Hva er et rootkit – definisjon og forklaring

Definisjon og betydning av rootkit

Et rootkit er en type skadelig programvare designet for å gi hackere tilgang til og kontroll over en målenhet. Selv om de fleste rootkits påvirker programvaren og operativsystemet, kan noen også smitte datamaskinens maskinvare og fastvare. Rootkits er dyktige i å skjule sin tilstedeværelse, men mens de forblir skjulte, er de aktive.

Når de får uautorisert tilgang til datamaskiner, lar rootkits cyberkriminelle stjele personopplysninger og økonomisk informasjon, installere skadelig programvare eller bruke datamaskiner som en del av et botnett for å sirkulere spam og delta i DDoS-angrep (distribuert denial of service).

Navnet «rootkit» stammer fra operativsystemene Unix og Linux, der den mest privilegerte kontoadministratoren kalles «root». Applikasjonene som tillater uautorisert tilgang på enheten på rot- eller adminnivå er kjent som «kitet».

Hva er rootkit?

Et rootkit er programvare som brukes av nettkriminelle for å få kontroll over en måldatamaskin eller nettverk. Rootkits kan noen ganger være enkeltprogramvare, men består ofte av en samling verktøy som gir hackere kontroll på administrasjonsnivå over målenheten.

Hackere installerer rootkits på målmaskiner på flere måter:

1. Den vanligste er gjennom phishing eller en annen type sosial manipulering. Ofrene laster uvitende ned og installerer skadelig programvare som gjemmer seg i andre prosesser som kjører på maskinene sine, og som gir hackerne kontroll over nesten alle aspekter av operativsystemet.
2. En annen måte er å utnytte en sårbarhet – det vil si en svakhet i programvare eller et operativsystem som ikke er oppdatert – og å tvinge rootkitet på datamaskinen.
3. Skadelig programvare kan også leveres med andre filer, for eksempel infiserte PDF-filer, piratkopierte medier eller apper hentet fra mistenkelige tredjepartsbutikker.

Rootkits opererer nær eller i kjernen til operativsystemet, noe som gir dem muligheten til å utføre kommandoer på datamaskinen. Alt som bruker et operativsystem, er et potensielt mål for et rootkit – og ettersom Tingenes internett (IoT) utvides, kan dette omfatte gjenstander som kjøleskap eller termostat.

Rootkits kan skjule nøkkelloggere som fanger opp tastetrykkene dine uten ditt samtykke. Dette gjør det enkelt for nettkriminelle å stjele din personlige informasjon, for eksempel kredittkort eller nettbankinformasjon. Rootkits kan tillate hackere å bruke datamaskinen din til å starte DDoS-angrep eller sende ut spam-e-post. De kan til og med deaktivere eller fjerne sikkerhetsprogramvare.

Noen rootkits brukes til legitime formål – for eksempel for å gi ekstern IT-støtte eller bistå politiet. For det meste brukes de imidlertid til ondsinnede formål. Det som gjør rootkits så farlige, er de forskjellige former for malware de kan levere, som kan manipulere datamaskinens operativsystem og gi eksterne brukere administratortilgang.

Typer rootkits

1. Maskinvare- eller firmwarerootkit

Maskinvare- eller firmwarerootkit kan påvirke harddisken, ruteren eller systemets BIOS, som er programvaren som er installert på en liten minnebrikke på datamaskinens hovedkort. I stedet for å målrette operativsystemet ditt, målretter de fastvaren til enheten din for å installere skadelig programvare som er vanskelig å oppdage. Fordi de påvirker maskinvaren, tillater de hackere å logge tastetrykkene dine, samt overvåke nettaktivitet. Selv om de er mindre vanlige enn andre typer, er rootkits for maskinvare eller firmware en alvorlig trussel mot nettsikkerheten.

2. Bootloader-rootkit

Bootloader-mekanismen er ansvarlig for å laste operativsystemet inn på en datamaskin. Bootloader-rootkits angriper dette systemet, og erstatter datamaskinens legitime bootloader med en hacket bootloader. Dette aktiverer rootkitet selv før datamaskinens operativsystem er fullastet.

3. Minne-rootkit

Minne-rootkits gjemmer seg i datamaskinens RAM (minne) og bruker datamaskinens ressurser til å utføre ondsinnede aktiviteter i bakgrunnen. Minne-rootkits påvirker datamaskinens RAM-ytelse. Fordi de bare befinner seg i datamaskinens RAM og ikke injiserer permanent kode, forsvinner minne-rootkits så snart du starter systemet på nytt – selv om det noen ganger er behov for ytterligere arbeid for å bli kvitt dem. Den korte levetiden deres betyr at de ikke pleier å bli oppfattet som en betydelig trussel.

