O que é um ataque de rootkit? Como prevenir?

Um rootkit é uma infecção do tipo malware que permite que outros vírus sejam executados com privilégios escalonados. Ele se baseia em várias vulnerabilidades em sistemas operacionais e software de terceiros

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

O que é Rootkit? Definição e exemplos de ataque | Gridinsoft

O que é um Rootkit?

October 17, 2022

Rootkits s√£o uma estranha classe de malware que surgiu em meados dos anos 2000. Atualmente, n√£o h√° utilidade para ele como malware aut√īnomo, mas uma ampla variedade de v√≠rus de computador o usa como um m√≥dulo. Ent√£o, por que eles precisam disso? E qu√£o perigoso √© o rootkit?

Fun√ß√Ķes do rootkit

Rootkit, como voc√™ pode entender pelo nome, √© um programa que concede a voc√™ controle de baixo n√≠vel do sistema infectado. E ‚Äún√≠vel baixo‚ÄĚ n√£o significa acesso √† superf√≠cie, mas poss√≠vel acesso dos n√≠veis mais profundos. Embora a maioria dos v√≠rus de computador seja lan√ßada como os aplicativos, alguns tipos de malware exigem acesso no n√≠vel do driver ou at√© mais profundo.

√Č importante mencionar como seu PC executa os aplicativos que voc√™ inicia. Existem quatro n√≠veis hier√°rquicos, chamados an√©is de prote√ß√£o, que definem os direitos que programas t√™m quando executados por sua CPU. Os que s√£o colocados no anel superior n√£o conseguem inflar os aplicativos nos an√©is inferiores. Anel 0 √© dado ao kernel do sistema operacional, Anel 1 - aos drivers de hardware e Anel 2 - aos programas com permiss√Ķes de acesso de baixo n√≠vel. O Ring 3 √© usado pela maioria dos aplicativos de terceiros, pois eles n√£o precisam de permiss√Ķes profundas. A implementa√ß√£o de malware no Ring 2 significa que voc√™ tem controle sobre todos os aplicativos do usu√°rio; no Anel 1 - quase todas as coisas que acontecem no computador.

Hierarquia de anéis de proteção
Anéis de proteção na CPU

Um rootkit é um programa ou um pacote de ferramentas que permite que a pessoa que o controla remotamente acesse o sistema infectado e o controle como quiser. Ainda será perigoso na solitária, mas mal pode ser usado para ganhar dinheiro para as vítimas, como todos os outros vírus fazem. Você pode vandalizar o sistema infectado, fazê-lo funcionar mal ou até mesmo não funcionar, mas isso não lhe trará um centavo. Até você conseguir injetar o outro malware lucrativo.

Rootkit em combinação com outros vírus

O malware de rootkit √© extremamente √ļtil quando voc√™ precisa dar a outros v√≠rus a capacidade de se integrar o mais profundamente poss√≠vel. Essas permiss√Ķes oferecem aos cibercriminosos acesso a todos os discos e at√© mesmo a toda a rede. Claro, uma ferramenta t√£o grosseira raramente √© usada para ataques a indiv√≠duos. Atacar usu√°rios √ļnicos com rootkit + outro malware √© como ca√ßar coelhos em um tanque. No entanto, contra corpora√ß√Ķes ou outras coisas que usam redes de computadores e data centers, √© exatamente o que √© necess√°rio.

Os ataques a corpora√ß√Ķes geralmente s√£o apoiados por spyware, ransomware ou ambos simultaneamente. O rootkit funciona como um aperitivo para o prato principal - arquivos criptografados e dados roubados. Ambos podem custar milh√Ķes de d√≥lares √†s corpora√ß√Ķes e, no caso de um vazamento de informa√ß√Ķes confidenciais, voc√™ tamb√©m pode esperar perdas de reputa√ß√£o. E toda essa farra √© fornecida por uma coisinha que fica profundamente em seu sistema e mant√©m os port√Ķes abertos. Mas como funciona o rootkit?

Como isso funciona?

Todos os sistemas operacionais atuais n√£o s√£o 100% invulner√°veis ‚Äč‚Äča ataques de malware. Mesmo o Windows e o macOS mais recentes t√™m certas falhas de seguran√ßa - eles ainda n√£o foram descobertos. Aqueles que foram relatados geralmente s√£o corrigidos nas atualiza√ß√Ķes mais pr√≥ximas. No entanto, muitas empresas n√£o ficam de olho nas atualiza√ß√Ķes regulares do sistema e do software. Alguns pedem a seus funcion√°rios que atualizem seus PCs manualmente, mas preferem fazer mais memes sobre atualiza√ß√Ķes do Windows do que atualiz√°-los. Exatamente, essas viola√ß√Ķes s√£o usadas por rootkits para escalar privil√©gios.

Rootkit working scheme
√Č assim que o rootkit faz seu trabalho sujo

Mas as viola√ß√Ķes nos sistemas operacionais n√£o s√£o t√£o grandes e f√°ceis de explorar. A maioria das vulnerabilidades que os hackers usam est√° localizada em aplicativos de terceiros. MS Azure, Office e Outlook, quase todos os produtos Adobe e aplicativos de diferentes outros os fornecedores est√£o cheios de falhas de seguran√ßa que permitem que os cibercriminosos realizem seus ataques. Os rootkits que eles usam geralmente s√£o criados especificamente para explorar as vulnerabilidades em determinados aplicativos usados ‚Äč‚Äčpela empresa-alvo. Essas listas de programas, suas vers√Ķes e todas as outras informa√ß√Ķes que podem ser √ļteis durante o ataque s√£o coletadas durante as opera√ß√Ķes OSINT.

As viola√ß√Ķes de seguran√ßa geralmente s√£o o resultado de um design de software ruim ou m√≠ope. Essas falhas geralmente permitem que o usu√°rio execute o c√≥digo com privil√©gios mais altos ou inicie determinadas fun√ß√Ķes sem mostrar nenhum sinal vis√≠vel. Os cibercriminosos usam essa capacidade para executar c√≥digos maliciosos com a m√°xima efici√™ncia. Quando voc√™ inicia a macro do MS Office ou abre o link malicioso no documento da Adobe, os criminosos obt√™m essa capacidade e iniciam os v√≠rus. Voc√™ pode encontrar a lista de todas as vulnerabilidades detectadas no site do CVE Mitre.

Ataque de rootkit passo a passo

Quando o rootkit é entregue em um computador na rede corporativa, ele tenta usar uma das falhas para permitir a execução no nível mais profundo disponível. Esses direitos permitem que os criminosos infectem todos os outros computadores na rede e - mais importante - para força bruta o controlador de domínio. O acesso ao DC significa controlar os computadores da rede e do servidor. Nas empresas em que a rede não está agrupada, isso pode significar paralisar todo o escritório. Para pequenas empresas, isso geralmente significa dias de inatividade, os escritórios de grandes empresas podem parar por semanas.

Os cibercriminosos n√£o criam coisas novas. Ataques RDP e e-mails de isca s√£o alfa e √īmega de todas as campanhas modernas de dissemina√ß√£o de malware, mas ainda mais a√ß√Ķes n√£o h√° nada de novo. Ap√≥s o lan√ßamento bem-sucedido do rootkit, os criminosos come√ßam a for√ßar o controlador de dom√≠nio e outros computadores com for√ßa bruta. Simultaneamente, malwares adicionais s√£o baixados e lan√ßados com privil√©gios escalonados. Os computadores da rede s√£o infectados e, quando o DC cai, os criminosos lan√ßam o spyware e come√ßam a baixar os dados dos servidores.

Nota de resgate que aparece após o ataque bem-sucedido.
Nota de resgate que aparece após o ataque bem-sucedido.

Os dados roubados s√£o a fonte de dinheiro adicional para os bandidos. Informa√ß√Ķes pessoais dos clientes, dados sobre as estat√≠sticas financeiras da empresa ou planos de produ√ß√£o - todas essas coisas s√£o com pre√ßos muito altos na Darknet. Realizadores desconhecidos s√£o ainda mais generosos em seus lances se houver informa√ß√Ķes sobre os clientes de uma determinada cl√≠nica, seguradora ou empresa de seguran√ßa cibern√©tica. No entanto, algumas empresas pagam o resgate adicional que os bandidos pedem para evitar a publica√ß√£o dessas informa√ß√Ķes. √Äs vezes, esse "segundo" resgate atinge a soma do resgate inicial - para descriptografia de arquivos.

Como os rootkits são distribuídos?

Como foi mencionado, eles se espalham atrav√©s das formas cl√°ssicas de carga √ļtil inicial para o ataque cibern√©tico. A tecnologia RDP √© √≥tima, mas foi usada muito raramente para capturar e corrigir todas as falhas antes da pandemia. Mas mesmo com todas as tentativas da Microsoft de bloquear essas viola√ß√Ķes, as empresas n√£o se apressam em atualizar seus softwares. E os hackers apenas dizem ‚Äúobrigado‚ÄĚ por tal presente. Ainda mais obrigado, eles lhe dar√£o pelos funcion√°rios que abrem todos os anexos das mensagens de e-mail e permitem as macros nos documentos do Office.

Ataque de força bruta na rede através de tentativas de logon RDP.
Ataque de força bruta na rede através de tentativas de logon RDP.

Quando se trata de atacar os indivíduos (ou seja, brincar ou vandalizar), os rootkits são distribuídos como ferramentas de correção para um problema específico, otimizadores de sistema ou atualizadores de driver, ou seja, software pseudo-efetivo. Às vezes, usuários astutos adicionam-nos à versão reempacotada do Windows e os espalham em rastreadores de torrent ou em outro lugar. Então, eles são livres para fazer o que quiserem com os usuários que o instalarem em seus PCs.

Como parar o rootkit?

