ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > Rootkit 🔴 Aanval

Rootkit 🔴 Aanval

A rootkit is een verzameling schadelijke software (malware) die zijn ontworpen om een computersysteem te infiltreren en bevoorrechte toegang te behouden (vaak op rootniveau) terwijl ze onopvallend blijven.

De belangrijkste missie is het maskeren van zijn eigen aanwezigheid en die van andere kwaadaardige activiteiten (zoals de installatie van virus, Trojaanse paarden of onbevoegde toegang op afstand) door de normale functies van het besturingssysteem en toepassingen te manipuleren of te kapen.

 

Snelle classificatie

  • CATEGORIE : 🔴 Malware
  • FREQUENTIE : 🔥🔥🔥
  • GEVAARLIJK : 💀💀💀💀💀
  • MOEILIJKHEID VAN UITROEIING : 🧹🧹🧹🧹🧹

 

Kenmerken

 

Stealth :

  • Geavanceerde camouflage wijzigt dynamisch processen, bestanden, registers en netwerkverbindingen om detectie door antivirussoftware te voorkomen en firewall processen. Het kan bijvoorbeeld kwaadaardige processen verbergen in de task manager door systeemaanroepen te onderscheppen (hooking techniek).
  • Onderschepping en omleiding De "hook": onderschept of verandert systeemaanroepen ("hooks") en verwijdert of vervalst activiteitenlogs om zijn sporen te verbergen.

Persistentie :

  • Diepe installatie Het kan de kernel, stuurprogramma's, firmware of zelfs de hypervisor infecteren en reboots en updates overleven.
  • Technieken voor zelf installeren Sommige rootkits installeren hun componenten automatisch opnieuw als er een poging wordt gedaan om ze te verwijderen, wat het uitroeien aanzienlijk moeilijker maakt.

Bevoorrechte toegang en afstandsbediening :

  • Afstandsbediening De aanvaller kan het systeem controleren, gegevens exfiltreren, wijzigen of andere vormen van kwaadaardig gedrag introduceren (bijvoorbeeld het inzetten van "Trojaanse paarden"). ransomware).

 

Typen rootkits

 

Rootkits vallen uiteen in verschillende categorieën, afhankelijk van hoe goed ze geïnstalleerd zijn en hoe ze werken:

Rootkits in gebruikersmodus

  • Hoe ze werken: ze draaien op applicatieniveau. Hoewel ze over het algemeen gemakkelijker te detecteren zijn, kunnen ze bepaalde kwaadaardige activiteiten maskeren door API-oproepen te onderscheppen.
  • Voorbeeld: rootkits gebruikt in phishing die kwaadaardige bibliotheken in gemeenschappelijke processen injecteren.

Kernel-modus rootkits

  • Hoe het werkt : ils infectent le noyau du système d’exploitation, modifiant en profondeur son comportement. Leur détection est très complexe car ils opèrent avec le même niveau de privilège que le système lui-même.
  • Voorbeeld: de ZeroAccess rootkit, die in kernelmodus werkte om een botnet is nog steeds bijzonder gevreesd vanwege de mogelijkheid om systeemaanroepen te onderscheppen.

Bootkits

  • Hoe het werkt : Ze richten zich op de bootloader, zoals de Master Boot Record (MBR), om zichzelf te laden voor het besturingssysteem, waardoor persistentie wordt gegarandeerd, zelfs na een herstart.
  • Voorbeeld: de Stoned Bootkit, die de bootloader vervangt om de encryptie en blijven bestaan ondanks een herstart van het systeem.

Rootkits Firmware

  • Hoe het werkt : ze worden geïnstalleerd in de firmware van randapparatuur (BIOS/UEFI, routers, harde schijven), waardoor ze bijzonder moeilijk te detecteren en te verwijderen zijn.
  • Voorbeeld: BIOS-gerichte rootkits die een volledige herinstallatie van het besturingssysteem overleven.

