Trong thế giới công nghệ đầy rẫy những mối nguy hiểm tiềm ẩn, Rootkit nổi lên như một “bóng ma” đáng sợ, âm thầm xâm nhập và thao túng hệ thống máy tính mà người dùng không hề hay biết. Vậy Rootkit là gì? Kẻ thù thầm lặng này ẩn chứa những bí mật gì và làm thế nào để bảo vệ bản thân khỏi nó? Hãy cùng TinoHost khám phá trong bài viết này!
Rootkit là gì?
Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Sở hữu một cách “ngụy trang” siêu đặc biệt, rootkit khi đã được cài đặt sẽ “đánh lừa” sao cho các phần mềm diệt virus thông thường khi quét qua chỉ thấy nó một là một ứng dụng vô hại.
Thực ra, bản chất rootkit không mang mã độc nhưng khi đi chung với các chương trình mang tính “phá hoại” như: virus, sâu, phần mềm gián điệp, trojan,… thì lại nguy hiểm hơn rất nhiều.
Những malware nào sử dụng kĩ thuật rootkit?
Vài Rootkit mang đúng ý nghĩa và tính chất của rootkit được biết đến như: Hacker Defender và FU.
Một số phần mềm gián điệp, quảng cáo có sử dụng rootkit: EliteToolbar, ProAgent, and Probot SE.
Các trojan như: Berbew/Padodor và Feutel/Hupigon và một số sâu như: Myfip.h và họ sâu Maslan cũng sử dụng rootkit.
Cách thức hoạt động của rootkit?
Bản thân không có những đoạn code đặc biệt để có thể tự nhân bản và phát tán. Thực sự, rootkit phát tán cùng với những chương trình phá hoại có kèm theo nó (thông qua những lỗ hổng hệ thống của windows và những chương trình sử dụng). “Con đường phát tán” phổ biến nhất là qua thư điện tử. Ngoài ra, hiện nay, hacker đã phát triển rất nhiều kĩ thuật tinh vi để phán tán.
Một phần lớn những rootkits được bán trên mạng dưới dạng mã nguồn. Đa số những chương trình spyware đều sử dụng phương thức hoạt động của Rootkit. Những spyware này sẽ hoạt động trên máy của người sử dụng mà không bị phát hiện. Lợi ích cuối cùng là chúng có thể kiếm được tiền nhờ những thông tin thu thập được trên máy người sử dụng.
Bằng kỹ thuật của Rootkit, có rất nhiều trojan đã được phát tán. Những trojan này biến máy bạn thành một bộ máy có thể điều khiển từ xa và người điều khiển chúng có thể dùng máy bạn để phát tán Spam hoặc lạm dụng máy bạn để làm những chuyện có mục đích xấu.
Rootkit có tác hại gì?
Bạn có biết, một số thứ trong PC của bạn bị chặn đều là do rootkit. Điều này có nghĩa là sau khi một rootkit được cài đặt, bạn sẽ không thể tin tưởng được bất kỳ thông tin nào mà PC của bạn báo cáo.
Ví dụ: nếu bạn yêu cầu PC của mình liệt kê tất cả các chương trình đang khởi chạy, rootkit có thể lén lút xóa bất kỳ chương trình nào mà nó không muốn cho bạn biết.
Chủ động “tàng hình” khỏi cặp mắt của người dùng, hệ điều hành và các chương trình anti-virus/anti-malware, rootkit là phần mềm độc hại rất khó bị phát hiện. Rootkit che giấu đi tất cả mọi thứ. Chúng ẩn mình trên máy tính của bạn và cũng ẩn hoạt động độc hại trên PC của bạn.
Rootkit có những dạng phổ biến nào?
Dựa trên sự duy trì sau khi khởi động lại hoặc hoạt động ở chế độ người dùng (user mode) hay ở chế độ cấp hệ thống (kernel mode), rootkit được chia ra nhiều loại khác nhau.
Theo thời gian tồn tại: chia làm hai loại
Rootkit bám dai (Persistent Rootkits)
Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi khi hệ thống khởi động. Với đặc tính malware chứa mã phá hoại sẽ được thực thi tự động mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống, chúng cần phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các phương pháp cho phép âm thầm chạy các đoạn mã mà người sử dụng không hay biết.
Rootkit trên bộ nhớ (Memory-Based Rootkits )
Bản chất của rootkit này là các malware không có những đoạn mã “dai dẳng” – chỉ lưu trong bộ nhớ. Do đó loại rootkit này không tồn tại sau khi khởi động lại máy.
Theo mức độ xâm nhập hệ thống: chia làm hai loại
Rootkit chế độ người dùng (User-mode Rootkits)
Rootkit ở chế độ người dùng sử dụng nhiều phương pháp khác nhau để lẩn trốn không bị phát hiện. Nó hoạt động ở mức cao hơn trong các tầng bảo mật của hệ thống máy tính, cùng tầng với những ứng dụng bình thường khác mà chúng ta hay sử dụng. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập trình ứng dụng (API). Cụ thể hơn, nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó gọi hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã độc trong rootkit.
User-mode app có thể kể đến như những ứng dụng văn phòng, trình duyệt, game,…
Rootkit chế độ nhân (Kernel-mode Rootkits)
Loại này khó bị phát hiện và cũng khó bị diệt vì nó ẩn sau bên trong hệ điều hành. Khi bạn vừa bật máy lên, những con rootkit này sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện pháp bảo mật thông thường vốn được tích hợp ở tầng user-mode.
Để thực hiện được mục đích của mình, kernel-mode rootkit sẽ tác động vào kernel, bộ nhớ và các thành phần hệ thống khác.
Cách quét rootkit nhanh và hiệu quả
Giống như bất kỳ loại phần mềm độc hại nào khác, cách tốt nhất để tránh rootkit là ngăn không cho nó được cài đặt ngay từ đầu.
Ngăn chặn rootkit
- Cập nhật hệ thống chống antivirus và phần mềm gián điệp.
- Triển khai hệ thống tường lửa mạng và host-based.
- Cập nhật các bản vá cho hệ điều hành và ứng dụng.
- Sử dụng phương pháp xác thực mạnh.
- Không bao giờ sử dụng phần mềm từ những nguồn không tin cậy.
Phần mềm hỗ trợ quét rootkit
Sử dụng RootkitRevealer
RootkitRevealer cần một account có quyền Backup, nạp trình điều kiển và thực hiện các tác vụ duy trì volume. Để tránh những báo động giả, cần chạy RootkitRevealer trong điều kiện hệ thống không thực hiện tác vụ gì.
– Quét thủ công
Gọi RootkitRevealer và nhấn nút Scan.
RootkitRevealer thông báo các hoạt động đang thực hiện ở thanh trạng thái phía dưới cửa sổ và đưa các sai khác ra danh sách kết quả.
Các tùy chọn có thể thiết lập là:
Hide NTFS Metadata Files: bật mặc định
Scan Registry: bật mặc định
– Quét tự động
– Tìm hiểu kết quả
Sử dụng BlackLight
Đây là phần mềm tiêu diệt rootkit của hãng F-Secure. Hiện nay, phiên bản beta của BlackLight miễn phí, bạn có thể download tại đây.
Ngoài ra, còn có một số phần mềm khác như: McAfee Rootkit Detective, Panda Anti Rootkit, Trend Micro Rootkit Buster, Sophos Anti-Rootkit,….
Tuỳ vào tính chất, nhu cầu sử dụng mà bạn cần tìm một phương thức bảo mật thích hợp với mình. Liên hệ ngay Tinohost để được tư vấn chi tiết nhé!
Qua bài viết trên, TinoHost hy vọng bạn đã hiểu rõ Rootkit là gì cũng như cách thức hoạt động của dạng phần mềm này. Hãy tiếp tục theo dõi TinoHost để đón đọc những bài viết hay và hữu ích khác bạn nhé!
Những câu hỏi thường gặp
Rootkit khác gì với virus?
Virus là một loại phần mềm độc hại tự sao chép và lây lan sang các tệp tin khác. Rootkit không tự sao chép, nhưng nó được cài đặt bí mật trên hệ thống để cung cấp cho kẻ tấn công quyền truy cập và kiểm soát trái phép.
Loại Rootkit nào nguy hiểm nhất?
Loại Rootkit nguy hiểm nhất là loại Rootkit được cài đặt bởi kẻ tấn công có tay nghề cao và có thể che giấu tốt khỏi phần mềm chống virus và các công cụ bảo mật khác.
Rootkit có ảnh hưởng gì đến hiệu suất thiết bị di động?
Rootkit có thể ảnh hưởng đến hiệu suất thiết bị di động theo nhiều cách, bao gồm:
- Làm chậm thiết bị.
- Giảm thời lượng pin.
- Gây ra sự cố và lỗi.
Rootkit có phải là mối đe dọa nghiêm trọng?
Có! Rootkit là một mối đe dọa nghiêm trọng đối với cả máy tính và thiết bị di động. Rootkit có thể gây ra thiệt hại nghiêm trọng cho dữ liệu và tài chính của bạn, đồng thời có thể được sử dụng để thực hiện các cuộc tấn công mạng.