Che cos’è un rootkit?
Un rootkit è un’applicazione che si nasconde nel profondo del tuo file system e dà a qualcun altro l’accesso completo al tuo computer senza che tu lo sappia. I rootkit si nascondono nei livelli più bassi del sistema operativo, rendendoli quasi non rilevabili dalle comuni scansioni anti-malware.
Da dove vengono il nome e la definizione di “rootkit”? Nei sistemi operativi Unix e Linux, l’account con privilegi completi e accesso illimitato (simile all’account amministratore in Windows) è chiamato root. Pertanto, un kit che garantisce accesso privilegiato a un computer o dispositivo mobile è un rootkit. Consente a qualcuno di controllare il tuo dispositivo da remoto a tua insaputa.
I rootkit consentono agli hacker di ottenere l’accesso remoto al tuo computer, che possono utilizzare per prendere il controllo del tuo sistema ed estrarre quante più informazioni possibili. Attraverso un rootkit, un hacker può rubare dati personali e informazioni finanziarie, installare malware o connettere il computer a una botnet per distribuire posta indesiderata o partecipare ad attacchi DDoS (Distributed Denial of Service).
Un rootkit è un virus?
Un rootkit non è un virus, perché un virus diffonde copie di se stesso per causare danni a un sistema. Un rootkit non si replica: potrebbe rubare le tue informazioni e prendere il controllo senza intenti dannosi.
Sebbene i rootkit non siano virus, puoi comunque fare affidamento su un’app antivirus per rilevarli e bloccarli. Installa AVG AntiVirus FREE come prima linea di difesa contro rootkit dannosi e molti altri tipi di minacce.
I rootkit sono malware?
Sì, un rootkit è un tipo di malware (abbreviazione di “malicious software” ovvero software dannoso) progettato specificamente per mantenere un accesso amministrativo privilegiato a un sistema. I rootkit vengono spesso utilizzati per svolgere altre attività dannose, come rubare dati, danneggiare il computer, richiedere riscatti o consumare risorse.
Altri esempi di malware includono virus, trojan, spyware, worm e ransomware. Come questi tipi di malware, spesso i rootkit devono essere spesso rimossi manualmente.
Da dove provengono i rootkit e come si propagano?
I rootkit provengono da file dannosi scaricati inavvertitamente cliccando su un file infetto. Questi file contengono istruzioni nascoste che apportano modifiche al tuo computer. Un file infetto può modificare il kernel, la parte più profonda del sistema operativo, e installarvi un rootkit.
Come un rootkit infetta il tuo computer
Un rootkit solitamente si infiltra nel sistema operativo come parte di una minaccia combinata che contiene tre distinte parti di codice dannoso: un dropper, un loader e il rootkit. Insieme, questi componenti consentono a un utente malintenzionato remoto di accedere al tuo PC a tua insaputa.
Ecco una descrizione dettagliata di come un rootkit può infiltrarsi nel tuo computer:
-
Clicchi un link infetto.
Il link infetto potrebbe trovarsi in una strana e-mail o in un sito Web infetto. Anche se non salvi il file, verrà archiviato nei file temporanei e avvierà il dropper.
-
Nel file è incorporato uno script dannoso.
Il dropper esegue il codice dannoso che aggira le difese di sicurezza.
-
Lo script sfrutta il tuo computer.
Il dropper attiva il loader, quindi si cancella. Il loader opera per inserire il rootkit nel sistema, solitamente tramite un overflow del buffer, ovvero un metodo di esecuzione che prevede il sovraccarico del computer con istruzioni fino al superamento del limite, con successivo overflow delle istruzioni in posizioni specifiche.
-
Lo script inserisce codice dannoso in aree sensibili.
Una parte dei dati in overflow “atterra” in aree critiche del sistema operativo: l’overflow del buffer confonde il computer, facendogli modificare valori in punti dove non dovrebbe. Questo crea una backdoor per il payload del rootkit finale.
-
Il codice dannoso riesce a concedere l’accesso remoto.
Il codice del rootkit esegue azioni a livello di amministratore eludendo i consueti controlli di sicurezza, modificando le autorizzazioni e concedendo l’accesso a un utente remoto.
Un hacker infetta il tuo computer con un dropper, un loader e, infine, un rootkit.
Come si diffonde un rootkit
Ecco come si diffondono comunemente i rootkit:
-
Link sospetti in e-mail di phishing
-
Un trojan o altro malware discreto
-
Software corrotto scaricato da un sito non ufficiale
-
Software dannoso che si appoggia a download legittimi
-
Supporti piratati, come film, PDF, ebook e altro ancora
-
Plug-in o componenti aggiuntivi del browser pubblicizzati per aggiungere funzionalità
Se adotti buone misure di igiene digitale durante il download e l’installazione di software o l’apertura di allegati, un rootkit non dovrebbe riuscire a raggiungere il tuo computer. Come al solito, una delle migliori difese che puoi scegliere è il buon senso.
Come rilevare i rootkit
L’esecuzione di una scansione all’avvio, come quella disponibile nello scanner di rootkit di AVG è un modo efficace per rilevare i rootkit. Queste scansioni verificano la presenza di rootkit e altro malware prima che il sistema operativo venga caricato completamente. Potresti voler eseguire la scansione per un’infezione da rootkit se noti modifiche insolite al sistema o aumenti inspiegabili del traffico di rete.
A volte i rootkit possono eludere il rilevamento, in particolare rimanendo invisibili agli strumenti anti-malware di base integrati. Questo perché i rootkit sono progettati per modificare le funzioni di sicurezza fondamentali integrate nel software del tuo computer.
In questo caso, potrebbe essere necessaria anche un’analisi del dump della memoria. Un dump della memoria è un’istantanea di tutti i dati attualmente utilizzati dal tuo computer e la sua analisi può rivelare comportamenti anomali, inclusi i segnali della presenza di un rootkit.
I rootkit sono davvero bravi a nascondersi. Per questo, a volte dovrai cercare i segnali e quindi decidere di conseguenza se procedere con un’analisi del dump della memoria.
Ecco alcuni segnali che indicano la presenza di un rootkit:
-
Messaggi di errore o schermate blu di errore di Windows frequenti
-
Richieste costanti di riavviare il PC
-
Comportamento insolito del browser Web come il reindirizzamento del link di Google
-
Segnalibri non riconosciuti
-
Prestazioni del computer lente
-
Il dispositivo si blocca o si verifica un comportamento strano del mouse o della tastiera
-
Malfunzionamenti della pagina Web o dell’attività di rete dovuti a traffico di rete eccessivo
-
Le impostazioni casuali di Windows cambiano senza la tua autorizzazione
Prima di sospettare la presenza di rootkit ed eseguire analisi non necessarie, è necessario escludere un guasto al disco rigido, un file system frammentato oppure un’altra infezione da malware. Se riscontri ancora problemi, dopo tutto potrebbe essere presente un rootkit.
Come rimuovere un rootkit
Di solito è necessario uno strumento specializzato per rimuovere un rootkit. Poiché un rootkit compromette il sistema operativo stesso, non dovresti fare affidamento sulle funzionalità di sicurezza integrate per portare a termine questo lavoro. Avrai bisogno di un software di sicurezza di terze parti in grado di penetrare laddove il rootkit ha preso piede.
Il software antivirus si basa su “firme”, ovvero modelli di comportamento noti che indicano malware. Queste firme vengono costantemente aggiornate man mano che vengono alla luce nuove informazioni sui virus, quindi consigliamo scansioni regolari. Tieni presente che una scansione per i rootkit di solito richiede più tempo di una normale scansione anti-malware e non sarai in grado di utilizzare il computer durante la scansione.
Ecco come rimuovere un rootkit dal tuo PC:
-
Installa un antivirus affidabile, come AVG Antivirus FREE, che include uno scanner per rootkit e uno strumento di rimozione.
-
Esegui una scansione all’avvio per verificare la presenza di rootkit prima del caricamento del sistema operativo Windows.
-
Segui le istruzioni visualizzate sullo schermo per avviare il processo di rimozione del rootkit.
Se l’antivirus non riesce a rimuovere completamente il rootkit, puoi riformattare il disco rigido. Questo significa cancellare tutto il contenuto del disco rigido, quindi considerala l’ultima risorsa e assicurati di eseguire prima un backup di tutto. In casi molto rari, un rootkit può rimanere nel BIOS, qualunque cosa tu faccia. Consulta un esperto in questo caso.
