Con il termine rootkit si indica un qualsiasi programma che concede l’accesso privilegiato a un qualsiasi dispositivo. I rootkit non sono necessariamente dannosi, possono però costituire un pericolo se impiegati, con intenzioni malevole, come testa di ponte per la distribuzione di diverse tipologie di malware (virus, trojan, spyware, worm e ransomware), fornendo accessi amministrativi per sottrarre dati personali, diffondere malspam e sferrare attacchi DDoS.
I segni distintivi
In buona sostanza un rootkit è un’applicazione che, sfruttando funzioni legittime del sistema operativo, rende difficoltosa la sua rilevazione da parte dei controlli di sicurezza. Una volta installato, un rootkit può, infatti, avviarsi anche prima del processo di boot del sistema operativo, rendendone ancora più difficile il rilevamento. I principali segni che potrebbero indicare l’attività in corso di un rootkit, possono essere dei messaggi di errore improvvisi, continui riavvii del computer, rallentamenti delle prestazioni generali del computer o la saturazione dell’attività di rete.
Vettori d’infezione e tipologie rootkit
Lo sfruttamento di vulnerabilità, link, file e documenti infetti sono solo alcuni dei vettori comuni per la distribuzione dei rootkit, la cui installazione può avvenire secondo un approccio a doppia fase.
Il codice del rootkit malevolo può essere contenuto dentro un dropper (prima fase) che, una volta attivato (tramite l’interazione utente o sfruttando un exploit), può scaricare il payload definitivo (seconda fase).
L’installazione può essere ottenuta utilizzando programmi apparentemente legittimi o attraverso accessi abusivi ottenuti tramite tecniche di ingegneria sociale o attacchi brute force.
In base alle caratteristiche di funzionamento e alla loro implementazione i rootkit possono operare a livello del kernel del sistema operativo, del boot loader del disco o del firmware dei processori ed essere applicati anche a dispositivi mobili attraverso il download di app da store di terze parti non verificate.
Come proteggertsi dai rootkit
Molte delle strategie utili per evitare i rootkit sono le stesse che possono proteggere da tutti i tipi di minacce in genere:
- Non aprire allegati e-mail con superficialità;
- non fare il download di file sconosciuti;
- controllare e installare eventuali patch rese disponibili contro le vulnerabilità note;
- usare con cautela unità esterne e pendrive;
- installare software e app assicurandosi che siano legittimi e originali.
In ogni caso, individuare la presenza di un rootkit non è sempre una cosa facile poichè questi malware sono studiati per eludere i sistemi di sicurezza e di controllo. Tuttavia si possono trovare diversi tool per individuare varianti rootkit note o sconosciute, che attraverso l’impiego di firme o algoritmi euristici sono in grado di rilevare e rimuoverne la presenza.
Ulteriori metodi di rilevamento possono essere:
- il monitoraggio dell’uso della CPU o del traffico di rete;
- i controlli di integrità confrontando i file e i dati di memoria con quelli in condizioni di prova ritenute affidabili.
A volte, però, la rimozione di un rootkit rimane un impresa talmente ardua che nel peggiore dei casi la reinstallazione ex novo del sistema operativo rimane l’unica soluzione possibile.