Hypervisor-rootkits

  • Hoe het werkt : ze maken gebruik van virtualisatie om zichzelf onder het hoofdbesturingssysteem te plaatsen en zo hardwareoproepen te onderscheppen. Hun niveau van stealth is extreem hoog.
  • Voorbeeld: het Blue Pill concept, dat een kwaadaardige hypervisor installeert zonder dat het hostsysteem de overlay kan detecteren.

 

🚿 Voortplantingsmethoden

 

Aanvallers maken gebruik van niet-gepatchte kwetsbaarheden in toepassingen of besturingssystemen om de rootkit te installeren.

  • Kwaadaardige downloads (drive-by downloads) :

Als een gebruiker een gecompromitteerde site bezoekt of op een kwaadaardige link klikt, kan de rootkit automatisch worden gedownload en uitgevoerd.

  • Frauduleuze bijlagen en koppelingen (phishing) :

L'social engineering wordt gebruikt om de gebruiker te verleiden een geïnfecteerd programma te starten of informatie vrij te geven om de installatie van de rootkit te vergemakkelijken.

Detectie en bescherming

 

  • Gespecialiseerd gereedschap :

Gebruik van moderne anti-rootkits (zoals Rootkit Unhooker, chkrootkit of rkhunter op Linux) die het geheugen, systeemaanroepen en kritieke bestanden grondig analyseren om afwijkingen te detecteren.

Installatie van inbraakdetectiesystemen (IDS/IPS) en gedragsanalyse om ongebruikelijke activiteit te monitoren (bijvoorbeeld herhaalde toegang tot verborgen poorten of abnormale netwerkactiviteit).

  • Regelmatige updates :

Het toepassen van beveiligingspatches en het voortdurend bijwerken van systemen en software helpt om het aanvalsoppervlak te verkleinen.

  • Integriteitscontrole :

Tools controleren regelmatig de digitale vingerafdrukken van kritieke systeembestanden om ongeautoriseerde wijzigingen te identificeren.

  • Opstarten vanaf beveiligde media :

Gebruik LiveCD/LiveUSB of Secure Boot-oplossingen om een gezond systeem op te starten om infecties te analyseren en op te ruimen.

Voorbeelden

 

  • Sony BMG DRM (2005) :
    Sony BMG had een rootkit geïntegreerd in sommige van haar CD's, ontworpen om ongeoorloofd kopiëren te beperken. Deze rootkit, verborgen in een DRM-systeem, maskeerde zijn processen en wijzigde logs, waardoor latere malware kon infiltreren. De zaak werd breed uitgemeten in de media en leidde tot talloze rechtszaken.
  • Stuxnet (2010) :
    Stuxnet is een van de bekendste voorbeelden van een rootkit. Ontworpen om industriële besturingssystemen in Iran te infiltreren en te verstoren, gebruikte het kernel-mode rootkit-technieken om zijn acties te verbergen, waardoor het extreem moeilijk te detecteren was en het kritieke storingen veroorzaakte in nucleaire centrifuges.
  • ZeroAccess :
    Deze rootkit infecteerde miljoenen computers door een botnet in de systeemkernel te verbergen. Het stelde aanvallers in staat om DDoS en voert cryptocurrency mining-taken uit, terwijl het verborgen blijft dankzij geavanceerde hooking-technieken.

Recente ontwikkelingen

 

Rootkit-technieken blijven zich ontwikkelen om moderne beveiligingsmaatregelen te omzeilen:

  • Hypervisor-gebaseerde rootkits : zoals Blue Pill, die alle hardware aanroepen van onder het besturingssysteem kan onderscheppen.
  • Rootkits in firmware : misbruik maken van kwetsbaarheden in BIOS/UEFI of randapparatuur om ervoor te zorgen dat ze vrijwel ondetecteerbaar blijven bestaan.
  • Hybride benaderingen : het combineren van verschillende technieken (kernel, firmware en applicatie) om detectie door traditionele beveiligingsoplossingen te omzeilen.
Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging