Hvad er rootkits – definition og forklaring

Rootkits - definition og betydning

Et rootkit er en malware, som er designet til lade hackere tilgå og styre en angrebet enhed. Selvom de fleste rootkits både rammer softwaren og operativsystemet, kan de også inficere din computers hardware og firmware. Rootkits er dygtige til at skjule deres tilstedeværelse, men selvom de er skjulte, er de stadig aktive.

Når er rootkit først får uautoriseret adgang til en computer, kan cybersvindlerne stjæle personlige data og økonomiske oplysninger, installere malware eller bruge computeren som en del af et botnet, der udsender spam og deltager i DDoS (distributed denial of service) angreb.

Navnet "rootkit" stammer fra Unix- og Linux-operativsystemerne, hvor den mest privilegerede kontoadministrator kaldes "root". De applikationer, der tillader uautoriseret root- eller admin-adgang til enheden, kaldes "kits".

Hvad er rootkits?

Rootkits er software, cyberkriminelle bruger til at styre en angrebet computer eller netværk. Rootkits kan fx ligne et enkelt stykke software, men består typisk af flere værktøjer, der giver hackerne kontrol over den ramte enhed på administratorniveau.

Hackerne bruger måder til at installerer rootkits på de angrebne maskiner:

1. Den mest almindelige er via phishing eller en anden form for social engineering-angreb. Ofrene downloader og installerer ubevidst malwaren, der gemmer sig i andre processer, der kører på deres maskiner og giver hackerne kontrol over næsten alle dele af operativsystemet.
2. En anden måde er at udnytte en sårbarhed - dvs. en svaghed i en software eller et operativsystem, der ikke er blevet opdateret - og så tvinge rootkittet ind på computeren.
3. Malwaren kan også pakkes med andre filer, som fx inficerede PDF-filer, piratkopierede medier eller apps, som hentes fra mistænkelige tredjeparts 'stores.'

Rootkits fungerer i nærheden af eller i selve kernen i operativsystemet, hvilket giver dem muligheden for at starte kommandoer på computeren. Alt, der bruger et operativsystem, er potentielle mål for rootkits - der, efterhånden som Internet of Things vokser, også omfatter ting, som dit køleskab eller dine radiatortermostater.

Rootkits kan skjule keyloggers, der opfanger dine tastetryk, uden dit samtykke. Det gør det nemt for cybersvindlerne at stjæle dine personlige oplysninger, som fx dine kreditkort- eller bankoplysninger. Rootkits lader hackerne bruge din computer til at starte DDoS-angreb eller sende spam-mails med. They can even disable or remove security software.

Nogle rootkits bruges til legitime formål - fx til at yde ekstern IT-support eller hjælpe myndighederne. De bruges dog mest til ondsindede formål. Det, der gør rootkits så farlige, er de forskellige former for malware, de leverer, som kan manipulere computernes operativsystemer og give fjernbrugere administratoradgang.

Typer af rootkits

1. Hardware eller firmware rootkit

Hardware- eller firmware-rootkits kan påvirke din harddisk, din router eller dit systems BIOS, som er den software, der er installeret på en lille hukommelseschip på computerens bundkort. I stedet for at angribe operativsystemet, angriber man enhedens firmware og installerer malware, som er svær at opdage. Fordi de rammer hardwaren, kan hackere logge dine tastetryk og overvåge din aktivitet på nettet. Selvom de er mindre almindelige end andre angreb, er hardware- eller firmware-rootkits stadig en alvorlig trussel mod din sikkerhed på nettet.

2. Bootloader-rootkit

Bootloaderen er ansvarlig for at indlæse operativsystemet på en computer. Bootloader-rootkits angriber systemet og erstatter din computers legitime bootloader med en hacket. Det aktiverer rootkittet før computerens egen operativsystem er indlæst helt.

3. Memory-rootkit

Memory-rootkit gemmer sig i din computers RAM og bruger ressourcerne til at udføre ondsindede aktiviteter i baggrunden. Memory-rootkit påvirker din computers RAM-ydelse. Fordi det kun findes i din computers RAM og ikke integerer nogen permanent kode, forsvinder rootkittet, så snart du genstarter systemet - selvom der undertiden kræves lidt ekstra arbejde for at slippe af med dem. Deres korte levetid betyder, at de ikke sjældent opfattes som en væsentlig trussel.

