Phát hiện rootkit và bảo vệ bạn khỏi nó
Phần lớn phần mềm độc hại được bọn tội phạm trên khắp thế giới sử dụng không bị nạn nhân của chúng phát hiện. Điều này cũng là do phần mềm độc hại như rootkit. Chúng tôi sẽ chỉ cho bạn một cách dễ hiểu rootkit là gì, có những loại nào và cách bạn có thể bảo vệ máy tính của mình khỏi chúng bằng các công cụ phù hợp.
Rootkit là gì?
Rootkit là phần mềm độc hại ẩn rất sâu trong hệ điều hành. Do được lập trình nên rootkit thường chỉ có thể được phát hiện và loại bỏ bằng phần mềm chống vi-rút thích hợp.
Chức năng trung tâm của rootkit là cho phép các bên thứ ba truy cập vào một máy tính nước ngoài. Bạn có thể kiểm soát nó từ xa, thao túng nó hoặc đánh cắp dữ liệu. Ví dụ, các cuộc tấn công rootkit cũng được sử dụng để cài đặt phần mềm mà những kẻ tấn công có thể điều khiển botnet từ xa.
Bộ rootkit thường bao gồm một gói phần mềm độc hại. Rootkit có thể chứa keylogger, bot hoặc ransomware.
Thông tin: Tên "rootkit" đến từ đâu?
Thuật ngữ “rootkit” được tạo thành từ các từ “root” (tiếng Đức = root = thư mục cao nhất trong hệ thống tệp; người dùng có tất cả quyền quản trị) và “kit” (tiếng Đức = bộ). Rootkit là một tập hợp các ứng dụng phần mềm hoàn toàn trung lập có thể sử dụng quyền của quản trị viên. Nhưng khi các quyền này được sử dụng để tải lại phần mềm độc hại, bản thân rootkit sẽ trở thành phần mềm độc hại.
Rootkit: Có những loại này
Rootkit thường được phân loại dựa trên độ sâu mà chúng hoạt động trong hệ thống tệp của máy tính liên quan.
Rootkit chế độ người dùng |
Người bị ảnh hưởng chính bởi các rootkit này là tài khoản quản trị viên trên máy tính của bạn. Phần mềm độc hại có tất cả các lợi thế về quyền truy cập của quản trị viên vào các tệp hoặc chương trình và chẳng hạn như có thể thay đổi cài đặt bảo mật. Điều khó khăn về các rootkit này: Chúng tự động được khởi động mỗi khi máy tính được khởi động lại. |
Rootkit mô hình hạt nhân |
Các rootkit này hoạt động trực tiếp ở cấp hệ điều hành và do đó có khả năng thao tác tất cả các khu vực của hệ điều hành. Ngay cả những lần quét máy quét vi rút cũng có thể tạo ra kết quả không chính xác nếu bị nhiễm một rookit ở chế độ hạt nhân. Tuy nhiên, các rootkit của nhân phải vượt qua rất nhiều rào cản trước khi chúng có thể bị kẹt trong nhân. Chúng thường được chú ý trước, ví dụ: vì máy tính liên tục gặp sự cố. |
Phần mềm rootkit |
Những bộ rootkit này có thể cấy vào phần sụn của hệ thống máy tính. Sau khi xóa, chúng sẽ tự động được cài đặt lại mỗi khi bạn khởi động lại. Điều này làm cho các rootkit phần sụn đặc biệt dai dẳng và gây khó khăn cho việc gỡ bỏ chúng. |
Bộ dụng cụ khởi động |
Các rootkit này bị kẹt trong khu vực khởi động. Khi bạn khởi động PC, hệ thống sẽ sử dụng bản ghi khởi động chính. Ở đó, bạn cũng sẽ tìm thấy bộ khởi động, được tải mỗi khi bạn khởi động. Người dùng hệ điều hành Windows mới hơn như 8 hoặc 10. Các phiên bản này đã có hệ thống bảo mật ngăn bộ khởi động khởi động khi máy tính được bật. |
Rootkit ảo |
Các rootkit này tự cài đặt trên một máy ảo và có thể truy cập vào một máy tính bị nhiễm bên ngoài hệ điều hành thực tế. Điều này khiến chúng khó bị phần mềm bảo vệ chống vi-rút phát hiện. |
Bộ dụng cụ gốc lai | Những bộ rootkit này chia nhỏ phần mềm và cài đặt các phần của nó trong nhân và các phần khác ở cấp độ người dùng. Những rootkit này có lợi cho bọn tội phạm vì chúng chạy rất ổn định ở cấp độ người dùng và đồng thời hoạt động trong nhân, tức là được ngụy trang. |
Để bảo vệ khỏi những mối đe dọa ngấm ngầm này, máy quét vi-rút, trong số những thứ khác, phải có các định nghĩa vi-rút cập nhật.
Làm thế nào để rootkit vào máy tính?
