Rootkit: O Obscuro Ataque do Hacker

  • Artigo

Publicado em: 6 de Outubro de 2005

Por Mike Danseglio e Tony Bailey
Confira outras Colunas de Dica de Segurança do Mês (em inglês)

Um rootkit é um tipo especial de malware (software malicioso). Os rootkits são especiais porque você não sabe o que eles estão fazendo. Os rootkits são praticamente impossíveis de serem detectados e removidos. Embora as ferramentas de detecção estejam se proliferando, os desenvolvedores de malware estão em constante busca por novas maneiras de rastreá-las.

O objetivo do rootkit é esconder a si mesmo e de um outro software para não ser visto. Isso é feito para prevenir que um usuário identifique e remova potencialmente um software de ataque. Um rootkit pode se esconder em quase todos os softwares, incluindo servidores de arquivos, keyloggers, botnets e remailers. Muitos rootkits podem até esconder grande quantidade de arquivos, permitindo assim que um atacante armazene diversos arquivos, invisivelmente, em seu computador.

Os rootkits não infectam os computadores, como os vírus ou worms fazem. Em vez disso, um atacante identifica uma vulnerabilidade existente no sistema de destino. As vulnerabilidades podem incluir uma porta de rede aberta, um sistema não protegido, ou um sistema com senha fraca do administrador. Após obter acesso ao sistema vulnerável, o atacante pode instalar manualmente um rootkit. Esse tipo de ataque secreto direcionado não ativa controles automáticos de segurança da rede, como os sistemas de detecção a intrusos.

Identificar rootkits pode ser difícil. Há diversos pacotes de software que os detectam. Esses pacotes dividem-se em duas categorias: detectores baseados em assinatura e em comportamento. Os baseados em assinatura, como a maioria dos varredores de vírus, procuram arquivos binários específicos, conhecidos por serem rootkits. Os detectores baseados em comportamento tentam identificar os rootkits, procurando elementos ocultos, que é o primeiro comportamento dos rootkits. Um detector conhecido baseado em comportamento é o Rootkit Revealer (em inglês).

Uma vez que você identificou um rootkit em seu sistema, as opções para remediá-lo são um pouco limitadas. Como os rootkits podem se esconder, você pode não saber há quanto tempo eles já permanecem no sistema. Você também pode não saber quais informações ele já comprometeu. A melhor reação a um rootkit identificado é formatar e reinstalar o sistema. Embora seja drástico, este é o único método comprovado de remover completamente os rootkits.

Prevenir os rootkits de chegarem ao seu sistema é a melhor estratégia a ser usada. Isso é feito com a mesma estratégia de defesa que você deve usar para prevenir todos os malware de atacarem seu computador. Os elementos de defesa profunda incluem varredores de vírus, atualizações regulares de software, um firewall no host e na rede e uma estratégia forte de senha.

Para mais informações sobre os rootkits, confira o excelente Rootkits no Windows (em inglês).

Além disso, a equipe do Microsoft Solutions for Security and Compliance (MSSC) criou o Manual de Defesa Profunda para Antivírus, que fornece uma visão geral fácil de ser compreendida a respeito de diferentes tipos de malware, incluindo informações sobre os riscos que eles apresentam. O manual também abrange as características do malware, meios de replicação e taxas.

Você também pode encontrar outros manuais do MSSC no Site da TechNet (em inglês).