máy tính khỏe mạnh. Chức năng chính của phần mềm độc hại là rút dữ liệu có giá trị và các tài nguyên khác từ máy tính của người dùng một cách bí mật và cung cấp cho kẻ tấn công, do đó cho phép hắn kiểm soát hoàn toàn máy tính bị xâm nhập. Hơn nữa, chúng rất khó phát hiện và loại bỏ và có thể ẩn trong thời gian dài, có thể là nhiều năm, nếu không được chú ý.

Vì vậy, một cách tự nhiên, các triệu chứng của một máy tính bị xâm nhập cần phải được che giấu và xem xét trước khi kết quả chứng minh là gây tử vong. Đặc biệt, các biện pháp an ninh nghiêm ngặt hơn cần được thực hiện để phát hiện ra cuộc tấn công. Tuy nhiên, như đã đề cập, khi các rootkit / phần mềm độc hại này được cài đặt, khả năng ẩn của nó sẽ khiến việc xóa nó và các thành phần mà nó có thể tải xuống rất khó khăn. Vì lý do này, Microsoft đã tạo một báo cáo về ROOTKITS .

Báo cáo dài 16 trang phác thảo cách kẻ tấn công sử dụng rootkit và cách các rootkit này hoạt động trên các máy tính bị ảnh hưởng.

Mục đích duy nhất của báo cáo là xác định và kiểm tra chặt chẽ phần mềm độc hại có khả năng đe dọa nhiều tổ chức, người dùng máy tính nói riêng. Nó cũng đề cập đến một số họ phần mềm độc hại phổ biến và làm sáng tỏ phương pháp mà những kẻ tấn công sử dụng để cài đặt các rootkit này cho các mục đích ích kỷ của chúng trên các hệ thống lành mạnh. Trong phần còn lại của báo cáo, bạn sẽ thấy các chuyên gia đưa ra một số khuyến nghị để giúp người dùng giảm thiểu mối đe dọa từ rootkit.

Các loại Rootkit

Có nhiều nơi phần mềm độc hại có thể tự cài đặt vào hệ điều hành. Vì vậy, hầu hết loại rootkit được xác định bởi vị trí của nó nơi nó thực hiện lật ngược đường dẫn thực thi. Điêu nay bao gôm:

  1. Chế độ người dùng Rootkit
  2. Bộ công cụ gốc ở chế độ hạt nhân
  3. MBR Rootkit / bootkit

Ảnh hưởng có thể có của sự xâm phạm rootkit ở chế độ nhân được minh họa qua ảnh chụp màn hình bên dưới.

Loại thứ ba, sửa đổi Master Boot Record để giành quyền kiểm soát hệ thống và bắt đầu quá trình tải điểm sớm nhất có thể trong trình tự khởi động3. Nó ẩn các tệp, sửa đổi sổ đăng ký, bằng chứng về các kết nối mạng cũng như các chỉ báo có thể có khác có thể chỉ ra sự hiện diện của nó.

Các họ phần mềm độc hại(Malware) đáng chú ý sử dụng chức năng Rootkit

  • Win32/Sinowal 13 - Một họ phần mềm độc hại gồm nhiều thành phần cố gắng lấy cắp dữ liệu nhạy cảm như tên người dùng và mật khẩu cho các hệ thống khác nhau. Điều này bao gồm việc cố gắng đánh cắp chi tiết xác thực cho nhiều tài khoản FTP , HTTP và email, cũng như thông tin đăng nhập được sử dụng cho ngân hàng trực tuyến và các giao dịch tài chính khác.
  • Win32/Cutwail 15 - Một loại Trojan tải xuống và thực thi các tệp tùy ý. Các tệp đã tải xuống có thể được thực thi từ đĩa hoặc được đưa trực tiếp vào các quy trình khác. Mặc dù chức năng của các tệp đã tải xuống có thể thay đổi, nhưng Cutwail thường tải xuống các thành phần khác gửi thư rác. Nó sử dụng bộ rootkit chế độ hạt nhân và cài đặt một số trình điều khiển thiết bị để ẩn các thành phần của nó khỏi những người dùng bị ảnh hưởng.
  • Win32/Rustock  - Một họ Trojan cửa hậu hỗ trợ rootkit ban(Trojans) đầu được phát triển để hỗ trợ việc phát tán email “thư rác” thông qua mạng botnet(botnet) . Mạng botnet là một mạng lưới máy tính bị tấn công lớn do kẻ tấn công kiểm soát.

Bảo vệ chống lại rootkit

Ngăn chặn việc cài đặt rootkit là phương pháp hiệu quả nhất để tránh bị rootkit lây nhiễm. Đối với điều này, cần phải đầu tư vào các công nghệ bảo vệ như các sản phẩm chống vi-rút và tường lửa. Các sản phẩm như vậy nên thực hiện một cách tiếp cận toàn diện để bảo vệ bằng cách sử dụng phát hiện dựa trên chữ ký truyền thống, phát hiện theo kinh nghiệm, khả năng chữ ký động và đáp ứng và giám sát hành vi.

Tất cả các bộ chữ ký này phải được cập nhật bằng cơ chế cập nhật tự động. Các giải pháp chống vi-rút của Microsoft(Microsoft) bao gồm một số công nghệ được thiết kế đặc biệt để giảm thiểu rootkit, bao gồm giám sát hành vi hạt nhân trực tiếp để phát hiện và báo cáo về nỗ lực sửa đổi hạt nhân của hệ thống bị ảnh hưởng và phân tích cú pháp hệ thống tệp trực tiếp để tạo điều kiện xác định và loại bỏ các trình điều khiển ẩn.

Nếu hệ thống bị phát hiện bị xâm phạm thì một công cụ bổ sung cho phép bạn khởi động vào một môi trường tốt hoặc đáng tin cậy đã biết có thể tỏ ra hữu ích vì nó có thể đề xuất một số biện pháp khắc phục thích hợp.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Trong hoàn cảnh như vậy,

  1. Công cụ quét hệ thống độc lập(Standalone System Sweeper) (một phần của Bộ công cụ phục hồi(Recovery Toolset)chẩn đoán (Diagnostics)Microsoft ( DaRT )
  2. Bộ bảo vệ(Defender Offline) Windows Ngoại tuyến có thể hữu ích.

Để biết thêm thông tin, bạn có thể tải xuống báo cáo PDF từ (PDF)Trung tâm Tải xuống của Microsoft.(Microsoft Download Center.)



Thái Mạnh

About the author

Tôi là nhà tư vấn công nghệ với hơn 10 năm kinh nghiệm trong lĩnh vực phần mềm. Tôi chuyên về Microsoft Office, Edge và các công nghệ liên quan khác. Tôi đã làm việc trong nhiều dự án khác nhau cho cả các công ty lớn và nhỏ, và tôi cực kỳ am hiểu về các nền tảng và công cụ khác nhau hiện nay.


Related posts