O que é Rootkit e como se proteger?

Rootkit é um tipo de software malicioso (ou malware) muito usado por hackers maliciosos para invadir, infectar e controlar os dispositivos das vítimas. Rootkits são conjuntos de ferramentas que fazem com que os cibercriminosos consigam ter privilégios de administrador no sistema infectado, o que permite maior liberdade de ação dentro do sistema invadido.

Além disso, eles oferecem outra vantagem aos cibercriminosos: são extremamente difíceis de detectar, o que faz com que eles sejam bastante sutis, dificultando a identificação e a adoção de medidas de segurança contra este tipo de ameaça, já que utilizam técnicas bastante avançadas para evitar a detecção por parte de mecanismos de proteção (como software antivírus, por exemplo).

Muitos rootkits conseguem se disfarçar de programas legítimos, o que faz com que os sistemas não os interpretem como uma ameaça. Eles até mesmo conseguem se esconder no kernel usado para controlar e gerenciar todo o sistema, o que os torna um dos grupos mais invasivos de ameaças digitais em ação.

Os rootkits também são bastante versáteis: conseguem atacar desktops, notebooks, laptops, dispositivos móveis e até mesmo aparelhos inteligentes que fazem parte da IoT (Internet of Things, ou ‘’internet das coisas’’).

Então, de forma simples, nós podemos entender que rootkit é um termo usado para designar um grupo de malware criado especialmente para garantir o acesso, o controle e o domínio sobre dispositivos infectados, com a capacidade de infectar não só sistemas operacionais e software em geral, mas o próprio hardware (e também o firmware) dos aparelhos infectados.

Primeiro, o rootkit precisa infectar o dispositivo. Para isto, os hackers usam várias técnicas para induzir as vítimas a baixar o conteúdo malicioso: eles disfarçam o rootkit como se ele fosse um programa legítimo, um aplicativo confiável ou qualquer coisa do tipo.

Ou enviam e-mails com links e anexos infectados, através de estratégias de phishing (ou qualquer estratégia de ataque de engenharia social). Quando a vítima clica em algum destes links ou baixa qualquer um destes programas, ela abre brechas para que o rootkit se instale no sistema. Depois de infectar e se alojar no sistema, o rootkit começa a agir sem que a vítima perceba e sem que a maioria dos mecanismos de defesa consigam detectá-lo.

Nesta etapa, os rootkits dão aos hackers praticamente o controle total do dispositivo infectado e, em muitos casos, o domínio total sobre o sistema. Os criminosos conseguem executar arquivos, fazer alterações nas configurações do sistema, roubar informações pessoais sensíveis, monitorar as atividades da vítima, usar funções de keylogger para descobrir senhas e credenciais (como dados de cartão de crédito, de e-mail e de redes sociais, por exemplo) e uma série de mudanças.

Estas alterações incluem configurações de segurança, o que permite que os cibercriminosos consigam disseminar vários outros tipos de malware e até transformar o dispositivo em parte de uma rede botnet usada para executar ataques DDoS.

Hackers usam rootkits para várias finalidades. No geral, qualquer informação pessoal é válida e o que eles desejam é controlar o máximo possível de sistemas com os rootkits que disseminam. Nós podemos ressaltar alguns objetivos centrais deste tipo de ciberameaças:

• Controle total do sistema: os hackers querem controle total sobre um sistema e os rootkits são perfeitos para isto. Este nível de controle facilita outros tipos de ataques também, como ataques DDoS por exemplo.
• Ocultação de malware: outro objetivo do uso dos rootkits é esconder outras categorias de malware como se fossem programas legítimos, o que amplia os potenciais de dano no sistema infectado.
• Desativação de sistemas de proteção: rootkits também são usados com o propósito de desativar os sistemas de segurança do sistema, abrindo ainda mais brechas e vulnerabilidades de segurança para os hackers.
• Criação de uma backdoor: hackers também usam rootkits para criar backdoors (basicamente, uma brecha de segurança) no sistema infectado, o que permite novos acessos ao sistema comprometido.
• Monitoramento de atividades e roubo de dados pessoais: o nível de acesso permitido pelos rootkits faz com que eles sejam ótimos para espionar e monitorar as ações das vítimas, o que ajuda no roubo e vazamento de dados, senhas, arquivos pessoais e qualquer coisa que possa ser do interesse dos criminosos, incluindo informações bancárias e de cartão de crédito.

De forma resumida, os cibercriminosos possuem uma ampla lista de objetivos quando usam rootkits. Qualquer informação que traga vantagens pessoais e principalmente financeiras é extremamente útil para eles, e ter controle total de um sistema ou dispositivo é um dos meios mais eficazes de atingir isto.

Há vários tipos e categorias de rootkits e nós podemos destacar os principais, tanto por serem mais nocivos quanto pela frequência com a qual são utilizados:

Rootkit de Kernel

Esta categoria abrange os rootkits considerados mais agressivos e perigosos, já que eles atingem diretamente o Kernel, que é o núcleo do sistema operacional. Além de permitir o acesso ao dispositivo infectado, eles também permitem alterar funções essenciais do sistema operacional.

Rootkit user-mode

Eles também são conhecidos como rootkits híbridos e utilizam componentes do Kernel e das ações nos usuários do sistema. Eles permitem alterações mais complexas no Kernel, além de dar mais privilégios administrativos aos cibercriminosos.

Rootkit de firmware

Também conhecidos como rootkits de hardware, eles agem também em discos rígidos, SSD, roteadores e outros tipos de hardware, além de também atingir a BIOS. Eles usam o firmware para infectar o dispositivo com malware bastante nocivo e extremamente difícil de identificar e bloquear.

Eles também atuam como keyloggers, já que permitem o registro de tudo o que a vítima digita no teclado, além de permitir o monitoramento das atividades da vítima.

Rootkit bootkit

Os bootkits são rootkits que também afetam o Kernel do sistema e infectam o MBR (Master Boot Record, ou Registro Mestre de Boot/Inicialização). Eles também são chamados de bootloaders. Sempre que o dispositivo inicializa, a consulta ao MBR é alterada pelo rootkit, o que permite modificações muito mais complexas no sistema.

Este tipo de rootkit também é muito difícil de ser detectado. Apesar disto, são considerados mais obsoletos em relação aos demais tipos de rootkits, porque há recursos de Inicialização Segura (ou Secure Boot) desde o Windows 8 e o Windows 10. Mas sistemas mais antigos ou sem as devidas atualizações de segurança são vulneráveis a este tipo de rootkit.

Rootkits de memória

Como o nome indica, esta categoria de rootkit se esconde na memória RAM e usa os recursos de hardware do computador infectado para permitir a execução de ações nocivas por parte dos hackers, e tudo em segundo plano, de modo silencioso. Eles também são chamados de rootkits hypervisor.

Eles afetam o desempenho da memória RAM afetada e não fazem nenhum tipo de injeção permanente de código sobre o sistema. Isto faz com que eles sejam desativados quando o sistema é desligado ou reiniciado, mas nem sempre isto é suficiente para removê-los do dispositivo. Esta atuação temporária faz com que os rootkits deste tipo sejam considerados menos nocivos, mas ainda assim devem ser levados a sério.

Rootkits virtuais

Os rootkits virtuais funcionam em segundo plano no sistema infectado, o que faz com que sejam mais silenciosos. Além disto, eles são usados para hospedar sistemas operacionais como máquinas virtuais (virtual machines), habilitando a interceptação de chamadas de hardware sem exigir a modificação do kernel.

Rootkits de aplicações

Os rootkits de aplicações (ou rootkits de aplicativos) fazem a substituição dos arquivos do sistema por outros arquivos inseridos pelo rootkit, o que permite alterar o modo como os programas e aplicativos funcionam e o que eles fazem no sistema.

Eles conseguem atingir programas como Paint, Notepad ou os programas que formam o pacote do Microsoft Office, o que permite o acesso dos cibercriminosos sempre que a vítima utiliza estes programas.

Além disso, eles ficam disfarçados nestes programas que são legítimos, o que faz com que a identificação deles seja dificultada. Ainda assim, bons programas antivírus são capazes de detectar estes tipos de rootkit, já que eles atuam na camada dos programas afetados e não no Kernel em si.

O primeiro malware considerado como rootkit foi criado em 1990 por Steven Dake e Lane Davis, na Sun Microsystems, para o sistema SunOS UnixOS. Ele já era capaz de permitir a criação de uma backdoor no sistema afetado.

Desde então, surgiu uma infinidade de rootkits e, para mostrar o quanto eles podem ser perigosos e destrutivos, alguns rootkits merecem um destaque especial:

NTRootkit

O trojan NTRootkit surgiu em 1999, teorizado por Greg Hoglund. É considerado como o primeiro rootkit a atingir sistemas da Microsoft e atingia diretamente o kernel dos sistemas operacionais.

HackerDefender

Um ano depois, em 2000, surge o HackerDefender, um rootkit criado para infectar o Windows 2000 e o Windows XP. Surgem também as ferramentas com objetivo de contra-atacar os rootkits, como o RootkitRevealer, o que exige uma evolução ainda maior dos rootkits.

Greek Watergate

Conhecido como Greek Watergate (ou Watergate Grego), sendo uma referência ao escândalo Watergate ocorrido nos Estados Unidos, mas referindo-se ao rootkit usado em 2004 para infectar mais de 100 celulares de usuários gregos da Vodafone na Grécia (incluindo o então primeiro-ministro, além de outros políticos gregos), ele foi um dos primeiros a mostrar o potencial de dano e vazamento de dados dos rootkits.

Ferramentas anti-pirataria da BMG

Em 2005, a Sony BMG enfrentou um escândalo de imagem depois de distribuir mídias que instalavam um rootkit nos sistemas dos usuários, tudo para impedir a pirataria. Só que não havia nenhum consentimento por parte dos usuários, e os rootkits abriam vulnerabilidades que também podiam ser usadas por cibercriminosos, o que comprometia a segurança e a privacidade das pessoas.

FuTo

O FuTo foi um rootkit bastante silencioso usado a partir de 2006 para infectar sistemas Windows. Foi usado tanto contra usuários individuais como contra empresas.

Rustock

Também surgido em 2006, o Rustock Rootkit infectava dispositivos e transformava-os em partes de uma botnet. As máquinas infectadas eram usadas pelos cibercriminosos para enviar e-mails de spam e impulsionar ataques de phishing.

Mebroot

O Mebroot apareceu como ameaça em 2007 e era utilizado para alterar o processo de boot do dispositivo, o que fazia com que ele fosse extremamente persistente e difícil de eliminar.

TDL-1

O TDL-1 era usado para disseminar o Alureon em 2008, um trojan bastante usado para infectar dispositivos e transformá-los em partes de redes botnets usadas para executar ataques DDoS.

Machiavelli

Projetado para atingir dispositivos MacOS, este rootkit foi criado em 2009 para expandir o poder de infecção para além dos sistemas Windows.

Stuxnet

Provavelmente projetado em 2010 entre os militares dos EUA e de Israel, o Stuxnet é um rootkit bastante invasivo e praticamente incapaz de ser detectado. O objetivo original era invadir e atacar o programa nuclear do Irã.

Alureon

Também conhecido como TDL-4, apareceu em 2011, servindo como um rootkit bastante avançado e usado para atacar sistemas ao redor do mundo inteiro, comprometendo os dados de inúmeros usuários. Neste estágio, os rootkits se tornavam cada vez mais ciberameaças globais.

ZeroAccess

Criado em 2011, o ZeroAccess foi bastante usado para fraudes de mineração de Bitcoins e gerou uma grande ruptura no mercado de criptomoedas, além de imensas perdas financeiras.

Necurs

O Necurs foi um malware do tipo standalone usado em 2011 para infectar dispositivos, integrando-os à botnet Gameover Zeus.

Flame

Surgido em 2012, o Flame é um rootkit de 20MB (considerado grande, já que a maioria dos rootkits têm cerca de 1MB) que foi bastante disseminado especialmente nos países do Oriente Médio e do norte da África.

Uroburos

Projetado em 2014 para invadir instituições com alto nível de segurança, foi bastante usado para roubo e vazamento de dados. O Uroburos expôs um grande nível de despreparo em termos de cibersegurança por parte de ambientes que antes eram vistos como mais seguros, como os ambientes corporativos.

Lojax

Com a capacidade de infectar o UEFI (ou seja, o firmware que faz o controle da placa mãe de um dispositivo), o Lojax foi criado em 2018 e conta com a capacidade de continuar ativo mesmo depois da reinstalação completa do sistema operacional, o que faz com que ele seja um dos rootkits mais persistentes e difíceis de remover.

Scranos

Projetado em 2019, o rootkit Scranos é bastante usado por cibercriminosos para roubar credenciais das vítimas, como senhas e e-mails de acesso ou praticamente qualquer dado salvo no navegador (incluindo informações de cartões de crédito). Além disto, ele também é usado para infectar dispositivos e gerar cliques para aumentar ganhos com AdSense e visualizações no YouTube.

Há várias maneiras pelas quais os rootkits conseguem se instalar no seu dispositivo:

• Eles podem se disfarçar de programas confiáveis que você costuma baixar. Eles podem fazer isto através da implementação em um website, pela distribuição feita por terceiros ou até mesmo pelos desenvolvedores de um programa.
• Rootkits também conseguem se instalar no seu dispositivo através do roubo de dados de acesso por meio de ataques de engenharia social.
• Rootkits também podem ser instalados através de drives USB comprometidos. Apesar de ser mais difícil e mais raro, a infecção através de mídias físicas ainda é um meio recorrente de infectar dispositivos com rootkits.
• Outra forma de disseminação de rootkits é através da ocultação de arquivos avançados, como arquivos no formato PDF, o que permite uma distribuição ainda mais acelerada e silenciosa dos rootkits, mesmo para os usuários mais experientes e atentos.

Os criminosos cibernéticos geralmente disseminam rootkits dividindo-os em dois programas: o dropper (que faz a importação do rootkit para o dispositivo atacado e inicia a primeira etapa da instalação do rootkit no sistema) e o loader (que é executado após a instalação do dropper e permite explorar as vulnerabilidades de segurança do sistema).

Rootkits são bastante silenciosos e identificar a presença deles é uma tarefa bastante difícil. Mas você pode observar alguns indícios e sintomas que ajudam a perceber se seu dispositivo foi infectado com rootkit:

Perda de desempenho

Se seu dispositivo demorar muito mais tempo para executar tarefas simples, inicializar ou encerrar processos, há uma chance muito grande de ele ter sido infectado com rootkit. Travamentos constantes também são outro sinal muito forte da presença de rootkits.

Alterações nas configurações do sistema

Qualquer alteração estranha nas configurações do seu sistema pode indicar a presença de um rootkit. Mudanças na proteção de tela, na barra de tarefas, na aparência do sistema ou até mesmo alterações na data e hora podem ser sinais da presença de um rootkit.

Erro de tela azul

O terrível erro da tela azul (que pode ser acompanhada de algum texto, geralmente na cor branca) também pode ser um sintoma de que seu dispositivo Windows foi infectado com rootkit.

Mudanças no navegador

Páginas estranhas que abrem sozinhas, alterações na página inicial do navegador (a página que é aberta assim que você inicia o navegador), além de problemas no carregamento de páginas e na navegação em geral também podem ser sinais da presença de um rootkit no seu sistema.

A lentidão na internet também é um sinal vermelho: como os hackers usam os rootkits para executar várias funções, isto gera um aumento do consumo da largura de banda, o que prejudica o desempenho da sua conexão.

Se seu dispositivo foi infectado com rootkits, removê-los é um desafio. Mas, não se preocupe, você pode eliminá-los do seu sistema seguindo alguns procedimentos.

Como remover rootkits no Windows

Em sistemas Windows, você pode executar uma verificação do sistema para verificar se ele foi infectado com rootkit. É muito importante reinstalar o sistema operacional do zero, de preferência com uma mídia externa.

Alguns rootkits podem infectar a BIOS, o que torna o processo muito mais difícil. Em alguns casos, o recomendável é substituir totalmente o hardware e configurar um novo computador.

Como remover rootkits no Mac

Para dispositivos Mac, o essencial é manter todas as atualizações possíveis. Como os sistemas macOS não contam com recursos de identificação de rootkit embutidos, é necessário reinstalar o sistema operacional se você suspeitar de que o dispositivo foi atacado por rootkit.

Entretanto, assim como no caso do Windows, se o rootkit tiver infectado a BIOS o mais aconselhável é adquirir um novo dispositivo.

Os danos causados pelos rootkits são imensos. Além das perdas e prejuízos com roubo e vazamento de dados pessoais, eles podem inutilizar seu hardware. Então, a prevenção é o melhor remédio.

Você pode adotar algumas medidas que ajudam na proteção contra rootkits:

• Faça uma verificação de rootkit: você pode usar ferramentas especializadas na identificação de rootkits para fazer varreduras no seu sistema pelo menos uma vez ao mês. Mas é essencial verificar se a ferramenta é segura e se respeita sua privacidade, já que muitos rootkits se disfarçam justamente de ferramentas legítimas.
• Evite baixar programas de fontes duvidosas: só faça o download de programas através de lojas oficiais e websites gerenciados pelos próprios desenvolvedores.
• Não baixe arquivos em anexo nem abra links suspeitos: táticas de phishing são bastante usadas para disseminar rootkits. Então, baixar arquivos estranhos enviados em anexos ou clicar em links suspeitos é uma das formas mais fáceis de contaminar seu dispositivo com rootkits.
• Não use dispositivos USB que não sejam confiáveis: evite compartilhar dispositivos USB e não conecte nenhuma mídia com procedência duvidosa. Mídias alternativas ou vendidas em mercados paralelos também podem vir infectadas com rootkits.
• Mantenha seu sistema operacional e seus programas sempre atualizados: atualizar seu sistema operacional e seus programas ajuda a corrigir vulnerabilidades de segurança que facilitam a infecção com rootkits e inúmeras outras ameaças.
• Use uma VPN profissional: uma VPN confiável ajuda a melhorar a segurança da sua conexão através de criptografia avançada. A NordVPN conta com a funcionalidade de Proteção contra Ameaças, o que ajuda a melhorar sua segurança digital, seus dados pessoais e sua privacidade.