Rootkit là gì? Có những loại rootkit nào?

Bạn đã từng nghe nói về rootkit ở đâu đó? Bạn không thực sự hiểu rõ rootkit là gì? Rootkit có phải là một loại worm, virus hay trojan? Rootkit có thực sự nguy hiểm?... Trong bài viết này, chúng tôi sẽ giải đáp giúp bạn đọc những thắc mắc về rootkit, đồng thời giới thiệu một số phần mềm miễn phí giúp bạn "hạ gục nhanh tiêu diệt gọn" rootkit.

Rootkit là gì?

Rootkit là một chương trình máy tính bí mật được thiết kế để cung cấp truy cập đặc quyền liên tục vào máy tính, đồng thời chủ động che giấu sự hiện diện của nó.

Thuật ngữ rootkit là sự kết hợp của hai từ "root" và "kit". Ban đầu, rootkit là một tập hợp các công cụ cho phép quyền truy cập ở mức admin vào máy tính hoặc mạng. Root đề cập đến tài khoản admin trên các hệ thống Unix/Linux và kit đề cập đến các thành phần phần mềm triển khai công cụ. Ngày nay, rootkit thường được liên kết với phần mềm độc hại - như trojan, worm, virus - che giấu sự tồn tại và hành động của chúng khỏi người dùng, cũng như những tiến trình hệ thống khác.

Rootkit có thể làm gì?

Một rootkit cho phép ai đó duy trì lệnh và kiểm soát máy tính mà người dùng/chủ sở hữu máy tính không hề hay biết. Khi rootkit đã được cài đặt, trình điều khiển (controller) của rootkit có khả năng thực thi từ xa các file và thay đổi cấu hình hệ thống trên máy chủ. Một rootkit trên máy tính bị nhiễm cũng có thể truy cập các file nhật ký và theo dõi việc sử dụng hợp pháp của chủ sở hữu máy tính.

Các loại rootkit

Có một số loại rootkit khác nhau với cách lây nhiễm, vận hành hoặc tồn tại trên hệ thống đích đặc trưng.

• Kernel mode rootkit được thiết kế để thay đổi chức năng của hệ điều hành. Loại rootkit này thường thêm code riêng của nó - và, đôi khi là cả cấu trúc dữ liệu - vào các phần của kernel. Nhiều kernel mode rootkit khai thác thực tế là các hệ điều hành cho phép driver thiết bị hoặc những mô-đun có thể load thực thi với cùng mức đặc quyền hệ thống như kernel, vì vậy các rootkit được đóng gói dưới dạng driver hoặc mô-đun để tránh bị phần mềm diệt virus phát hiện.
• User mode rootkit, đôi khi còn được gọi là rootkit ứng dụng, thực thi theo cách tương tự như một chương trình người dùng thông thường. User mode rootkit có thể được khởi tạo như các chương trình thông thường khác trong quá trình khởi động hệ thống, hoặc chúng có thể được đưa vào hệ thống bởi một dropper (chương trình được thiết kế để cài đặt một số loại virus vào hệ thống muốn lây nhiễm). Phương pháp phụ thuộc vào hệ điều hành. Ví dụ, một rootkit Windows thường tập trung vào điều khiển chức năng cơ bản của các file DLL trong Windows, nhưng trong một hệ thống Unix, toàn bộ ứng dụng có thể được thay thế hoàn toàn bởi rootkit.
• Bootkit, hoặc bootloader rootkit, lây nhiễm vào Master Boot Record của ổ cứng hoặc thiết bị lưu trữ khác được kết nối với hệ thống đích. Bootkit có thể phá hoại quá trình khởi động và duy trì quyền kiểm soát hệ thống sau khi khởi động, do đó, đã được sử dụng thành công để tấn công những hệ thống sử dụng mã hóa toàn bộ ổ đĩa.
• Firmware rootkit tận dụng phần mềm được nhúng trong firmware hệ thống và tự cài đặt trong image firmware, được sử dụng bởi card mạng, BIOS, router hoặc các thiết bị ngoại vi khác.
• Hầu hết các loại nhiễm rootkit có thể tồn tại trong hệ thống suốt một thời gian dài, vì chúng tự cài đặt trên các thiết bị lưu trữ hệ thống vĩnh viễn, nhưng memory rootkit lại tự load vào bộ nhớ máy tính (RAM). Memory rootkit chỉ tồn tại cho đến khi RAM hệ thống bị xóa, thường là sau khi máy tính được khởi động lại.

Làm sao để phát hiện rootkit?

Rất khó để phát hiện rootkit. Không có sản phẩm thương mại có sẵn có thể tìm và loại bỏ tất cả các rootkit đã biết và chưa biết. Có nhiều cách khác nhau để tìm rootkit trên máy tính bị nhiễm. Những cách phát hiện bao gồm các phương pháp dựa trên hành vi (ví dụ, tìm kiếm hành vi lạ trên hệ thống máy tính), quét chữ ký và phân tích memory dump. Thông thường, tùy chọn duy nhất để loại bỏ rootkit là build lại hoàn toàn hệ thống bị xâm nhập.

Bảo vệ hệ thống chống lại rootkit

Nhiều rootkit xâm nhập hệ thống máy tính bằng cách gắn với phần mềm mà bạn tin tưởng hoặc với virus. Bạn có thể bảo vệ hệ thống của mình khỏi rootkit bằng cách đảm bảo nó được vá với các lỗ hổng đã biết, bao gồm những bản vá cho hệ điều hành, ứng dụng và cập nhật định nghĩa virus. Không chấp nhận file hoặc mở file đính kèm email từ các nguồn không xác định. Hãy cẩn thận khi cài đặt phần mềm và đọc kỹ các thỏa thuận cấp phép đối với người dùng cuối.

Phân tích tĩnh (Static analysis) có thể phát hiện các backdoor và việc chèn thêm phần độc hại khác như rootkit. Những nhà phát triển doanh nghiệp cũng như bộ phận CNTT cần mua phần mềm có thể quét ứng dụng để phát hiện những mối đe dọa, bao gồm các backdoor "đặc biệt" và chứa "thông tin ẩn".

Để loại bỏ rootkit, bạn đọc tham khảo bài viết: Những công cụ Anti-Rootkit cần và nên có trong hệ thống để biết thêm chi tiết.