Rootkit (/ru:tkit/ đọc là rút-kít) là một bộ công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm mục đích cho phép quay lại xâm nhập máy tính đó và sử dụng nó cho các mục đích xấu mà không bị phát hiện, bộ công cụ này cho phép truy nhập vào hoạt động của máy tính ở mức căn bản nhất. Các mục đích của kẻ xâm nhập khi sử dụng rootkit bao gồm:
thu thập dữ liệu về máy tính (kể các máy tính khác trong cùng mạng) và những người sử dụng chúng (chẳng hạn mật khẩu và thông tin tài chính),gây lỗi hoặc sai trong hoạt động của máy tínhtạo hoặc chuyển tiếp spam
Có những rootkit khác nhau được viết cho nhiều loại hệ quản lý như Linux, Solaris và những phiên bản Microsoft Windows .Từ ” rootkit ” trở nên phổ cập khi có cuộc tranh luận về chống sao chép CD Sony 2005, trong đó những đĩa CD nhạc của Sony BMG cài một toolkit vào những PC chạy Microsoft Windows .
Nguồn gốc của rootkit
Bạn đang đọc: Rootkit được hiểu như thế nào?Thuật ngữ “rootkit” (còn được viết là “root kit“) lúc đầu được sử dụng để chỉ một bộ công cụ Unix được biên dịch lại như “ps”, “netstat”, “w” and “passwd” có thể che giấu kĩ lưỡng vết tích của kẻ xâm nhập mà bình thường sẽ bị hiển thị bởi các lệnh trên, vì vậy nó cho phép kẻ xâm nhập duy trì quyền “root” (“siêu người sử dụng”) trên hệ thống mà ngay cả người quản trị hệ thống cũng không thể thấy họ.
Rootkit được hiểu như thế nào?
Ngày nay thuật ngữ này không chỉ số lượng giới hạn ở những hệ quản lý và điều hành dựa trên Unix mà còn được sử dụng để chỉ những công cụ triển khai tác vụ tựa như trên hệ quản lý không Unix như Microsoft Windows ( ngay cả khi hệ điều hành quản lý đó không có thông tin tài khoản ” root ” ) .
Chức năng của rootkit
Rootkit tạo đường truy nhập cho kẻ xâm nhập trở lại, việc này được thực thi bằng phương pháp thiết lập một cửa hậu ( backdoor – một giải pháp ẩn cho việc lấy quyền truy nhập máy tính ). Cửa hậu này hoàn toàn có thể là một daemon truy nhập từ xa, ví dụ điển hình một phiên bản đã được thay thế sửa chữa của telnetd hoặc sshd, được thông số kỹ thuật để chạy trên một cổng không phải cổng mặc định mà những daemon này thường nghe. ( daemon là một loại chương trình chạy ngầm, đợi được kích hoạt bởi một điều kiện kèm theo hoặc một sự kiện đơn cử, daemon không chịu sự trấn áp trực tiếp của người sử dụng ). Một rootkit được phong cách thiết kế tốt sẽ có năng lực che giấu hoặc xóa bỏ bất kể dấu vết nào của việc nó được đưa vào máy tính, sự sống sót và hoạt động giải trí của nó. Ví dụ, nó hoàn toàn có thể sửa nhật trình ( log ) mạng lưới hệ thống để không ghi hoặc xóa bỏ tổng thể những thông tin tương quan đến việc nó được đưa vào máy, thông tin về những lần truy nhập tiếp theo của kẻ xâm nhập, và thông tin về những tiến trình ( những chương trình được thực thi ) mà rootkit chạy. Những kẻ xâm nhập không tay nghề cao hoàn toàn có thể chỉ xóa hoặc tẩy trắng những nhật trình, hiện tượng kỳ lạ này hoàn toàn có thể là đầu mối cho thấy có chuyện không bình thường.
Sử dụng bởi kẻ phá hoại
Trong trường hợp điển hình, rootkit che giấu đăng nhập, tiến trình, tập tin và log và có thể bao gồm phần mềm đánh cắp dữ liệu từ trạm cuối (terminal), các nối kết mạng và bàn phím máy tính. Trong nhiều trường hợp rootkit được xem là Trojan.
Cửa sau cũng cho phép các tiến trình từ người sử dụng thông thường thi hành các chức năng dành riêng cho siêu người sử dụng. Rootkit cũng có thể che giấu mọi loại công cụ khác có thể sử dụng để xâm phạm hệ thống. Điều này bao gồm các công cụ sử dụng để tấn công thêm vào các hệ thống máy tính có kết nối với hệ thống bị xâm nhập như là công cụ bắt gói tin (packet sniffer) và chương trình ghi tác vụ bàn phím (keylogger). Một phương pháp xâm phạm thông dụng là sử dụng hệ thống bị chiếm làm bàn đạp cho xâm nhập tiếp theo. Điều này được thực hiện bằng phương pháp làm cho một vụ xâm nhập có vẻ như xuất phát từ mạng hay hệ thống bị chiếm thay vì từ kẻ tấn công. Các công cụ này bao gồm công cụ tấn công từ chối dịch vụ (DDOS), công cụ chuyển tiếp phiên chat và các tấn công spam email.
Một thí dụ gần đây cho việc rootkit được sử dụng trên CD thương mại sử dụng để quản trị quyền kỹ thuật số là cuộc tranh luận chống sao chép CD Sony 2005 .
Cũng như với các phần mềm độc hại khác, máy tính có thể bị lây nhiễm rootkit bằng nhiều đường, trong đó có lây nhiễm qua các chương trình được tải xuống từ Internet, qua tệp gắn kèm tại email, hoặc thậm chí khi truy cập một vài trang web nhất định. Rootkit còn có thể được đưa vào máy qua việc đọc một ổ đĩa đặc biệt hoặc thẻ nhớ USB.
Rootkit không phải là exploit
Rootkit có thể được sử dụng cùng với một thủ thuật phá hoại (exploit), nhưng rootkit tự nó chỉ là một bộ các chương trình tiện ích. Các chương trình này thường không phụ thuộc vào các lỗi phần mềm (chẳng hạn lỗi tràn bộ đệm) mà các exploit lạm dụng. Nhiều tin tặc có một kho các exploit, nhưng chỉ có một hai chương trình rootkit để sử dụng kèm. Một khi vào được hệ thống, tin tặc sẽ triển khai rootkit thích hợp, bất kể mình sử dụng exploit nào.
Tuy rootkit không phải là một exploit, nhưng nó hoàn toàn có thể chứa một exploit. Rootkit thường cần quyền truy nhập tới nhân hệ điều hành quản lý và chứa một vài chương trình khởi đầu chạy khi mạng lưới hệ thống khởi động ( boot ). Một trong những phương pháp cài một rootkit vào mạng lưới hệ thống là sử dụng một exploit ứng dụng, ví dụ lỗi tràn bộ đệm là một chính sách để nạp mã chương trình vào nhân hệ điều hành quản lý.
Rootkit không phải là virus
Virus máy tính là một Chương trình tự nhân bản và phát tán. Trái lại, rootkit không tự nhân bản và không có chính sách hoạt động giải trí độc lập tự chủ. Rootkit nằm trọn vẹn dưới quyền trấn áp của một kẻ tiến công là con người, hacker tiến công tất cả chúng ta bằng phương pháp này là đa số, virus thì không.