Rootkits são um tipo de malware, mas existem outros tipos de malware – como o malware associado a trojans e backdoors – que são distintos dos rootkits.

Os rootkits são diferentes dos trojans porque trojans são qualquer tipo de software que dá aos invasores acesso a pelo menos parte de um sistema. Na maioria dos casos, o nível de acesso que os trojans fornecem aos atacantes é limitado; um trojan pode permitir que invasores visualizem dados confidenciais, por exemplo, mas não executem comandos como usuário administrativo. Por outro lado, os rootkits fornecem acesso completo em nível de administrador.

Na mesma linha, rootkits são diferentes de backdoors porque backdoor é qualquer malware que permite acesso não autorizado a um sistema, não necessariamente o acesso de nível de administrador fornecido por um rootkit.

É importante notar que há ambigüidade em torno dos termos trojan e backdoor; ambos são termos genéricos que podem se referir a uma ampla variedade de tipos de malware e técnicas de ataque. Indiscutivelmente, os rootkits podem ser descritos como um tipo de trojan e também como um tipo de backdoor, mas existem muitos outros tipos de trojans e backdoors.

Como funcionam os rootkits?

Como explicaremos abaixo na seção sobre técnicas de rootkit, existem vários meios pelos quais os invasores podem instalar rootkits em um sistema, e os rootkits podem operar em diversas partes diferentes do sistema.

Entretanto, todos os rootkits funcionam da mesma maneira básica, usando o seguinte processo:

• Os invasores obtêm acesso a um sistema (por exemplo, explorando uma vulnerabilidade de software) de uma forma que lhes permite instalar malware.
• O malware contorna os controles de acesso padrão para dar aos invasores a capacidade de realizar as mesmas atividades que o usuário root ou administrador.
• O software rootkit oculta sua presença modificando binários e processos para que não pareçam maliciosos.

Assim que esse processo for concluído, os invasores podem usar os rootkits para executar ações como exfiltrar dados confidenciais do endpoint infectado, assumir o controle de aplicativos e usar o endpoint para executar software ilícito, como criptomineradores.

Confira também: 10 Métodos para Armazenar Moedas Digitais Cripto de Forma Segura

Técnicas de rootkit

Os rootkits podem ser divididos em categorias com base em como operam.

Rootkits em modo kernel

Os rootkits no nível do kernel operam no que é conhecido como espaço do kernel. Isso significa que eles são executados como programas controlados diretamente pelo kernel e têm o mesmo nível de acesso ao sistema operacional que os processos do kernel. Como o kernel é o programa principal de um sistema operacional que controla todas as outras operações, a execução no modo kernel significa que os rootkits podem acessar facilmente quaisquer outros recursos do sistema.

Rootkits de modo de usuário

Os rootkits de modo de usuário são executados no espaço do usuário ou na área do usuário, que é a mesma parte do sistema operacional onde os aplicativos padrão são hospedados. Em vez de assumir o controle do sistema a partir do nível do kernel, os rootkits em modo de usuário normalmente exploram outros tipos de vulnerabilidades no sistema operacional (como pontos fracos nos sistemas de controle de acesso) que lhes permitem obter acesso em nível de administrador, mesmo na verdade não esteja sendo executado com privilégios de nível de kernel.

Bootkits

Um bootkit é um rootkit instalado no registro de inicialização de um terminal. Quando o sistema é inicializado, o rootkit é carregado. Isso significa que o rootkit tem controle sobre todos os aspectos do sistema desde o início de cada sessão do sistema.

Uma vantagem dessa abordagem para os invasores é que carregar o rootkit durante a inicialização facilita a ocultação do rootkit, porque o software projetado para detectar rootkits pode não estar operacional até que o sistema tenha inicializado totalmente, portanto, ele não pode detectar bootkits que são carregados anteriormente. Os bootkits também geralmente ficam ocultos nos registros de inicialização, e não nas partições padrão do sistema de arquivos, o que também os torna mais difíceis de detectar em alguns casos.

Rootkits baseados em hipervisor

Rootkits baseados em hipervisores operam dentro de hipervisores, que são softwares que iniciam e gerenciam máquinas virtuais. A partir do hipervisor, os rootkits podem controlar operações e acessar recursos dentro de máquinas virtuais.

Esse tipo de rootkit funciona apenas com máquinas virtuais, não com servidores bare-metal. Mas como muitos workloads hoje são virtualizados, os rootkits baseados em hipervisor tornaram-se um grande risco.

Confira também: Cibersegurança: O que é worm?

Prevenção e mitigação de ataques de rootkit

Depois que um rootkit infecta um sistema, ele pode começar a causar danos imediatamente e pode ser difícil de detectar até que ocorram danos significativos. É por isso que é importante tentar impedir que invasores instalem rootkits e tomar medidas para mitigar o impacto dos rootkits caso sejam instalados.

O passo mais importante para a prevenção de rootkits é garantir que o software esteja atualizado e verificá-lo em busca de vulnerabilidades. Como os invasores muitas vezes exploram vulnerabilidades em sistemas operacionais ou aplicativos para instalar rootkits, manter os sistemas livres de vulnerabilidades impedirá a maioria dos ataques de rootkits.

O bloqueio de portas de rede desnecessárias também pode ajudar a prevenir rootkits, tornando mais difícil para os invasores encontrarem e explorarem vulnerabilidades na rede. O mesmo acontece com seguir o princípio do menor privilégio ao configurar contas de usuário, uma vez que os invasores podem aproveitar o excesso de privilégios nas contas de usuário que controlam para instalar software rootkit.

Quanto à mitigação de rootkits, segmentar recursos uns dos outros é uma técnica útil porque minimiza a extensão dos recursos que os invasores de rootkit podem acessar caso assumam o controle de um sistema. Você pode impor a segmentação no nível da rede, o que reduz o risco de que um ataque de rootkit contra um endpoint possa se espalhar para outros endpoints. Além disso, dividir servidores físicos em máquinas virtuais e usar cada máquina virtual para um workload diferente ajuda a fornecer segmentação de workload e a reduzir o risco de que um rootkit instalado em uma máquina virtual possa impactar workloads hospedados em outras máquinas virtuais. (Dito isto, um rootkit baseado em hipervisor pode infectar todas as máquinas virtuais neste cenário).

Confira também: Cibersegurança: Como fazer uma boa arquitetura de segurança para a sua empresa

Inscreva-se no curso Malware: Prevenção, Proteção e Resposta a Incidentes na Prática

Entender a diferença entre backdoors e rootkits é apenas o começo. Para proteger seus sistemas de forma eficaz contra essas e outras ameaças, é crucial aprofundar seus conhecimentos e habilidades práticas. No curso “Malware: Prevenção, Proteção e Resposta a Incidentes na Prática” da IBSEC, você aprenderá a identificar, prevenir e responder a incidentes de malware. Inscreva-se agora e domine as técnicas necessárias para manter seus sistemas seguros e resilientes contra ataques cibernéticos. Clique aqui!

CONFIRA TAMBÉM:

• 
  02.04.2025 | Carreiras em Cibersegurança

  SQL Injection: Entenda a Ameaça e Como Evitá-la

  SQL Injection (SQLi) é um ataque cibernético que injeta código SQL malicioso em um aplicativo, permitindo que o invasor visualize ou modifique um banco de dados.  Para se proteger contra ataques de SQL injection, é essencial […]

• 
  31.03.2025 | Carreiras em Cibersegurança

  Adware Blocker: Por Que Você Precisa de Um?

  Como o nome sugere, o adware blocker ou bloqueadores de anúncios são para bloquear anúncios — você não precisa ser um Sherlock Holmes para descobrir isso. No entanto, faríamos uma injustiça aos bloqueadores de anúncios se […]