Rootkit là gì và cách kẻ tấn công cài đặt? | Vietnix

Rootkit là gì và cách kẻ tấn công cài đặt?

13/03/2021

Bài viết này sẽ giúp bạn lý giải rootkit là gì và các cách thức những kẻ tấn công cài đặt nó vào thiết bị của bạn.

Rootkit là gì?

Rootkit là một phần mềm độc hại cho phép người dùng trái phép có quyền truy cập đặc quyền vào máy tính và các khu vực hạn chế của phần mềm. Một rootkit có thể chứa một số công cụ độc hại như keylogger để đánh cắp thông tin ngân hàng, đánh cắp mật khẩu. Phần mềm này vẫn được giấu trong máy tính và cho phép kẻ tấn công truy cập từ xa vào máy tính.

Thuật ngữ rootkit là gì có nguồn gốc từ sự kết hợp của hai từ – “root” và “kit”. “Root” dùng để chỉ tài khoản quản trị viên trong các hệ điều hành Unix và Linux. Đây là một tài khoản toàn năng với đầy đủ các đặc quyền và quyền truy cập không hạn chế. Nó tương đương với tài khoản administrator trong các hệ thống Windows. Rootkit cho phép threat actor thực hiện tất cả các hành động này một cách lén lút mà không cần sự đồng ý hoặc hiểu biết của người dùng.

Cách kẻ tấn công cài đặt Rootkit

Threat actor cố gắng có được quyền truy cập root / quản trị viên bằng cách khai thác các lỗ hổng đã biết hoặc bằng cách đánh cắp thông tin đặc quyền của quản trị viên.

Cài đặt rootkit cho phép threat actor truy cập máy tính từ xa để cài đặt phần mềm độc hại khác, đánh cắp dữ liệu, quan sát các hoạt động và thậm chí kiểm soát máy tính. Rootkit là phần mềm độc hại tinh vi và hầu hết các giải pháp chống vi-rút và giải pháp chống phần mềm độc hại không phát hiện ra rootkit. Rootkit cũng có thể che giấu sự xâm nhập của chúng.

Vì rootkit có toàn quyền kiểm soát hệ thống. Nó có thể sửa đổi phần mềm và các giải pháp bảo mật mạng. Rất khó để phát hiện và loại bỏ rootkit.

Rootkit là gì?Rootkit là gì?

Sử dụng Rootkit để làm gì?

Các threat actor sử dụng rootkit cho nhiều mục đích:

  • Khả năng tàng hình : Rootkit hiện đại thêm khả năng tàng hình vào tải trọng phần mềm độc hại (chẳng hạn như keylogger và vi rút). Để làm cho chúng không bị phát hiện.
  • Truy cập backdoor: Rootkit cho phép truy cập trái phép thông qua phần mềm độc hại backdoor. Rootkit thay đổi cơ chế đăng nhập để chấp nhận quyền truy cập đăng nhập bí mật cho kẻ tấn công. Các cơ chế xác thực và ủy quyền tiêu chuẩn được bỏ qua để cung cấp đặc quyền quản trị viên cho kẻ tấn công.
  • Tấn công DDoS: Rootkit cho phép máy tính bị xâm nhập được sử dụng làm bot cho các cuộc tấn công từ chối dịch vụ phân tán. Cuộc tấn công bây giờ sẽ được truy tìm đến máy tính bị xâm nhập chứ không phải hệ thống của kẻ tấn công. Các bot này cũng được gọi là máy tính zombie. Và được sử dụng như một phần của mạng bot để khởi chạy các cuộc tấn công DDoS và các hoạt động độc hại khác.

Cách sử dụng giúp đem lại hiệu quả tốt từ Rootkit  là gì?

Chức năng của rootkit cũng được sử dụng cho các nguyên nhân tốt, chẳng hạn như:

  • Trong một honeypot để phát hiện các cuộc tấn công
  • Để tăng cường phần mềm mô phỏng
  • Để tăng cường phần mềm bảo mật – nó cho phép phần mềm tự bảo vệ mình khỏi các hành động độc hại
  • Bảo vệ chống trộm thiết bị – Phần mềm rootkit dựa trên BIOS cho phép giám sát, vô hiệu hóa và xóa sạch dữ liệu trên thiết bị di động khi chúng bị mất hoặc bị đánh cắp

Các loại Rootkit

Có 5 loại rootkit

  1. User-mode rootkits
  2. kernel-mode rootkits
  3. bootkits
  4. hypervisor rootkits
  5. firmware rootkits.

Hy vọng, bài viết trên đã giúp các bạn hình dung được rootkit là gì, các đặc điểm của nó và những tác hại của rootkit đến hệ thống của bạn.

Theo comodo

Bài viết liên quan
Không có bài viết liên quan
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments