Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Một khi đã được cài đặt, rootkit sẽ "ngụy trang" bản thân sao cho các phần mềm diệt virus thông thường khi quét qua chỉ thấy nó một là một ứng dụng vô hại.

Rootkit là gì? Tìm hiểu về Virus Rootkit - Phần mềm mã độc

Thường thì rootkit càng tồn tại lâu trong một chiếc máy thì nó càng gây nhiều ảnh hưởng nghiêm trọng tới tính bảo mật của thiết bị cũng như đến độ an toàn thông tin của người dùng. Ngoài ra, rootkit còn trở nên nguy hiểm hơn khi nó giấu thêm một malware nào đó, và đây là cách tấn công thường được các tin tặc tận dụng. Bài viết sau mình xin chia sẻ một số thông tin cơ bản về rootkit mà mình tìm hiểu được với các bạn.

Rootkit nguy hiểm như thế nào?

Nếu chỉ nhìn qua mô tả sơ lược, chúng ta có thể thấy rằng rootkit cũng gần gần giống như các loại malware khác, ví dụ như virus, Trojan hay các worm (sâu) máy tính. Tuy nhiên, thực chất rootkit nguy hiểm hơn những thứ kể trên bởi hai tính chất giúp phân biệt nó với các loại malware khác, bao gồm: 1) Khả năng ẩn mình ở các tầng hoạt động thấp và 2) Nhiệm vụ ẩn giấu các mối đe dọa khác. Trong đó, thuộc tính đầu tiên là đặc trưng cho mọi loại rootkit.

Có hai loại rootkit hiện xuất hiện phổ biến trong thế giới công nghệ ngày nay, đó là user-mode rootkit và kernel-mode root kit. Những con kernel-mode rootkit nguy hiểm hơn, khó bị phát hiện và cũng khó bị diệt vì nó ẩn sau bên trong hệ điều hành. Khi bạn vừa bật máy lên, những con rootkit này sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện pháp bảo mật thông thường vốn được tích hợp ở tầng user-mode.

Để thực hiện được mục đích của mình, kernel-mode rootkit sẽ tác động vào kernel, bộ nhớ và các thành phần hệ thống khác. Về chức năng, nó có thể làm được những việc sau:

• Tự ngụy trang bản thân và những phần mềm mã độc khác
• Nhiễm lại vào hệ thống nếu chúng bị gỡ bỏ
• Vô hiệu hóa các trình antivirus
• Từ chối quyền đọc/ghi vào các tập tin có rootkit để chúng không bị xóa

Với user-mode rootkit, nó hoạt động ở mức cao hơn trong các tầng bảo mật của hệ thống máy tính, cùng tầng với những ứng dụng bình thường khác mà chúng ta hay sử dụng. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập trình ứng dụng (API). Cụ thể hơn, nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó gọi hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã độc trong rootkit. Một số user-mode rootkit sẽ đẩy một tập tin liên kết động (*.DLL trên Windows, *.dylib trên OS X) vào bên trong một ứng dụng/tiến trình nào đó, trong khi vài rootkit khác thì chỉ đơn giản ghi đè lên phần bộ nhớ của ứng dụng khác rồi hoạt động. User-mode rootkit có thể gây các ảnh hưởng như khai thác các lỗ hổng bảo mật hiện có, ngăn chặn việc truyền thông tin,...

Koutodoor và TDSS, hai loại rootkit thầm lặng

Koutodoor hoạt động theo nhiều giai đoạn, bao gồm việc cài đặt Trojan như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm traffic.

Một kiểu rootkit khác, TDSS, đại diện cho hơn 37% các rootkit hiện có và nó là bằng chứng cho thấy gia đình rootkit có thể biến đổi như thế nào để chống lại các biện pháp antivirus. Gần đây có một con rootkit dòng TDSS đã thay đổi giá trị trong Master Boot Record khiến hệ thống tải nó lên trước khi tải driver và giải pháp chống phần mềm mã độc, cho phép rootkit này vô hiệu hóa các phần mềm antivirus. TDSS rootkit còn có khả năng sống "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng được mã hóa để chứa các malware phụ. TDSS có thể đánh cắp mật khẩu hay dữ liệu mà chúng ta không hề hay biết.

Các biện pháp phát hiện rootkit

Hiện các công ty bảo mật đang sử dụng nhiều cách để phát hiện được rootkit, trong đó có thể kể đến như:

• Sử dụng một thiết bị đáng tin cậy khác
• Dựa trên các hành vi của rootkit
• Dựa trên signature (tạm dịch là chữ kí)
• Kiểm tra tính toàn vẹn

Phần mềm chống và gỡ bỏ rootkit

Các phần mềm chống rootkit trên hệ điều hành Unix có thể kể đến như Zeppoo, chkrootkit, rkhunter, OSSEC. Còn trên Windows, một số phần mềm quét rootkit là Microsoft Sysinternals RootkitRevealer, Avast! Antivirus, Sophos Anti-Rootkit, F-Secure, Radix, GMER, WindowsSCOPE, mới đây có thêm McAfee Deep Defender.

Tuy nhiên, thường thì những người tạo rootkit sẽ kiểm tra kĩ tác phẩm của mình để nó có thể thoát được những biện pháp phát hiện của những công cụ kể trên. Do đó, người dùng cần cập nhật thường xuyên cơ sở dữ liệu của phần mềm chống rootkit cũng như dùng các phiên bản mới nhất với kĩ thuật chống rootkit đang được phát triển từng ngày.

CHÚ Ý: để được cảnh báo virus và được Tư vấn Hỗ trợ và nhận Key Download mới nhất của phần mềm diệt Virus này hãy Tham gia nhóm Facebook tại đây

Theo Intel & McAfee