√Č muito f√°cil neutralizar a coisa quando voc√™ sabe como ela age, e n√£o √© algo impar√°vel e fora do comum. Rootkits exploram coisas antigas e conhecidas, como foi mostrado anteriormente, ent√£o √© muito f√°cil tornar seu sistema, ou mesmo toda a rede, invulner√°vel √† inje√ß√£o de malware. Vou lhe dar v√°rios conselhos, de preventivos a defensivos.

N√£o deixe entrar

Seus funcion√°rios devem estar cientes de sobre spam por e-mail e outras formas de isca/engenharia social. Algu√©m pode ouvir a informa√ß√£o, mas n√£o prestar aten√ß√£o a ela e continuar fazendo coisas perigosas. Mas a pergunta a√≠ √© "por que ele ainda n√£o foi demitido?", e n√£o "como fazer ele seguir as regras de seguran√ßa?". √Č o mesmo que fumar na sala com recipientes de oxig√™nio ou rolar bolas de merc√ļrio no ch√£o do escrit√≥rio.

Configure uma conta de usu√°rio simples para funcion√°rios

Desde o Windows Vista, este sistema operacional pode solicitar a senha do administrador para executar o programa que solicita os privilégios do administrador. As pessoas continuam usando contas de admin por inércia, mas não há necessidade. Embora o rootkit ainda possa encontrar uma maneira de escalar privilégios, ele precisará não apenas escalar os direitos do aplicativo que explora, mas também os direitos da conta do usuário. Mais passos → , mais tempo → , mais chances de ser interrompido.

Usar software antimalware

O caso ideal para empresas √© ter uma solu√ß√£o corporativa para prote√ß√£o de rede. Isso impedir√° que o malware se espalhe pela rede e interromper√° suas tentativas de explorar viola√ß√Ķes de seguran√ßa. Quando voc√™ n√£o pode pagar ou n√£o quer ter uma coisa t√£o grande rodando na rede, voc√™ pode criar uma prote√ß√£o contra malware adequada usando um software antimalware. O GridinSoft Anti-Malware se encaixa perfeitamente para essa finalidade - sem fun√ß√Ķes excessivas e com prote√ß√£o proativa.

Atualize o software regularmente

Rootkits ser√£o in√ļteis quando o sistema n√£o tiver nenhuma das vulnerabilidades conhecidas. Claro, ainda existe a possibilidade de que os bandidos usem uma exposi√ß√£o de 0 dias. Mas √© melhor ter somente esse risco do que ter todas as falhas dispon√≠veis para explora√ß√£o + viola√ß√Ķes de dia zero. Felizmente, hoje em dia, os fornecedores de software oferecem patches de seguran√ßa quase todas as semanas. Fique de olho e inicie a instala√ß√£o da atualiza√ß√£o regularmente.

Agrupe a rede

Ter toda a sua rede conectada a um √ļnico controlador de dom√≠nio √© uma situa√ß√£o perfeita para hackers. Claro, essa rede √© muito mais f√°cil de administrar, mas toda a rede fica danificada quando se trata de ataques cibern√©ticos. Se o malware - geralmente ransomware ou spyware - terminar sua atividade, voc√™ n√£o poder√° usar nenhum dos computadores da rede. Todos os arquivos s√£o criptografados, as credenciais s√£o roubadas e as notas de resgate est√£o por toda parte. Seu escrit√≥rio ficar√° fora do processo de trabalho, resultando em perdas significativas. Enquanto isso, quando voc√™ agrupa a rede, apenas uma parte dela fica fora de servi√ßo em caso de ataque.

Network clustering
Agrupamento de rede

Isole os servidores

Claro, √© muito mais confort√°vel gerenciar os servidores sentados em seu local de trabalho do que fazer uma caminhada gloriosa pela sala dos servidores, de um estande para outro. Mas o √ļltimo √© muito mais seguro no caso de ataques cibern√©ticos. √Č importante manter o equil√≠brio - algumas profil√°ticas e implanta√ß√£o de novos lan√ßamentos podem ser feitas remotamente. Mas na maioria das vezes, o acesso ao servidor deve ser restrito ou habilitado somente ap√≥s a digita√ß√£o da senha.

Como os rootkits s√£o detectados e removidos?

A detec√ß√£o e remo√ß√£o dos rootkits √© algo que requer o uso de programas anti-malware. √Č imposs√≠vel ver qualquer sinal de sua presen√ßa antes que seja tarde demais, e tem muitas facilidades para se tornar mais sustent√°vel no sistema atacado. Sua detec√ß√£o, no entanto, tamb√©m requer uma rea√ß√£o r√°pida. Esse tempo de rea√ß√£o pode ser fornecido com uma fun√ß√£o de prote√ß√£o proativa, permitindo que o programa verifique os processos em execu√ß√£o em segundo plano. √Č por isso que vou recomendar o GridinSoft Anti-Malware mais uma vez. Tem uma fun√ß√£o - baseada no motor heur√≠stico e na rede neural. Essa ferramenta de seguran√ßa pode neutralizar efetivamente os rootkits nos est√°gios iniciais da infiltra√ß√£o de malware.