O que é um rootkit?

O significado e 5 tipos principais

Rootkit

Nem todas as ciberameaças são tão fáceis de detetar e remover como, por exemplo, os cavalos de Tróia (trojans). Na verdade, alguns são tão esquivos que mesmo o seu software de cibersegurança pode não conseguir detetá-los. Se o seu computador se tornou subitamente mais lento, se a memória RAM está constantemente ocupada, mesmo quando só tem um separador aberto no browser, ou se lhe aparece várias vezes o famoso “Blue Screen” (ecrã azul), o seu PC pode estar infetado com uma destas ameaças sorrateiras – um rootkit.

Sumário: Um Rootkit é um software ou uma coleção de programas criada com o intuito de dar a um hacker acesso e controlo sobre um dado dispositivo. Apesar de a maioria dos rootkits afetar o software e o sistema operativo, alguns deles também podem infetar o hardware e firmware do seu computador. Continue a ler para ficar a saber mais sobre os principais tipos de rootkits e as melhores formas de os remover.

Rootkit

O que é um Rootkit?

Um rootkit é um software usado por hackers para assumir o controlo sobre um dado computador ou rede. Apesar de poder por vezes aparecer como um software isolado, um rootkit é normalmente uma coleção de ferramentas que permite aos hackers aceder remotamente e com privilégios de administrador a uma dada máquina. Enquanto que os rootkits podem ser usados para o bem (por exemplo, permitindo oferecer suporte remoto), na maioria das vezes são usados para fins maliciosos. Todos eles deixam uma porta aberta que permite aos hackers fazer alterações ao sistema.

Apesar de existirem há mais de um quarto de século, sob uma forma ou outra, os rootkits tal como os conhecemos hoje em dia surgiram em meados dos anos 90, com o aparecimento dos rootkits de UNIX e os vírus silenciosos do DOS. Os primeiros rootkits para o Windows foram detetados ao virar do século, sendo os exemplos mais notáveis o Vanquish, que guardava as palavras-passe das vítimas, e o FU, que funcionava em modo kernel e era usado para alterar a própria estrutura do sistema, e não simplesmente as formas de acesso.

Hackers podem instalar rootkits na máquina-alvo de várias formas, mas a grande maioria envolve um ataque de phishing ou alguma outra forma de engenharia social. Deste modo, os utilizadores descarregam e instalam software malicioso inconscientemente e dão aos hackers controlo de quase todos os aspetos do sistema operativo. Na maioria dos casos, os rootkits atacam aplicações que correm em modo de utilizador, se bem que alguns atacam principalmente os componentes nucleares do sistema operativo em modo kernel, ou mesmo o firmware do computador (como por exemplo a BIOS).

Tal como fazem com muitos elementos de software legítimo, os rootkits são geralmente programados para desabilitar ou mesmo remover por completo qualquer software antivírus ou anti-malware que esteja instalado no computador infetado. Este problema era particularmente grave no passado, quando a maioria dos programas anti-malware era incapaz de detetar, monitorizar, e/ou travar um ataque de um rootkit. Desde então, as soluções de cibersegurança evoluíram, e, por isso, atualmente o melhor software antivírus consegue detetar e remover eficazmente rootkits do seu sistema.

Que tipos de Rootkits existem?

Existem vários tipos de rootkits, cada um atacando partes diferentes do computador. De uma maneira geral, quanto mais ao nível do núcleo está um rootkit, mais grave é o problema e mais difícil é de detetar. Enquanto que os rootkits que afetam o software são relativamente fáceis de gerir, aqueles que atacam os drivers, a memória e o sistema operativo são muito mais complicados.

Os cinco tipos mais comuns de rootkits são os seguintes:

  1. Rootkits ao Nível do Utilizador

Os rootkits ao nível do utilizador são os que estão mais longe do núcleo do computador, e afetam apenas o software. Por esse motivo, são também muito mais fáceis de detetar e remover do que quaisquer outros rootkits. Comummente apelidados de “rootkits de aplicação”, estes substituem os ficheiros executáveis de programas rotineiros tais como o Word, Excel, Paint ou Notepad. Como tal, de cada vez que o utilizador corre o ficheiro .exe da aplicação infetada, está a dar ao hacker acesso ao seu computador enquanto utiliza o programa como faria normalmente.

  1. Rootkits de Kernel

Ao contrário dos rootkits de aplicação, os rootkits de modo kernel estão entre os mais graves de todos, dado que atacam o núcleo, ou core, do sistema operativo. Os hackers usam-nos não só para aceder aos ficheiros no computador-alvo, mas também para alterar a funcionalidade do sistema operativo, adicionando o seu próprio código. Enquanto que estes rootkits podem alterar por completo a performance do sistema, ainda assim são mais fáceis de identificar e tratar do que outros tipos cujos efeitos vão mesmo além do sistema operativo.

  1. Rootkits ao Nível do Bootloader

Como o próprio nome indica, os rootkits de bootloader afetam o Master Boot Record (MBR) e/ou o Volume Boot Record (VBR) do sistema. Apesar de terem um impacto direto no sistema, estes rootkits associam-se a ficheiros do registo de inicialização (boot record) em vez de ficheiros comuns, o que os torna difíceis de detetar e remover. Ainda para mais, se um destes rootkits conseguir injetar código para o interior do MBR, pode danificar todo o sistema.

Felizmente, os rootkits ao nível do bootloader estão praticamente em vias de extinção. Com o lançamento do Windows 8 e do Windows 10, a maioria dos PCs têm agora a opção de Secure Boot (arranque seguro), que foi desenhada especialmente para combater rootkits de bootloader. Porém, máquinas que estejam a correr o Windows 7, quer seja a versão de 32-bits ou de 64-bits, podem continuar em risco.

  1. Rootkits de Memória

Os rootkits de memória escondem-se na memória RAM (Random Access Memory) do computador e consomem recursos para despoletar uma série de processos maliciosos que ficam a correr no background. Isto significa que os rootkits de memória, inevitavelmente, vão afetar a performance da RAM do seu computador. Apesar disto, estes rootkits são raramente vistos como uma ameaça séria, em grande parte por terem um tempo de vida muito curto. Dado que vivem na memória RAM e não injetam código permanente no computador, os rootkits de memória desaparecem assim que o sistema é reiniciado.

  1. Rootkits de Firmware

Apesar de serem mais raros quando comparados com outros tipos, os rootkits de firmware constituem uma séria ameaça à sua segurança online.Em vez de atacarem o sistema operativo, estes rootkits focam-se no firmware para instalar malware que mesmo os melhores programas anti-malware têm dificuldades em detetar. Os rootkits de firmware podem infetar o disco rígido, o router, ou mesmo a BIOS do sistema. Dado que afetam o hardware, estes permitem aos hackers não só monitorizar a atividade online do utilizador, mas também registar as teclas por ele pressionadas.

Exemplos de rootkits

Ao longo dos últimos 25 anos, inúmeros rootkits deixaram a sua marca na cibersegurança. Alguns deles eram legítimos, tal como aquele que foi lançado pela Sony em 2005 para melhorar a proteção contra cópia de CDs áudio, ou um semelhante lançado pela Lenovo em 2015 para instalar software impossível de remover nos seus novos computadores portáteis. Contudo, a maioria dos rootkits foi desenvolvida por hackers anónimos com o objetivo de comprometer os computadores das vítimas e obter informação sensível para seu ganho pessoal (maioritariamente económico).

Alguns dos exemplos mais notáveis de rootkits são os seguintes:

  • Em 2008, certas fações do crime organizado na China e Paquistão infetaram centenas de terminais de cartão de crédito destinados ao mercado da Europa Ocidental com rootkits de firmware. Estes rootkits foram programados para registar os dados do cartão de crédito das vítimas e enviá-los diretamente para um servidor situado no Paquistão. Os hackers por detrás deste esquema conseguiram, no total, roubar mais de 10 milhões de libras através da clonagem de cartões de crédito e da subtração de fundos das contas bancárias das vítimas.
  • Em 2011, especialistas em cibersegurança descobriram o ZeroAccess, um rootkit de kernel que infetou mais de 2 milhões de computadores por todo o mundo. Em vez de afetar diretamente a funcionalidade do computador infetado, este rootkit descarrega e instala malware de forma silenciosa e força o computador a fazer parte de uma botnet à escala mundial usada por hackers para levar a cabo ciberataques. Apesar de várias tentativas para a desativar, o ZeroAccess continua ativa até aos dias de hoje.
  • Em 2012, especialistas do Irão, Rússia e Hungria descobriram o Flame, um rootkit que era maioritariamente usado para ciberespionagem no Médio Oriente. Com a capacidade de afetar todo o sistema operativo de um computador, o Flame consegue também monitorizar o tráfego da rede, fazer capturas de ecrã e de áudio, e até registar a atividade do teclado. Apesar de os culpados serem ainda desconhecidos, certas investigações revelaram que foram usados 80 servidores espalhados por três continentes para aceder aos computadores infetados.

Como remover um rootkit

Vários tipos de rootkits correm com privilégios mais elevados que a maioria dos programas de cibersegurança, razão pela qual podem ser extremamente difíceis de detetar. Para encontrar rootkits no seu sistema, precisa de uma ferramenta anti-malware avançada com extras dedicados a rootkits. Felizmente, o melhor software antivírus inclui sempre ferramentas para analisar e remover rootkits, permitindo-lhe lidar facilmente com estas ameaças.

Se suspeita que o seu computador está infetado com um rootkit, deverá procurar por sinais típicos de uma infeção. Estes incluem normalmente uma performance mais lenta e níveis de memória RAM livre baixos, data e hora incorretos no canto inferior direito do seu ecrã, bem como ocorrências frequentes do infame “Blue Screen of Death” (ecrã azul da morte). Além disso, algumas ou todas as funcionalidades do seu programa antivírus ou anti-malware podem ficar automaticamente desabilitadas quando o software infetado pelo rootkit é lançado pela primeira vez.

Apesar de alguns rootkits poderem afetar o seu hardware, todos eles têm origem numa instalação de software malicioso. Como tal, a sua melhor aposta é usar apenas o melhor software antivírus, que está equipado para lhe oferecer proteção em tempo real contra todas as ameaças, incluindo vírus, malware, e rootkits. Certifique-se que efetua análises regulares ao seu sistema e atualiza as definições de vírus diariamente. Para evitar rootkits de bootloader, é também aconselhável atualizar o seu sistema operativo para o Windows 8 ou acima.

Fontes (em inglês):

 

    Você está protegido?

     Independentemente da sua gravidade, todas as infeções por rootkits começam com a instalação de software malicioso. Não coloque o seu computador e os seus dados em risco.