Tipi di rootkit
I tipi di rootkit si distinguono in base alla quantità di accesso al sistema di cui dispongono, alle aree del sistema interessate e alla capacità di nascondersi dal rilevamento. Ecco una panoramica dei tipi più comuni di rootkit e delle differenze tra i vari tipi:
Rootkit in modalità kernel
I rootkit in modalità kernel operano nel nucleo di un sistema operativo (livello kernel) e causano frequenti arresti anomali del sistema. Questo è spesso il modo in cui il personale di supporto Microsoft determina che il dispositivo di una vittima è stato infettato da un rootkit.
Un utente malintenzionato sfrutta innanzitutto il sistema di un utente caricando malware nel kernel, che poi intercetta le chiamate di sistema o aggiunge i propri dati, filtrando tutti i dati restituiti dal malware che potrebbero attivare il rilevamento. Il malware basato sul kernel può essere utilizzato per coprire le tracce e nascondere le minacce sia all’interno del kernel che nei componenti in modalità utente.
Rootkit in modalità utente
I rootkit in modalità utente si avviano come programma normalmente durante l’avvio del sistema o vengono iniettati nel sistema tramite un dropper. Forniscono funzionalità simili ai rootkit in modalità kernel, come il mascheramento e la disabilitazione dell’accesso ai file, ma operano a livello utente. I rootkit in modalità utente non sono così furtivi come quelli in modalità kernel, ma grazie alla loro semplicità di implementazione sono più diffusi.
I rootkit in modalità utente sono diffusi nel malware finanziario. Carberp, uno dei ceppi di malware finanziario più copiati a causa della divulgazione del codice sorgente online, è stato sviluppato per rubare credenziali bancarie e dati sensibili dalle vittime. Presta attenzione alle e-mail indesiderate camuffate da solleciti di pagamento o fatture.
Rootkit ibridi
I rootkit ibridi combinano le caratteristiche di quelli in modalità utente e in modalità kernel. Questo approccio è uno dei più popolari tra gli hacker grazie all’alto tasso di successo nel penetrare nei computer.
Rootkit del boot loader
I rootkit del boot loader prendono di mira gli elementi costitutivi del tuo computer infettando il record di avvio principale, un componente essenziale che indica al computer come caricare il sistema operativo.
Rootkit del firmware
I rootkit del firmware sono un tipo sofisticato di malware in grado di nascondersi nel firmware, come un microprocessore o un router, quando il computer viene spento. Al riavvio del computer, il rootkit si reinstalla.
Rootkit basati su macchine virtuali
I rootkit basati su macchine virtuali trasportano un sistema operativo in un ambiente virtuale in modo che il rootkit, insieme all’ambiente virtuale, non possa essere scoperto o sia estremamente difficile da rilevare. Un rootkit basato su macchina virtuale (VMBR) si carica autonomamente sotto il sistema operativo esistente, quindi esegue il sistema operativo come una macchina virtuale. In questo modo, un VMBR non viene rilevato a meno che non vengano utilizzati strumenti speciali per la ricerca.
Rootkit dell’applicazione
Un rootkit dell’applicazione modifica i file regolari e si attiva solo quando viene eseguita una determinata applicazione. L’app funziona apparentemente ancora in modo normale. Dietro le quinte, il rootkit ha ottenuto i permessi per il dispositivo, consentendo a un’altra persona di fare quello che vuole sul tuo computer.
Rootkit della memoria
I rootkit della memoria si insediano nella RAM, che viene cancellata ogni volta che si riavvia il computer. Pertanto, questi rootkit sono efficaci solo per un breve periodo. Tuttavia, sono altrettanto bravi a nascondersi e altrettanto capaci di scatenare il caos. Possono essere utilizzati per esaurire le tue risorse e diffondere malware come parte di una botnet.
Esempi di rootkit
Ecco alcuni esempi di attacchi rootkit comuni, dalla nascita del malware rootkit a oggi:
-
Il primo rootkit (1990): il primo caso documentato di un rootkit è stato scritto da Stevens Dake e Lane Davis per conto di Sun Microsystems per il sistema operativo SunOS Unix.
-
Watergate greco (2004-2005): un rootkit che ha infettato le centrali telefoniche Ericsson AXE sulla rete greca Vodafone, con l’obiettivo di intercettare i telefoni di funzionari governativi greci e di alti funzionari pubblici.
