Rootkit – defintion och förklaring
Ett rootkit är en sorts skadlig programvara som är utformad för att ge hackers tillträde till och kontroll över målets enhet. Även om merparten av alla rootkits påverkar mjukvaran och operativsystemet finns det också de som kan infektera datorers hårdvara och fasta programvara. Rootkits är byggda för att dölja sin närvaro, men förblir aktiva medan de gömmer sig.
När ett rootkit fått otillåtet tillträde till datorer kan cyberbrottslingar stjäla personuppgifter och ekonomisk information, installera skadlig programvara eller använda datorn som en del i ett botnät för att skicka skräppost och delta i DDoS-attacker (”distributed denial of service”).
Namnet ”rootkit” kommer från operativsystemen Unix och Linux, där den kontoadministratör med flest befogenheter kallas ”the root” (roten). De applikationer på enheten som icke autentiserad root- eller administratör har tillgång till kallas ”kit”.
Vad är ett rootkit?
Ett rootkit-program används av cyberbrottslingar för att ta kontroll över målets maskin eller nätverk. Rootkits kan ibland vara en enskild programvara, men består ofta av en samling verktyg som låter hackers skaffa sig kontroll över enheten på administratörsnivå.
Hackers har ett antal metoder för hur de kan installera rootkits på offrens maskin:
- Den valigaste metoden är genom nätfiske eller någon annan sorts social manipuleringsattack. Offren laddar ovetande ner och installerar skadlig programvara som gömmer sig i andra processer de kör på sin dator och ger hackers kontroll över så gott som varje aspekt av operativsystemet.
- En annan metod är att utnyttja en sårbarhet – alltså en svaghet i programvaran eller operativsystemet som inte uppdaterats – för att forcera in rootkitet i datorn.
- Skadlig programvara kan vara hoppackad med andra filer, såsom infekterade PDF-filer, piratmedia eller appar som införskaffats på icke trovärdiga tredjepartsbutiker.
Rootkits arbetar nära eller inom operativ systemet, vilket ger dem möjligheten att utföra kommandon på datorn. Allt som använder ett operativsystem är sårbart för rootkits, vilket kan innefatta föremål såsom ditt kylskåp eller din termostat, allteftersom sakernas internet växer sig större.
Rootkits kan innehålla tangentborsloggare som utan ditt samtycke registrerar vilka tangenter du trycker på. Detta gör det lätt för cyberbrottslingar att själa din personliga information, såsom betalkortsnummer eller internetbankuppgifter. Rootkits gör att hackers kan använda din dator för att utföra DDoS-attacker eller skicka ut skräppost. De kan även stänga av säkerhetsprogram.
Det finns rootkits som kan användas för legitima ändamål – till exempel ge IT-support på distans eller för att hjälpa brottsbekämpande organ. Men för det mesta används de för brottsliga ändamål. Det som gör rootkits så farliga är alla de typer av skadlig programvara de kan innehålla. Dessa kan manipulera datorns operativsystem och ge fjärranvändare tillgång till administratörsprivilegier.
Typer av rootkits
1. Rootkits för hårdvara eller fast programvara
Rootkits för hårdvara eller fast programvara kan påverka din hårddisk, din router eller system-BIOS, alltså den programvara som är installerad på ett litet minneschipp i datorns moderkort. De riktar inte in sig på ditt operativsystem. Istället angriper de den fasta programvaran på din enhet för att installera skadlig programvara som är svår att upptäcka. Eftersom de påverkar hårdvaran gör de att hackers kan registrera vilka tangenter du trycker på, samt granska din aktivitet online. Även om de är mer ovanliga än vissa andra typer utgör rootkits för hårdvara och fast programvara ett allvarligt hot mot din onlinesäkerhet.
2. Bootloader-rootkit
Bootloader-mekanismen ansvarar för att ladda datorns operativsystem. Bootloader-rootkits angriper detta system och ersätter datorns vanliga bootloader med en hackad version. Detta aktiverar rootkitet redan innan din dators operativsystem laddat klart.
3. Minnesrootkits
Minnesrootkits gömmer sig i din dators RAM-minne och använder datorns resurser för utföra skadliga aktiviteter i bakgrunden. Minnesrootkits påverkar din dators RAM-minnesprestanda. Eftersom de vara bor i din dators RAM-minne och inte lägger till permanent kod försvinner rootkitet så snart du startar om systemet – även om det inbland krävs ytterligare steg för att bli av med dem. Deras korta livslängd gör att de inte brukar anses utgöra något större hot.