4. Application-rootkit

Application-rootkits erstatter standardfilerne på din computer med rootkit-filer og kan endda ændre den måde, som standardapplikationer fungerer på. Disse rootkits inficerer programmer, som Microsoft Office, Notepad eller Paint. Derfor kan angriberne tilgå din computer, hver gang du kører de programmer. Da de inficerede programmer stadig fungerer normalt, er det svært for brugerne at finde den slags rootkits - men antivirusprogrammerne registrere dem, fordi de også agerer i applikationslaget.

5. Rootkits til kerner

Kernel mode rootkits er blandt de værste typer af denne trussel, fordi de angriber kernen i dit operativsystem (dvs. kerneniveauet). Hackerne bruger dem dels til at nå filerne på din computer, men også til at ændre funktionerne i dit operativsystem, ved at tilføje deres egen kode.

6. Virtuelle rootkits

En virtuelt rootkit indlæser sig selv under computerens operativsystem. Derefter hoster den de angrebne operativsystemerne, som en virtuel maskine, der gør det muligt at opfange de hardwareopkald, der foretages af det originale operativsystem. Denne form for rootkit behøver ikke at ændre kernen for at undergrave operativsystemet og kan være meget svær at opdage.

Eksempler på rootkits

Stuxnet

Et af historiens mest berygtede rootkits er Stuxnet, en ondsindet computerorm, der blev opdaget i 2010 og menes at have været under udvikling siden 2005. Stuxnet lavede store skader på Irans atomprogram. Selvom ingen lande tog ansvaret, mener man, at der var tale om et cybervåben, som kom fra USA og Israel, der arbejdede sammen om operationen, de kaldte de Olympiske lege.

Andre bemærkelsesværdige eksempler på rootkits er:

Flame

I 2012 fandt cybersikkerhedseksperterne Flame, der var et rootkit, som primært blev brugt til cyberspionage i Mellemøsten. Flamme - også kendt som Flamer, sKyWIper og Skywiper - angriber hele computerens operativsystem, så den kan overvåge trafik, hente skærmbilleder og lyd og logge tastetrykkene på enheden. Man fandt aldrig hackerne, som stod bag Flame, men forskning tyder på, at de brugte 80 servere, på tværs af tre kontinenter, til at skaffe sig adgang til de inficerede computere.

Necurs

I 2012, opstod rootkittet Necurs, der efter sigende skabte mindst 83.000 infektioner det år. Man forbandt Necurs med nogle af Østeuropas værste cyberkriminelle, og rootkittet skilte sig ud ved dets tekniske kompleksitet og evne til at udvikle sig.

ZeroAccess

I 2011 opdagede cybersikkerhedseksperterne ZeroAccess, som var et kernerootkit, der inficerede mere end 2 millioner computere verden over. I stedet for at ramme den inficerede computers funktionalitet, downloader og installerer rootkittet i stedet, malware på den inficerede maskine, og gør den til en del af et verdensomspændende botnet, som hackerne bruger til at udføre cyberangreb med. ZeroAccess er stadig aktiv, den dag i dag.

TDSS

I 2008, så man rootkittet TDSS første gang. Det ligner bootloader-kits, fordi det indlæses og kører i operativsystemernes tidlige stadier - hvilket gør det utroligt svært at finde og fjerne.

Sådan finder man rootkits

Det kan være svært at se, om der er et rootkit på en computer, da denne form for malware helt klart er designet til at forblive skjult. Rootkits kan også deaktivere sikkerhedssoftware, hvilket bare gør opgaven endnu sværere. Derfor kan rootkit-malware også let blive på din computer i længere tid og forårsage betydelig skade.

Mulige tegn på rootkit-malware inkluderer:

1. Blå skærm

Mange Windows-fejlmeddelelser eller blå skærme med hvid tekst (ofte kendt som “the blue screen of death”), mens din computer konstant genstarter.

2. Usædvanlig browseradfærd

Det omfatter fx ukendte bogmærker eller omdirigering af links.

3. Enheden virker langsom

Enheden tager længere om at starte, arbejder langsomt eller fryser tit. Den reagerer muligvis ikke på input fra musen eller tastaturet.

4. Windows-indstillingerne ændres uden din tilladelse

Det kan være, at din pauseskærm ændres, proceslinjen skjuler sig eller du ser den forkerte dato eller tid - selvom du ikke har ændret noget.

5. Hjemmesider fungerer ikke korrekt

Hjemmesider eller netværksaktiviteter blinker eller fungerer ikke korrekt, på grund af overdreven netværkstrafik.

En rootkit-scanning er den bedste måde at finde en rootkit-infektion på, og det kan din antivirusløsning klare. Hvis du har mistanke om en rootkit-virus, kan du evt. finde den ved at slukke for computeren og udføre scanningen fra et kendt og rent system.