Rootkit luôn cần một "phương tiện" để chúng có thể tự cấy ghép vào máy tính. Theo nguyên tắc, một rootkit do đó luôn được tạo thành từ ba thành phần, bản thân rootkit, bộ nhỏ giọt và bộ tải. Ống nhỏ giọt có thể so sánh với một loại vi-rút máy tính lây nhiễm vào máy tính của bạn. Bởi vì ống nhỏ giọt đang tìm kiếm một lỗ hổng bảo mật để lưu rootkit trên thiết bị mong muốn. Sau đó, bộ nạp được sử dụng. Nó cài đặt bộ rootkit trên máy tính bị nhiễm, ví dụ như trong nhân hoặc ở cấp người dùng nếu đó là bộ rootkit ở chế độ người dùng.
Rootkit sử dụng các phương tiện sau để thả:
tin nhắn |
Ví dụ: nếu bạn nhận được một liên kết hoặc tệp độc hại qua trình nhắn tin và bạn mở liên kết hoặc tệp đó, ống nhỏ giọt có thể đặt rootkit trên thiết bị của bạn. |
Phần mềm và ứng dụng bị tấn công: |
Rootkit có thể bị tin tặc "nhập lậu" vào phần mềm hoặc ứng dụng đáng tin cậy. Ví dụ, các tệp được phân phối trên internet dưới dạng đề nghị miễn phí. Ngay sau khi bạn cài đặt các chương trình này, bạn cũng sẽ tải rootkit về máy tính của mình. |
Tệp PDF hoặc Office: | Rootkit có thể ẩn trong tệp Office hoặc PDF, cho dù là tệp đính kèm thư hoặc tải xuống. Ngay sau khi bạn mở tệp, ống nhỏ giọt sẽ chèn tệp vào máy tính của bạn và trình tải bắt đầu cài đặt ở chế độ nền. |
Làm cách nào để nhận dạng rootkit trên máy tính của tôi (máy quét rootkit)?
Để phát hiện đáng tin cậy rootkit và sau đó loại bỏ chúng, cần phải có trình quét rootkit, được bao gồm trong tính năng quét vi-rút của các chương trình chống vi-rút mạnh mẽ. Ví dụ, những lần quét này có thể nhận ra các chữ ký rootkit phổ biến. Với những chữ ký này, các con số trong mã được sắp xếp theo một hình thức nhất định. Nhưng cũng có một số dấu hiệu trên máy tính của bạn có thể cho thấy khả năng bị nhiễm rootkit.
- Hành vi bất thường của máy tính của bạn: Rootkit được đặc trưng bởi sự kín đáo của chúng. Tuy nhiên, có thể xảy ra trường hợp máy tính của bạn hoạt động khác với bình thường, chẳng hạn như vô tình mở chương trình hoặc khởi động các quy trình mà bạn không khởi động.
- Cài đặt hệ thống của bạn thay đổi mà không có bất kỳ hành động nào từ phía bạn: Ví dụ, nếu bạn phát hiện ra rằng máy tính của bạn thường cho phép truy cập từ xa hoặc mở các cổng, rootkit có thể là nguyên nhân.
- Phân tích kết xuất bộ nhớ: Khi máy tính gặp sự cố, Windows sẽ tạo một hình ảnh bộ nhớ hệ thống. Các chuyên gia có thể sử dụng tệp này để xác định các mẫu bất thường mà rootkit tạo ra.
- Kết nối internet của bạn luôn không ổn định: Ví dụ, rootkit có thể đảm bảo các luồng dữ liệu lớn mà tin tặc có thể truy cập dữ liệu. Những chuyển động dữ liệu này có thể làm cho đường truyền internet của bạn rất chậm hoặc thậm chí gây ra sự cố.
Làm cách nào để tự bảo vệ mình khỏi rootkit?
Biện pháp bảo vệ quan trọng nhất chống lại rootkit là sử dụng chương trình bảo vệ chống vi-rút cập nhật. Được trang bị các định nghĩa vi-rút mới nhất, tính năng bảo vệ theo thời gian thực có thể cảnh báo bạn về các bản tải xuống và cài đặt nguy hiểm, đồng thời sử dụng trình quét vi-rút để thường xuyên kiểm tra rootkit trong máy tính của bạn.
Ngoài ra, các biện pháp sau được khuyến nghị:
- Chỉ sử dụng một tài khoản người dùng trong cuộc sống hàng ngày và không có quyền truy cập quản trị viên: Nếu bạn đăng nhập vào Windows hoặc iOS bằng tài khoản khách, bạn chỉ có một số quyền hạn chế. Nếu bạn lây nhiễm vào máy tính của mình bằng bộ rootkit trong thời gian này, bộ nhỏ giọt chỉ có thể truy cập cấp độ người dùng này và ví dụ: không thể truy cập trực tiếp vào hạt nhân.
- Cập nhật hệ điều hành và phần mềm của bạn thường xuyên: Các nhà sản xuất thu hẹp các lỗ hổng bảo mật đã biết bằng các bản cập nhật thường xuyên. Do đó, bạn bắt buộc phải thực hiện tất cả các cập nhật cần thiết.
- Chỉ tải xuống tệp từ Internet từ các trang web có uy tín: Tránh tải xuống nguy hiểm tiềm ẩn, giảm thiểu nguy cơ trở thành nạn nhân của rootkit.
- Chỉ mở phần đính kèm e-mail từ những người gửi mà bạn tin cậy: Nếu bạn nhận được e-mail từ những người gửi có địa chỉ e-mail khó hiểu, tốt nhất là xóa chúng. Nếu phần đính kèm e-mail từ một địa chỉ quen thuộc nghe có vẻ xa lạ với bạn, tốt hơn là bạn nên kiểm tra lại với người gửi trước khi mở phần đính kèm e-mail.
- Chỉ cài đặt các ứng dụng dành cho điện thoại thông minh từ các cửa hàng ứng dụng chính thức: Nếu bạn tải ứng dụng từ các nguồn chính thức, chúng đã trải qua quá trình kiểm tra bảo mật. Điều này sẽ giảm nguy cơ tải bộ rootkit vào điện thoại thông minh của bạn.
Gỡ rootkit - cách tiếp tục
Bạn nên luôn gỡ bỏ rootkit bằng phần mềm chống vi-rút đặc biệt. Vì phần mềm độc hại này có thể ẩn sâu trong hệ điều hành máy tính của bạn nên việc xóa thủ công thường rất khó khăn. Nếu bạn quên phần còn lại nhỏ của rootkit khi bạn xóa nó, nó thường sẽ tự cài đặt lại khi bạn khởi động lại.
Cách tốt nhất để loại bỏ rootkit là sử dụng chương trình chống vi-rút cập nhật có định nghĩa vi-rút cập nhật nhất. Sau đó, nên quét vi-rút ở chế độ an toàn để rootkit không thể tải lại dữ liệu từ Internet. Thường phải chạy quét vi-rút hoặc phần mềm độc hại nhiều lần để loại bỏ hoàn toàn bộ rootkit.
Bài viết này sẽ cung cấp cho bạn hướng dẫn chi tiết về cách tìm và xóa rootkit.
Rootkit đã biết
Rootkit là mối đe dọa từ internet rất lâu đời. Một trong những rootkit đầu tiên được biết đến là phần mềm độc hại chủ yếu tấn công hệ điều hành Unix vào năm 1990. Bộ rootkit đầu tiên được biết đến dành cho máy tính Windows là rootkit NTR, được lưu hành vào năm 1999. Đây là một rootkit nhân.
Từ năm 2003 đến 2005 đã có nhiều cuộc tấn công lớn bằng rootkit, bao gồm cả một cuộc tấn công vào điện thoại di động được kích hoạt trong mạng Vodafone Hy Lạp. Bộ rootkit này được biết đến với cái tên "Hy Lạp Watergate" bởi vì, trong số những thứ khác, Thủ tướng Hy Lạp đã bị ảnh hưởng.
Vào năm 2008, bộ khởi động TDL-1 đã hoành hành. Tội phạm mạng đã sử dụng nó để xây dựng một mạng botnet lớn với sự hỗ trợ của một con ngựa thành Troy.
Một rootkit lần đầu tiên được phát hiện vào năm 2009 cũng lây nhiễm vào hệ điều hành của Apple. Nó đã được rửa tội "Machiavelli".
Năm 2010, sâu Stuxnet hoành hành. Trong số những thứ khác, anh ta đã sử dụng một rootkit được cho là để theo dõi chương trình hạt nhân của Iran. Các cơ quan mật vụ của Israel và Mỹ-Mỹ bị nghi ngờ là những người phát triển và tấn công.
Với LoJax, rootkit đã được phát hiện vào năm 2022-2023 lần đầu tiên lây nhiễm phần sụn trên bo mạch chủ của máy tính. Điều này cho phép phần mềm độc hại tự kích hoạt lại khi hệ điều hành được cài đặt lại.
Kết luận: Khó phát hiện, nhưng với phần mềm chống vi-rút cập nhật và thận trọng, rủi ro có thể được giảm thiểu
Vì rootkit được nhúng sâu vào hệ điều hành của máy tính nên việc phòng ngừa là đặc biệt quan trọng. Một khi rootkit đã được cài đặt, rất khó để người dân phát hiện ra sự lây nhiễm. Tuy nhiên, bất kỳ ai cẩn trọng trên Internet với hệ thống bảo vệ chống vi-rút cập nhật và các công cụ thích hợp và không mở các tệp không xác định một cách bất cẩn sẽ giảm khả năng trở thành nạn nhân của rootkit.