4. Applikationsrootkit
Applikationsrootkits ersätter standardfiler i din dator med rootkitfiler och kan till och med ändra hur standardapplikationer fungerar. Dessa rootkits infekterar program såsom Microsoft Office, Anteckningar och Paint. Angriparna kan få tillgång till din dator varenda gång du kör ett av dessa program. Eftersom de infekterade programen körs som vanligt är det ofta svårt för användare att upptäcka rootkits, men antivirusprogram kan detektera dem eftersom de är verksamma i olika applikationslager.
5. Kärnlägesrootkits
Kärnlägesrootkits är bland de allvarligaste varianterna av detta hot eftersom de angriper själva kärnan i ditt operativsystem (alltså på kärnnivå). Hackers använder dem inte bara för att komma åt filer i din dator, utan även ändra operativsystemets funktionalitet genom att lägga till sin egen kod.
6. Virtuella rootkits
Ett virtuellt rootkit laddar in sig själv under datorns operativsystem. Det agerar sedan värd för offrets operativsystem som en virtuell maskin, vilket gör att det kan stoppa anrop till hårdvaran från det ursprungliga operativsystemet. Denna sortens rootkit behöver inte modifiera kärnan för att undergräva operativsystemet och kan vara väldigt svårt att upptäcka.
Exempel på rootkits
Stuxnet
Ett av de mest ökända rootkiten någonsin är Stuxnet, en skadlig datormask som upptäcktes 2010 och som man tror varit under utveckling sedan 2005. Stuxnet orsakade stor skada för Irans kärnkraftsprogram. Många tror att det är ett cybervapen som utvecklats genom ett samarbete mellan USA och Israel som kallades Olympic Games (olympiska spelen). Inget av länderna har tagit på sig ansvaret.
Andra kända exempel på rootkits:
Flame
2012 upptäckte cybersäkerhetsexperter Flame, ett rootkit som främst användes för cyberspionage i Mellanöstern. Flame – även känt som Flamer, sKyWIper och Skywiper – påverkar datorers hela operativsystem, vilket gör att det kan övervaka trafik, ta skärmbilder och göra ljudinspelningar, samt registrera vilka tangenter som används på enheten. De hackers som ligger bakom Flame har inte kunnat identifieras, men den efterforskning som gjorts indikerar att de använde 80 servrer på tre kontinenter för att infektera datorer.
Necurs
2012 dök Necurs upp som ett rootkit och ska enligt uppgift ha upptäckts i 83 000 infektioner det året. Necrus har kopplingar till elitcyberbrottslingar i Östeuropa och anses sticka ut tack vare sin tekniska komplexitet och förmåga att utvecklas.
ZeroAccess
2011 upptäckte cybersäkerhetsexperter ZeroAccess ett kärnlägesrootkit som infekterat mer än 2 miljoner datorer runt om i världen. Istället för att direkt påverka funktionaliteten i den dator det infekterat laddar detta rootkit ner och installerar farlig programvara på den infekterade maskinen och gör den till del av ett globalt botnät som hackers använder för att utföra cyberattacker. ZeroAccess används aktivt idag.
TDSS
Rootkitet TDSS upptäcktes för första gången 2008. Det påminner om bootloader-rootkits eftersom det laddas och körs i operativsystemets tidiga skeden, vilket gör det svårt att upptäcka och ta bort det.
Hur upptäcker man rootkits?
Att upptäcka ett rootkit i en dator kan vara svårt eftersom denna sortens skadliga programvara är specifikt utformad för att gömma sig. Rootkits kan också stänga av säkerhetsprogram, vilket gör det hela ännu svårare. Detta leder till att skadliga rootkit-program kan ligga kvar på din dator länge och orsaka skada.
Tecken på att din dator infekterats av ett rootkit:
1. Blåskärm
En stor mäng felmeddelanden i Windows eller blåa skärmar med vit text (ibland kallad ”blue screen of death”, eller ”den blå dödsskärmen”) som leder till att datorn ständigt måste startas om.
2. Ovanligt webbläsarbeteende
Detta kan vara bokmärken du inte känner igen eller länkar som omdirigerar.
3. Långsam enhetsprestanda
Din enhet tar ett tag att starta och arbetar långsamt eller fryser ibland. Den kan också bli mindre responsiv för tangentbords- och muskommandon.
4. Windowsinställningar ändras utan tillåtelse
Exempel på detta är att din skärmsläckare ändras, aktivitetsfältet gömmer sig eller att fel datum och tid visas när du inte ändrat på något.
5. Webbsidor fungerar inte som de ska
Webbsidor och nätverksaktivitet verkar fungera stegvist eller inte som de ska på grund av stora mängder nätverkstrafik.
En skanning efter rootkits kan vara det bästa sättet att upptäcka dem. Detta är något du kan påbörja med din antiviruslösning. Om du misstänker att du drabbats av ett rootkitvirus är en metod att stänga av datorn och köra skanningen från ett system du vet är rent.
Beteende analys är ett annat sätt att upptäcka rootkits. Detta innebär att istället för att leta efter ett rootkit letar du efter beteenden typiska för rootkits. Målinriktade skanningar fungerar bra om du vet att systemet beter sig konstigt, men beteendeanalyser kan synliggöra ett rootkit innan du ens inser att du blivit angripen.
Hur blir man av med ett rootkit?
Att bli av med ett rootkit är en komplicerad process som ofta kräver specialverktyg, till exempel TDSSKiller utility from Kaspersky som kan upptäcka och ta bort TDSS-rootkits. Ibland är det enda sättet att helt bli av med ett väl gömt rootkit att helt ta bort din dators operativsystem och bygga upp det från grunden.
Hur man tar bort ett rootkit från Windows
Att ta bort ett rootkit på Windows innefattar ofta en skanning. Om infektionen är djupt sittande är det enda sättet att bli av med rootkitet att ominstallera Windows. Det är bättre att göra detta genom en extern medieenhet och inte den inbyggda Windows-installatören. En del rootkits infekterar BIOS:en, vilket kräver reparation för att åtgärda. Om rootkitet sitter kvar efter reparationen kan du behöva köpa en ny dator.
Hur man tar bort ett rootkit från Mac
Om man har en Mac gäller det att hänga med i de nya uppdateringarna. Mac-uppdateringar lägger inte bara till nya funktioner – de tar också bort skadlig programvara, inklusive rootkits. Apple har inbyggda säkerhetsfunktioner som skyddar mot skadlig programvara. Det finns dock inga kända rootkit-detektorer på macOS, så om du misstänker att din enhet drabbats av ett rootkit bör du ominstallera macOS. Detta tar bort de flesta apparna och rootkits från din maskin. Liksom skrevs ovan, om rootkitet har infekterat BIOS:en krävs reparation för att åtgärda detta – och om rootkitet ligger kvar kan du behöva köpa en ny enhet.
Så här förhindrar du rootkits
Eftersom rootkits kan vara farliga och svåra att upptäcka är det viktigt att vara vaksam när man surfar på internet eller laddar ner program. Många av de skyddsåtgärder du tar till för att skydda datorn mot virus hjälper också minimera risken för rootkits:
1. Använd en heltäckande cybersäkerhetslösning
Var proaktivt när det gäller att säkra dina enheter och installera en heltäckande och avancerad antiviruslösning. Kaspersky Premium ger fullskaligt skydd mot cyberhot och har också en funktion för skannande efter rootkits.
2. Håll dig uppdaterad
Att kontinuerligt uppdatera programvara är viktigt för att skydda datorn och hindra hackare från att infektera den med skadliga maskinvara. Håll alla program och ditt operativsystem uppdaterat för att undvika rootkit-attacker som utnyttjar sårbarheter.
3. Se upp för nätfiske
Nätfiske är en sorts social manipulationsattack där bedragare använder e-post för att lura användare att lämna ifrån sig ekonomisk information eller ladda ner skadlig programvara, till exempel rootkits. För att hindra rootkit från att infiltrera din dator, öppna inga suspekta mail, framförallt inte om du inte känner igen avsändaren. Klicka inte på en länk om du är osäker på om du kan lita på den.
4. Ladda endast hem filer från betrodda källor
Var försiktig med att öppna bilagor och undvik att öppna bilagor från personer du inte känner för att se till att rootkits inte installeras på din dator. Ladda endast ner programvara från betrodda sidor. Ignorera inte webbläsarens varningar när den säger att den webbplats du försöker besöka inte är säker.
5. Var vaksam vad gäller din dators beteende och prestanda
Beteendeproblem kan vara tecken på att ett rootkit körs. Var vaksam vad gäller oväntade förändringar och försök ta reda på varför dessa sker.
Rootkits är en av de svåraste typerna av skadlig programvara att hitta och bli av med. Eftersom det är svåra att upptäcka är förebyggande åtgärder ota det bästa försvaret. För att säkerställa att du har kontinuerligt skydd bör du fortsätta läsa om de senaste cybersäkerhetshoten.
Relaterade artiklar:
- Vad är nätfiske?
- Typer av skadlig programvara
- Vem skapar skadlig programvara?
- Vad är ett trojanskt virus?
Rekommenderade produkter: