Wat is een rootkit?
Een rootkit is een toepassing die zich diep in uw bestandssysteem verstopt en iemand anders volledige toegang tot uw computer geeft zonder dat u er erg in hebt. Rootkits verbergen zich in de onderste lagen van het besturingssysteem, waardoor ze bijna niet te detecteren zijn door gewone antimalwarescans.
Waar komen de naam en definitie van 'rootkit' vandaan? Bij de besturingssystemen Unix en Linux wordt het account met alle privileges en onbeperkte toegang (vergelijkbaar met het administratoraccount in Windows) 'root' genoemd. Een kit die bevoorrechte toegang verleent tot een computer of mobiel apparaat is dus een rootkit. Hiermee kan iemand uw apparaat op afstand bedienen zonder dat u er erg in hebt.
Met rootkits kunnen hackers op afstand toegang krijgen tot uw computer en de controle over uw systeem overnemen om er zoveel mogelijk informatie uit te halen. Via een rootkit kan een hacker persoonlijke en financiële gegevens stelen, malware installeren of uw computer aansluiten op een botnet om spam te verspreiden of deel te nemen aan DDoS-aanvallen (Distributed Denial-of-Service).
Is een rootkit een virus?
Een rootkit is geen virus, want een virus verspreidt kopieën van zichzelf om schade aan een systeem toe te brengen. Een rootkit repliceert zichzelf niet. Het kan uw informatie stelen en de controle overnemen zonder ooit de intentie te hebben om schade aan te richten.
Hoewel rootkits geen virussen zijn, kan een antivirus-app toch helpen om ze te detecteren en te blokkeren. Installeer AVG AntiVirus FREE als uw beste eerste verdedigingslinie tegen schadelijke rootkits en tal van andere soorten dreigingen.
Is een rootkit malware?
Ja, een rootkit is een vorm van malware (kort voor 'malicious software': schadelijke software) die speciaal is ontworpen om bevoorrechte administratieve toegang tot een systeem te behouden. Rootkits worden vaak gebruikt om andere schadelijke activiteiten uit te voeren, zoals het stelen van gegevens, het beschadigen van uw computer, het eisen van losgeld of het verbruiken van uw systeembronnen.
Andere voorbeelden van malware zijn virussen, Trojaanse paarden, spyware, wormen en ransomware. Net als deze vormen van malware moeten rootkits vaak handmatig worden verwijderd.
Waar komen rootkits vandaan en hoe verspreiden ze zich?
Rootkits zitten in schadelijke bestanden die u per ongeluk downloadt als u op een geïnfecteerd bestand klikt. Deze bestanden bevatten verborgen instructies die wijzigingen aanbrengen op uw computer. Een geïnfecteerd bestand kan uw kernel (het diepste onderdeel van uw besturingssysteem) wijzigen en daar een rootkit planten.
Hoe infecteert een rootkit uw computer?
Een rootkit infiltreert uw besturingssysteem meestal als onderdeel van een gecombineerde dreiging die drie afzonderlijke stukken schadelijke code bevat: een dropper, een loader en de rootkit. Samen geven deze componenten een aanvaller op afstand toegang tot uw pc zonder dat u er erg in hebt.
Hier wordt in detail beschreven hoe een rootkit op uw computer terechtkomt:
-
U klikt op een geïnfecteerde link.
De geïnfecteerde link kan in een vreemde e-mail of op een geïnfecteerde website staan. Zelfs als u het bestand niet opslaat, wordt het in uw tijdelijke bestanden opgeslagen en wordt de dropper geactiveerd.
-
In het bestand is een schadelijk script ingesloten.
De dropper voert de schadelijke code uit die uw beveiliging omzeilt.
-
Het script exploiteert uw computer.
De dropper activeert de loader en verwijdert zichzelf vervolgens. De loader probeert de rootkit in het systeem te installeren, meestal via een bufferoverschrijding. Dit is een methode waarbij de computer wordt overspoeld met instructies, waardoor deze instructies buiten hun normale grenzen treden en naar specifieke locaties overlopen.
-
Het script voegt schadelijke code in op gevoelige locaties.
Een deel van de overgelopen gegevens belandt in de kritieke gebieden van het besturingssysteem. De bufferoverschrijding brengt de computer in verwarring, waardoor deze waarden verandert op plaatsen waar dat niet zou moeten. Dit creëert een achterdeur voor de uiteindelijke rootkit-payload.
-
De schadelijke code kan nu toegang op afstand verlenen.
De rootkitcode omzeilt de gebruikelijke beveiligingscontroles om beheerdersacties uit te voeren, machtigingen te wijzigen en een externe gebruiker toegang te geven.
Een hacker infecteert uw computer met een dropper, een loader en uiteindelijk een rootkit.
Hoe verspreidt een rootkit zich?
Enkele manieren waarop rootkits zich vaak verspreiden:
-
Verdachte links in phishingmails
-
Een Trojaans paard of andere onopvallende malware
-
Beschadigde software gedownload van een onofficiële site
-
Schadelijke software die meelift op legitieme downloads
-
Illegale media, zoals films, pdf's, e-books en meer
-
Browserplug-ins of -add-ons die extra functionaliteit beloven
Als u goede digitale gewoonten hanteert bij het downloaden en installeren van software of het openen van bijlagen, dan zou een rootkit niet op uw computer terecht moeten komen. Zoals gewoonlijk is gezond verstand een van de beste manieren om uzelf te verdedigen.
Hoe detecteert u een rootkit?
Het uitvoeren van een opstartscan, zoals die in de rootkitscanner van AVG, is een effectieve manier om rootkits te detecteren. Deze scans controleren op rootkits en andere malware voordat het besturingssysteem volledig is geladen. U kunt op een rootkitinfectie scannen als u ongewone systeemveranderingen of een onverklaarbare toename in netwerkverkeer opmerkt.
Rootkits kunnen soms detectie omzeilen, met name doordat ze onzichtbaar blijven voor eenvoudige, ingebouwde antimalwaretools. Dit komt omdat rootkits zijn ontworpen om de fundamentele beveiligingsfuncties te wijzigen die in uw computersoftware zijn ingebouwd.
In dit geval kan ook een analyse van een geheugendump nodig zijn. Een geheugendump is een momentopname van alle gegevens die uw computer op dat moment in gebruik heeft. Door een dergelijke geheugendump te analyseren kan ongewenst gedrag worden onthuld, waaronder tekenen van een rootkit.
Rootkits kunnen zich heel goed verstoppen. Soms moet u dus op zoek gaan naar tekenen en op basis daarvan beslissen of analyse van een geheugendump nodig is.
Enkele tekenen dat u een rootkit hebt:
-
U krijgt regelmatig Windows-foutmeldingen of het blauwe scherm des doods
-
U wordt constant gevraagd om uw pc opnieuw op te starten
-
De webbrowser gedraagt zich vreemd, waarbij bijvoorbeeld Google-links worden omgeleid
-
Bladwijzers worden niet herkend
-
Uw computer reageert traag
-
Uw apparaat loopt vast of uw muis of toetsenbord gedraagt zich vreemd
-
Storingen van webpagina's of netwerkactiviteiten door overmatig netwerkverkeer
-
Willekeurige wijzigingen in Windows-instellingen zonder uw toestemming
Voordat u aan rootkits denkt en onnodige analyses uitvoert, moet u eerst uitsluiten of het geen kwestie is van een defecte harde schijf, een overvol bestandssysteem of een andere malware-infectie. Als u nog steeds problemen ondervindt, hebt u misschien toch een rootkit.
Hoe verwijdert u een rootkit?
Meestal is er een gespecialiseerde tool nodig om een rootkit te verwijderen. Aangezien een rootkit het besturingssysteem zelf aantast, kunt u niet vertrouwen op ingebouwde beveiligingsfuncties om de klus te klaren. U hebt beveiligingssoftware van derden nodig die kan doordringen tot waar de rootkit zich heeft genesteld.
Antivirussoftware is gebaseerd op 'handtekeningen', d.w.z. bekende gedragspatronen die op malware duiden. Deze worden voortdurend bijgewerkt wanneer er nieuwe informatie over virussen aan het licht komt, dus we raden aan regelmatig te scannen. Houd er rekening mee dat een rootkitscan meestal langer duurt dan een gewone malwarescan en dat u uw computer niet kunt gebruiken terwijl de scan wordt uitgevoerd.
Zo verwijdert u een rootkit van uw pc:
-
Installeer een betrouwbaar antivirusprogramma, zoals AVG Antivirus FREE, dat een rootkitscanner en een verwijderingstool bevat.
-
Voer een opstartscan uit om op rootkits te controleren voordat het Windows-besturingssysteem kan worden geladen.
-
Volg de instructies op het scherm om het verwijderingsproces van de rootkit te starten.
Als de antivirussoftware de rootkit niet volledig kan verwijderen, kunt u uw harde schijf opnieuw formatteren. Dit betekent dat u alles op de harde schijf verwijdert, dus beschouw dit als laatste redmiddel en maak van tevoren van alles een back-up. In zeer zeldzame gevallen kan een rootkit in het BIOS achterblijven, wat u ook probeert. Raadpleeg in dit geval een expert.
Soorten rootkits
De soorten rootkits variëren in hoeveel systeemtoegang ze hebben, welke systeemgebieden ze beïnvloeden en hoe goed ze verborgen kunnen blijven. Hier volgt een overzicht van de meest voorkomende soorten rootkits en hoe ze van elkaar verschillen:
Kernelmodus-rootkits
Kernelmodus-rootkits zijn actief in de kern van het besturingssysteem (op kernelniveau) en veroorzaken de ene systeemcrash na de andere. Op die manier bepalen ondersteuningsmedewerkers van Microsoft vaak of het apparaat van een slachtoffer is geïnfecteerd met een rootkit.
Eerst laadt de aanvaller malware in de kernel van het systeem van een gebruiker. Daarmee worden vervolgens systeemaanroepen onderschept of gegevens toegevoegd om gegevens uit te filteren die worden geretourneerd door de malware en die tot detectie zouden kunnen leiden. Kernelmalware kan worden gebruikt om sporen te wissen en dreigingen te verbergen in componenten van de kernelmodus en de gebruikersmodus.
Gebruikersmodus-rootkits
Gebruikersmodus-rootkits worden op de normale manier gestart als programma tijdens het opstarten van het systeem of worden in het systeem geïnjecteerd met behulp van een dropper. Ze bieden vergelijkbare functies als kernelmodus-rootkits, bijvoorbeeld het maskeren en uitschakelen van de toegang tot bestanden, maar werken op gebruikersniveau. Gebruikersmodus-rootkits zijn niet zo geniepig als de kernelmodusvariant, maar worden veel gebruikt omdat ze zo eenvoudig te implementeren zijn.
Gebruikersmodus-rootkits zijn populair in financiële malware. Carberp is een van de meest gekopieerde financiële malwarevarianten, doordat de broncode online is uitgelekt. Deze malware werd ontwikkeld om slachtoffers bankaanmeldingsgegevens en andere vertrouwelijke gegevens afhandig te maken. Pas dus op met spamberichten die eruitzien als betalingsherinnering of factuur.
Hybride rootkits
Hybride rootkits combineren de kenmerken van gebruikersmodus- en kernelmodus-rootkits. Dit is een van de populairste varianten onder hackers vanwege de grote kans op succes bij het binnendringen van computers.
Bootloader-rootkits
Bootloader-rootkits richten zich op de bouwstenen van uw computer door het Master Boot Record (MBR) te infecteren, een essentieel onderdeel dat uw computer instrueert hoe het besturingssysteem moet worden geladen.
Firmware-rootkits
Firmware-rootkits zijn een geraffineerde vorm van malware die zich verschuilen in firmware (bijvoorbeeld van een microprocessor of een router) wanneer de computer wordt afgesloten. Wanneer de computer weer wordt opgestart, installeert de rootkit zichzelf opnieuw.
Virtual Machine-Based rootkits
Virtual Machine-Based rootkits transporteren een besturingssysteem naar een virtuele omgeving zodat de rootkit, samen met de virtuele omgeving, helemaal niet meer of met heel veel moeite kan worden ontdekt. Een Virtual Machine-Based Rootkit (VMBR) laadt zichzelf onder het bestaande besturingssysteem en voert het besturingssysteem vervolgens uit als virtuele machine. Op die manier blijft een VMBR onopgemerkt, tenzij er speciale tools worden gebruikt om ernaar te zoeken.
Toepassingsrootkit
Een toepassingsrootkit wijzigt reguliere bestanden en wordt alleen geactiveerd wanneer een bepaalde toepassing wordt uitgevoerd. Voor u lijkt de app nog steeds normaal te werken. Maar op de achtergrond heeft de rootkit toegang tot uw apparaat verkregen, waardoor iemand anders vrij spel heeft op uw computer.
Geheugenrootkits
Geheugenrootkits bevinden zich in het RAM-geheugen, dat telkens wordt gewist wanneer u de computer opnieuw opstart. Hierdoor zijn deze rootkits maar kort effectief. Toch kunnen ze zich net zo goed verstoppen en evenveel schade aanrichten. Ze kunnen worden gebruikt om uw systeembronnen op te slurpen en malware te verspreiden als onderdeel van een botnet.
Voorbeelden van rootkits
Hier zijn enkele bekende voorbeelden van rootkitaanvallen, vanaf het eerste geval tot vandaag de dag:
-
De eerste rootkit (1990): Het eerste gedocumenteerde geval van een rootkit werd beschreven door Stevens Dake en Lane Davis namens Sun Microsystems voor SunOS Unix OS.
-
Greek Watergate (2004–2005): Een rootkit die Ericsson AXE-telefooncentrales infecteerde op het Griekse Vodafone-netwerk, bedoeld om telefoons van Griekse regeringsfunctionarissen en hooggeplaatste ambtenaren af te luisteren.
-
De rootkit van Sony BGM voor bescherming van muziekbestanden (2005): Sony BMG installeerde stiekem rootkits op miljoenen cd's om te voorkomen dat kopers er kopieën van zouden branden, en om het bedrijf te informeren over het gedrag van deze klanten. Bovendien werden onbedoeld de deuren wagenwijd opengezet voor andere malware om ongemerkt Windows-pc's binnen te dringen.
-
Zeus (2007): Zeus is een Trojaans paard dat aanmeldingsgegevens steelt: een rootkit die gebruikers bankgegevens afhandig maakt via man-in-the-browser keystroke-logging en form-grabbing.
-
NTRootkit (2008): Een van de eerste schadelijke rootkits voor Windows. Er zijn verschillende versies van NTRootkit die verschillende dingen doen. Eén type legt toetsaanslagen vast, waarmee hackers gebruikersnamen en wachtwoorden kunnen stelen om toegang te krijgen tot gevoelige services.
-
Machiavelli (2009): Machiavelli was de eerste rootkit die het gemunt had op Mac OS X. Deze rootkit creëerde verborgen systeemaanroepen en kernel-threads.
-
Stuxnet (2010): Stuxnet was de eerste bekende rootkit met een industrieel controlesysteem als doelwit.
-
Flame (2012): Flame is computermalware die Windows-computers aanvalt en onder meer toetsenbordactiviteit, schermafbeeldingen, geluid en netwerkverkeer kan vastleggen.
-
LoJax (2018): LoJax is een firmware-rootkit die op een systeem kan blijven staan, zelfs na herinstallatie van Windows en het formatteren van de harde schijf.
-
Scranos (2019): Deze rootkit heeft het op uw persoonlijke gegevens gemunt door betaalmethoden uit uw browser te verzamelen. Scranos gebruikt ook de systeembronnen van uw computer om automatisch op links te klikken, waardoor het aantal weergaven van YouTube-video's kunstmatig wordt verhoogd om geld te verdienen.
-
CosmicStrand (2022): Deze firmware-rootkit is zo moeilijk te detecteren dat zelfs cyberbeveiligingsexperts niet zeker weten hoe deze op computers terecht is gekomen. Mogelijk zijn er zelfs versies van CosmicStrand die nog niet zijn gevonden. De rootkit is voornamelijk gebruikt tegen prominente personen en organisaties, niet tegen de gemiddelde computergebruiker.
-
BlackLotus (2022): BlackLotus dook voor het eerst op in 2022 en wist volledig gepatchte versies van Windows 11 en de Secure Boot-functie van Windows te omzeilen.
Een tijdlijn met enkele van de bekendste rootkitaanvallen.
Hoe kunt u zich tegen rootkits beschermen?
U kunt uzelf tegen rootkits helpen te beschermen met sterke antivirussoftware en door veiligheidsprincipes voor websites te volgen. Gezond verstand op internet ontwikkelt u gaandeweg. Tot die tijd zijn hier een paar vuistregels die u kunnen helpen uzelf te beschermen tegen rootkits en andere schadelijke dreigingen:
-
Open geen e-mailbijlagen van onbekende afzenders.
-
Download geen onbekende bestanden en klik niet op verdachte links.
-
Zorg ervoor dat uw systeemsoftware goed is gepatcht tegen bekende kwetsbaarheden door software-updates te installeren zodra ze beschikbaar zijn.
-
Wees alert bij het downloaden en installeren van nieuwe software; zorg ervoor dat deze legitiem is en dat er geen alarmerende zaken in de gebruiksrechtovereenkomst staan.
-
Wees op uw hoede bij het gebruik van externe stations en USB-sticks, en koppel geen onbekende stations.
-
Scan uw systeem regelmatig op malware.
-
Download alleen apps en software van betrouwbare bronnen, officiële websites en gelicentieerde appstores.
-
Wees alert op ongewone veranderingen in de systeemprestaties.
Help rootkits te blokkeren met AVG AntiVirus Free
De strategieën die u helpen rootkits te vermijden zijn ook verstandige gewoonten die u helpen uw digitale leven te beschermen. U kunt zich nog beter verdedigen tegen rootkits door robuuste antivirussoftware zoals AVG AntiVirus FREE te installeren.
AVG AntiVirus FREE scant uw volledige systeem op malware, van uw browser tot de diepste lagen van uw besturingssysteem. Bovendien helpt het u de meest hardnekkige en diepgewortelde malware op uw apparaat op te sporen en te verwijderen. En natuurlijk biedt het krachtige bescherming om u te helpen een rootkitinfectie helemaal te voorkomen.