Adfærdsanalyse er en anden metode, som kan finde et rootkit. Det betyder, at i stedet for at kigge efter selve rootkittet, kigger man efter rootkit-lignende adfærd. Selvom de målrettede scanninger fungerer godt, hvis du ved, at systemet opfører sig underligt, kan en adfærdsanalyse muligvis advare dig om et rootkit, før du selv opfatter, at du er under angreb.

Sådan slipper du af med rootkits

Det er en kompleks proces, at fjerne et rootkit, der typisk kræver specialværktøj, som fx TDSSKiller fra Kaspersky, der finder og fjerner TDSS-rootkits. Nogle gange, er den eneste måde at fjerne et godt gemt rootkit på at slette din computers operativsystem og genopbygge alt fra bunden.

Sådan fjerner du rootkits fra Windows

På Windows, indebærer det typisk en scanning. Hvis der er en dyb infektion, er den eneste måde at fjerne rootkittet på at geninstallere Windows. Det er bedst at gøre det via et eksternt medie, i stedet for at bruge Windows indbyggede installationsprogram. Nogle rootkits inficerer BIOS'en, hvilket kræver en reel reparation. Hvis du stadig har et rootkit, efter reparationen, skal du muligvis have dig en ny pc.

Sådan fjerner du et rootkit fra en Mac

På en Mac, skal du hold dig opdateret med nye udgivelser. Mac-opdateringer tilføjer ikke bare nye funktioner - de fjerner også malware, inklusive rootkits. Apple har indbyggede sikkerhedsfunktioner, der beskytter mod malware. Der findes dog ingen kendte rootkit-sensorer i macOS, så hvis du frygter, at der er et rootkit på din enhed, skal du geninstallere macOS. Når du gør det, fjerner du de fleste apps og rootkits på din maskine. Som ovenfor, hvis rootkittet har inficeret din BIOS, kræver det en reel reparation - og hvis rootkit bliver der, skal du muligvis have dig en ny enhed.

Sådan undgår du rootkits

Rootkits kan både være farlige og vanskelige at opdage Derfor et det vigtigt at være opmærksom, når du surfer på internettet eller downloader programmer. Mange af de samme beskyttelsesforanstaltninger, du træffer for at undgå computervirus, hjælper også med at minimere risikoen for rootkits:

1. Brug en omfattende cybersikkerhedsløsning

Vær proaktiv, når det handler om at sikre dine enheder, og installer en omfattende og avanceret antivirusløsning. Kaspersky Total Security giver fuld beskyttelse mod cybertrusler og giver dig også mulighed for at køre rootkit-scanninger.

2. Hold dig opdateret

Løbende softwareopdateringer er afgørende for at være sikre dig og forhindre hackerne i at inficere dig med malware. Hold alle programmerne og dit operativsystem ajour, så du undgår rootkit-angreb, der udnytter den slags sårbarheder.

3. Vær opmærksom på phishing

Phishing er en type social engineering-angreb, hvor svindlerne bruger e-mails, der narrer brugerne til at give dem deres økonomiske oplysninger eller downloade ondsindet software, som fx rootkits. For at forhindre rootkits i at infiltrere din computer skal du lade være med at åbne mistænkelige e-mails, især hvis du ikke kender afsenderen. Hvis du ikke er sikker på, om et link er troværdigt, skal du ikke klikke på det.

4. Download kun filer fra pålidelige kilder

Vær forsigtig, når du åbner vedhæftede filer, og lad være med at åbne vedhæftede filer fra personer, du ikke kender, så du forhindrer rootkittene i at blive installeret på din computer. Download kun software fra velrenommerede hjemmesider. Lad være med at ignorere browserens advarsler, når den fortæller dig, at den side, du prøver at besøge, er usikker. 

5. Vær opmærksom på din computers opførsel eller ydeevne

Adfærdsmæssige problemer kan indikere, at du har et aktivt rootkit. Vær opmærksom på eventuelle uventede ændringer, og prøv at finde ud af, hvorfor de er kommet.

Rootkits er en af de sværeste typer af malware at finde og fjerne. Fordi de er vanskelige at opdage, består det bedste forsvar typisk af forebyggelse. For at sikre kontinuerlig beskyttelse, skal du fortsat sætte dig ind i alt det nyeste om cybersikkerhedstrusler.

Relaterede artikler:

• Hvad er phishing-svindel?
• Typer af malware
• Hvem laver malware?
• Hvad er en trojansk virus?