-
Rootkit di protezione dalla copia Sony BGM (2005): Sony BMG ha installato segretamente rootkit su milioni di CD per impedire agli acquirenti di masterizzarne copie e per tenere al corrente l’azienda di tali tentativi. Inoltre, ha involontariamente aperto le porte consentendo ad altri malware di infiltrarsi invisibili nei PC Windows.
-
Zeus (2007): Zeus è un trojan horse per il furto di credenziali, un rootkit che ruba le informazioni bancarie usando la registrazione della pressione dei tasti Man-in-the-browser e l’acquisizione delle credenziali.
-
NTRootkit (2008): uno dei primi rootkit dannosi per Windows. Esistono diverse versioni di NTRootkit con obiettivi diversi. Un tipo cattura le sequenze di tasti, aiutando gli hacker a rubare nomi utente e password per accedere a servizi sensibili.
-
Machiavelli (2009): Machiavelli è stato il primo rootkit destinato a Mac OS X. Crea chiamate di sistema e thread del kernel nascosti.
-
Stuxnet (2010): Stuxnet è stato il primo rootkit noto rivolto a un sistema di controllo industriale.
-
Flame (2012): il malware informatico Flame attacca i computer con sistema operativo Windows e può registrare l’attività della tastiera, le schermate, l’audio, il traffico di rete e altro ancora.
-
LoJax (2018): LoJax è un rootkit del firmware che può rimanere su un sistema anche dopo la reinstallazione di Windows e la formattazione del disco rigido.
-
Scranos (2019): questo rootkit prende di mira le tue informazioni personali estraendo metodi di pagamento dal tuo browser. Scranos utilizza inoltre le risorse del tuo computer per generare clic, aumentando artificialmente il numero di visualizzazioni per i video su YouTube come modo per guadagnare denaro.
-
CosmicStrand (2022): questo rootkit del firmware è così difficile da rilevare che gli esperti di sicurezza informatica non sono nemmeno sicuri di come sia arrivato sui computer. Potrebbero esserci anche versioni di CosmicStrand che non sono state ancora trovate. È stato utilizzato principalmente contro obiettivi di alto profilo e non contro l’utente medio di computer.
-
BlackLotus (2022): emerso per la prima volta nel 2022, BlackLotus è stato in grado di eludere le versioni con patch complete di Windows 11 e la funzionalità di avvio protetto di questo sistema.
Una cronologia di alcuni degli attacchi rootkit più noti.
Come proteggerti dai rootkit
Puoi proteggerti dai rootkit con un potente software antivirus e seguendo i principi per la sicurezza dei siti Web. Per sviluppare buon senso nell’utilizzo di Internet serve tempo. Fino ad allora, ecco alcune regole pratiche che possono aiutarti a proteggerti dai rootkit e da altre minacce dannose:
-
Non aprire allegati e-mail provenienti da mittenti sconosciuti.
-
Non scaricare file sconosciuti e non cliccare su link sospetti.
-
Assicurati di aver applicato correttamente le patch per le vulnerabilità note al software del tuo sistema installando gli aggiornamenti software non appena diventano disponibili.
-
Scarica e installa con prudenza nuovi software, assicurandoti che siano legittimi e che l’EULA (contratto di licenza con l’utente finale) non contenga campanelli d’allarme.
-
Usa con cautela unità esterne e chiavette USB e non inserire unità sconosciute.
-
Esegui regolarmente la scansione del sistema per verificare la presenza di malware.
-
Scarica app e software solo da fonti attendibili, siti Web ufficiali e app store autorizzati.
-
Fai attenzione ai cambiamenti insoliti nelle prestazioni.
Bloccare i rootkit con l’aiuto di AVG AntiVirus Free
Anche le strategie per evitare i rootkit sono abitudini di buon senso che ti aiuteranno a proteggere la tua vita digitale. Puoi adottare misure di difesa ancora più forti contro i rootkit installando un potente antivirus come AVG AntiVirus FREE.
AVG AntiVirus FREE esegue la scansione del malware in tutto il sistema, dal browser alle radici del sistema operativo. Inoltre, ti aiuterà a trovare e rimuovere alcuni dei malware più insidiosi e profondamente annidati nel tuo dispositivo e, naturalmente, fornirà una protezione potente per aiutarti prima di tutto a evitare un’infezione da rootkit.