4. Applikasjonsrootkit

Applikasjonsrootkits erstatter standardfiler på datamaskinen din med rootkit-filer og kan til og med endre måten standardapplikasjoner fungerer på. Disse rootkitsene infiserer programmer som Microsoft Office, Notepad eller Paint. Angripere kan få tilgang til datamaskinen din hver gang du kjører disse programmene. Fordi de infiserte programmene fremdeles kjører normalt, er rootkit-deteksjon vanskelig for brukere – men antivirusprogrammer kan oppdage dem siden de begge opererer på applikasjonslaget.

5. Kjernemodusrootkits

Kjernemodusrootkits er blant de alvorligste typene av denne trusselen, da de retter seg mot selve kjernen i operativsystemet ditt (dvs. kjernenivået). Hackere bruker dem ikke bare for å få tilgang til filene på datamaskinen din, men også for å endre funksjonaliteten til operativsystemet ditt ved å legge til sin egen kode.

6. Virtuelle rootkits

Et virtuelt rootkit laster seg inn under datamaskinens operativsystem. Det er deretter vert for måloperativsystemene som en virtuell maskin, som lar den fange opp maskinvareanrop fra det opprinnelige operativsystemet. Denne typen rootkit trenger ikke å endre kjernen for å undergrave operativsystemet og kan være veldig vanskelig å oppdage.

Rootkit-eksempler

Stuxnet

Et av de mest beryktede rootkits i historien er Stuxnet, en ondsinnet dataorm som ble oppdaget i 2010 og antas å ha vært under utvikling siden 2005. Stuxnet forårsaket betydelig skade på det kjernefysiske programmet i Iran. Selv om ingen av landene har innrømmet ansvar, antas det allment å være et nettvåpen som er skapt av USA og Israel i et samarbeid kjent som Olympic Games.

Andre bemerkelsesverdige eksempler på rootkits inkluderer:

Flame

I 2012 oppdaget eksperter på Internett Flame, et rootkit som hovedsakelig brukes til cyberspionasje i Midtøsten. Flame – også kjent som Flamer, sKyWIper og Skywiper – påvirker hele datamaskinens operativsystem, og gir den muligheten til å overvåke trafikk, fange skjermbilder og lyd og logge tastetrykk fra enheten. Hackerne bak Flame ble ikke funnet, men forskning antyder at de brukte 80 servere på tre kontinenter for å få tilgang til infiserte datamaskiner.

Necurs

I 2012 dukket Necurs opp som et rootkit og ble angivelig oppdaget i 83 000 infeksjoner det året. Necurs er assosiert med elitecyberkriminelle i Øst-Europa, og anses å skille seg ut på grunn av sin tekniske kompleksitet og evne til å utvikle seg.

ZeroAccess

I 2011 oppdaget eksperter på Internett ZeroAccess, et kjernemodusrootkit som infiserte mer enn 2 millioner datamaskiner over hele verden. I stedet for å direkte påvirke funksjonaliteten til den infiserte datamaskinen, laster og installerer dette rootkitet ned malware på den infiserte maskinen og gjør det til en del av et verdensomspennende botnett som brukes av hackere for å utføre nettangrep. ZeroAccess er i aktiv bruk i dag.

TDSS

I 2008 ble TDSS-rootkitet oppdaget for første gang. Dette ligner på bootloaderrootkits fordi det lastes og kjører i operativsystemets tidlige stadier – noe som gjør deteksjon og fjerning en utfordring.

Hvordan oppdage rootkits

Det kan være vanskelig å oppdage tilstedeværelsen av et rootkit på en datamaskin, da denne typen malware eksplisitt er utformet for å holde seg skjult. Rootkits kan også deaktivere sikkerhetsprogramvare, noe som gjør oppgaven enda vanskeligere. Som et resultat kan rootkit-malware forbli på datamaskinen i lang tid og forårsake betydelig skade.

Mulige tegn på rootkit-malware inkluderer:

1. Blå skjerm

Et stort volum med Windows-feilmeldinger eller blå skjerm med hvit tekst (noen ganger kalt «den blå skjermen»), mens datamaskinen din hele tiden trenger å starte på nytt.

2. Uvanlig atferd i nettleseren

Dette kan omfatte ukjente bokmerker eller omdirigering av lenker.

3. Treg ytelse på enheten

Enheten din kan ta litt tid å starte og fungere sakte eller fryse ofte. Det kan også hende at det ikke svarer på input fra musen eller tastaturet.

4. Windows-innstillinger endres uten tillatelse

Eksempler kan være skjermsparer som endres, at oppgavelinjen skjuler seg eller feil dato og klokkeslett vises – når du ikke har endret noe.

5. Nettsider fungerer ikke som de skal

Nettsider eller nettverksaktiviteter virker periodevis eller fungerer ikke ordentlig på grunn av overdreven nettverkstrafikk.

En rootkit-skanning er den beste måten å oppdage en rootkit-infeksjon, som antivirusløsningen din kan starte. Hvis du mistenker et rootkit-virus, er en måte å oppdage infeksjonen på å slå av datamaskinen og utføre skanningen fra et kjent rent system.

Atferdsanalyse er en annen metode for rootkit-deteksjon. Dette betyr at i stedet for å lete etter rootkit, ser du etter rootkit-lignende oppførsel. Mens målrettede skanninger fungerer bra hvis du vet at systemet oppfører seg merkelig, kan en atferdsanalyse varsle deg om et rootkit før du innser at du er under angrep.

Hvordan bli kvitt rootkit

Fjerning av et rootkit er en kompleks prosess og krever vanligvis spesialiserte verktøy, for eksempel TDSSKiller-verktøy fra Kaspersky, som kan oppdage og fjerne TDSS-rootkit. Noen ganger er den eneste måten å eliminere et godt skjult rootkit fullstendig på, å slette datamaskinens operativsystem og gjenoppbygge fra bunnen av.

Hvordan fjerne rootkit fra Windows

På Windows innebærer fjerning vanligvis å kjøre en skanning. Hvis det er en dyp infeksjon, er den eneste måten å fjerne rootkitet på, ved å installere Windows på nytt. Det er bedre å gjøre dette via en ekstern medieenhet i stedet for å bruke det innebygde Windows-installasjonsprogrammet. Noen rootkits infiserer BIOS, noe som vil kreve reparasjon for å fikse. Hvis du fremdeles har et rootkit etter en reparasjon, må du kanskje skaffe deg en ny PC.

Hvordan fjerne rootkit fra Mac

På en Mac, hold deg oppdatert om nye utgivelser. Mac-oppdateringer legger ikke bare til nye funksjoner – de fjerner også skadelig programvare, inkludert rootkits. Apple har innebygde sikkerhetsfunksjoner for å beskytte mot skadelig programvare. Imidlertid er det ingen kjente rootkit-detektorer på macOS, så hvis du mistenker et rootkit på enheten din, bør du installere macOS på nytt. Hvis du gjør det, fjernes de fleste apper og rootkits på maskinen din. Som ovenfor, hvis rootkitet har infisert BIOS, vil det kreve en reparasjon å fikse – og hvis rootkitet forblir, må du kanskje kjøpe en ny enhet.

Slik forhindrer du rootkits

Fordi rootkits kan være farlige og vanskelige å oppdage, er det viktig å være årvåken når du surfer på Internett eller laster ned programmer. Mange av de samme beskyttende tiltakene du tar for å unngå datavirus, bidrar også til å minimere risikoen for rootkits:

1. Bruk en omfattende cybersikkerhetsløsning

Vær proaktiv med å sikre enhetene dine, og installer en omfattende og avansert antivirusløsning. Kaspersky Total Security gir fullskala beskyttelse mot cybertrusler og lar deg også kjøre rootkit-skanninger.

2. Hold deg oppdatert

Pågående programvareoppdateringer er avgjørende for å være trygg og forhindre at hackere smitter deg med skadelig programvare. Hold alle programmer og operativsystemet oppdatert for å unngå rootkit-angrep som utnytter sårbarheter.

3. Vær oppmerksom på phishing-svindel

Phishing er en type sosial manipulasjon der svindlere bruker e-post for å lure brukere til å gi dem økonomisk informasjon eller laste ned skadelig programvare, for eksempel rootkits. For å forhindre at rootkits infiltrerer datamaskinen din, må du unngå å åpne mistenkelige e-poster, spesielt hvis avsenderen ikke er kjent for deg. Hvis du er usikker på om en lenke er pålitelig, ikke klikk på den.

4. Last bare ned filer fra pålitelige kilder

Vær forsiktig når du åpner vedlegg, og unngå å åpne vedlegg fra personer du ikke kjenner, for å forhindre at rootkits blir installert på datamaskinen din. Last ned programvare bare fra anerkjente nettsteder. Ikke se bort fra nettleserens advarsler når den forteller deg at et nettsted du prøver å besøke, er usikkert. 

5. Vær oppmerksom på datamaskinens oppførsel eller ytelse

Atferdsproblemer kan indikere at et rootkit er i drift. Vær oppmerksom på eventuelle uventede endringer, og prøv å finne ut hvorfor disse skjer.

Rootkits er en av de mest utfordrende typene malware å finne og fjerne. Fordi de er vanskelige å oppdage, er forebygging ofte det beste forsvaret. For å sikre kontinuerlig beskyttelse, fortsett å lære om de nyeste cybersikkerhetstruslene.

Relaterte artikler:

• Hva er en phishing-svindel?
• Typer skadelig programvare
• Hvem skaper skadelig programvare?
• Hva er et trojansk virus?