Rootkit là gì ? Cách quét rootkit nhanh và hiệu quả

18 Nov, 2021 admin

Rootkit là gì?

Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Sở hữu một cách “ngụy trang” siêu đặc biệt, rootkit khi đã được cài đặt sẽ “đánh lừa” sao cho các phần mềm diệt virus thông thường khi quét qua chỉ thấy nó một là một ứng dụng vô hại.

Thực ra, bản chất rootkit không mang mã độc nhưng khi đi chung với các chương trình mang tính “phá hoại” như: virus, sâu, phần mềm gián điệp, trojan… thì lại nguy hiểm hơn rất nhiều.

Những malware nào sử dụng kĩ thuật rootkit?

Vài Rootkit mang đúng ý nghĩa và tính chất của rootkit được biết đến như: Hacker Defender và FU.

Một số phần mềm gián điệp, quảng cáo có sử dụng rootkit: EliteToolbar, ProAgent, and Probot SE.

Các trojan như: Berbew/Padodor và Feutel/Hupigon và một số sâu như: Myfip.h và họ sâu Maslan cũng sử dụng rootkit.

Cách thức hoạt động của rootkit?

Bản thân không có những đoạn code đặc biệt để có thể tự nhân bản và phát tán. Thực sự, rootkit phát tán cùng với những chương trình phá hoại có kèm theo nó (thông qua những lỗ hổng hệ thống của windows và những chương trình sử dụng). “Con đường phát tán” phổ biến nhất là qua thư điện tử. Ngoài ra, hiện nay, hacker đã phát triển rất nhiều kĩ thuật tinh vi để phán tán.
Một phần lớn những rootkits được bán trên mạng dưới dạng mã nguồn. Đa số những chương trình spyware đều sử dụng phương thức hoạt động của Rootkit. Những spyware này sẽ hoạt động trên máy của người sử dụng mà không bị phát hiện. Lợi ích cuối cùng là chúng có thể kiếm được tiền nhờ những thông tin thu thập được trên máy người sử dụng.

cach-quet-rootkit-nhanh-va-hieu-qua
Bằng kỹ thuật của Rootkit, có rất nhiều trojan đã được phát tán. Những trojan này biến máy bạn thành một bộ máy có thể điều khiển từ xa và người điều khiển chúng có thể dùng máy bạn để phát tán Spam hoặc lạm dụng máy bạn để làm những chuyện có mục đích xấu. 

Rootkit có tác hại gì?

Bạn có biết, một số thứ trong PC của bạn bị chặn đều là do rootkit. Điều này có nghĩa là sau khi một rootkit được cài đặt, bạn sẽ không thể tin tưởng được bất kỳ thông tin nào mà PC của bạn báo cáo.

Ví dụ: nếu bạn yêu cầu PC của mình liệt kê tất cả các chương trình đang khởi chạy, rootkit có thể lén lút xóa bất kỳ chương trình nào mà nó không muốn cho bạn biết.

Chủ động “tàng hình” khỏi cặp mắt của người dùng, hệ điều hành và các chương trình anti-virus/anti-malware, rootkit là phần mềm độc hại rất khó bị phát hiện.  Rootkit che giấu đi tất cả mọi thứ. Chúng ẩn mình trên máy tính của bạn và cũng ẩn hoạt động độc hại trên PC của bạn.

Rootkit có những dạng phổ biến nào?

Dựa trên sự duy trì sau khi khởi động lại hoặc hoạt động ở chế độ người dùng (user mode) hay ở chế độ cấp hệ thống (kernel mode), rootkit được chia ra nhiều loại khác nhau.

Theo thời gian tồn tại: chia làm hai loại

Rootkit bám dai (Persistent Rootkits)

Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi khi hệ thống khởi động. Với đặc tính malware chứa mã phá hoại sẽ được thực thi tự động mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống, chúng cần phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các phương pháp cho phép âm thầm chạy các đoạn mã mà người sử dụng không hay biết.

Rootkit trên bộ nhớ (Memory-Based Rootkits )

Bản chất của rootkit này là các malware không có những đoạn mã “dai dẳng” – chỉ lưu trong bộ nhớ.  Do đó loại rootkit này không tồn tại sau khi khởi động lại máy.

Theo mức độ xâm nhập hệ thống: chia làm hai loại

Rootkit chế độ người dùng (User-mode Rootkits)

Rootkit ở chế độ người dùng sử dụng nhiều phương pháp khác nhau để lẩn trốn không bị phát hiện. Nó hoạt động ở mức cao hơn trong các tầng bảo mật của hệ thống máy tính, cùng tầng với những ứng dụng bình thường khác mà chúng ta hay sử dụng. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập trình ứng dụng (API). Cụ thể hơn, nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó gọi hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã độc trong rootkit.

User-mode app có thể kể đến như những ứng dụng văn phòng, trình duyệt, game,…

cach-quet-rootkit-nhanh-va-hieu-qua

Rootkit chế độ nhân (Kernel-mode Rootkits)

Loại này khó bị phát hiện và cũng khó bị diệt vì nó ẩn sau bên trong hệ điều hành. Khi bạn vừa bật máy lên, những con rootkit này sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện pháp bảo mật thông thường vốn được tích hợp ở tầng user-mode.

Để thực hiện được mục đích của mình, kernel-mode rootkit sẽ tác động vào kernel, bộ nhớ và các thành phần hệ thống khác.

Cách quét rootkit nhanh và hiệu quả

Giống như bất kỳ loại phần mềm độc hại nào khác, cách tốt nhất để tránh rootkit là ngăn không cho nó được cài đặt ngay từ đầu.

cach-quet-rootkit-nhanh-va-hieu-qua

Ngăn chặn rootkit

  • Cập nhật hệ thống chống antivirus và phần mềm gián điệp.
  • Triển khai hệ thống tường lửa mạng và host-based.
  • Cập nhật các bản vá cho hệ điều hành và ứng dụng.
  • Sử dụng phương pháp xác thực mạnh.
  • Không bao giờ sử dụng phần mềm từ những nguồn không tin cậy.

Phần mềm hỗ trợ quét rootkit

Sử dụng RootkitRevealer
RootkitRevealer cần một account có quyền Backup, nạp trình điều kiển và thực hiện các tác vụ duy trì volume. Để tránh những báo động giả, cần chạy RootkitRevealer trong điều kiện hệ thống không thực hiện tác vụ gì.
– Quét thủ công
Gọi RootkitRevealer và nhấn nút Scan.

RootkitRevealer thông báo các hoạt động đang thực hiện ở thanh trạng thái phía dưới cửa sổ và đưa các sai khác ra danh sách kết quả.

Các tùy chọn có thể thiết lập là:
Hide NTFS Metadata Files: bật mặc định
Scan Registry: bật mặc định
– Quét tự động
– Tìm hiểu kết quả

Hướng dẫn cụ thể: http://www.sysinternals.com/utilities/rootkitrevealer.html

Sử dụng BlackLight

Đây là phần mềm tiêu diệt rootkit của hãng F-Secure. Hiện nay, phiên bản beta của BlackLight miễn phí, bạn có thể download tại: http://www.europe.f-secure.com/exclude/blacklight/index.shtml

Ngoài ra, còn có một số phần mềm khác như: McAfee Rootkit Detective, Panda Anti Rootkit, Trend Micro Rootkit Buster, Sophos Anti-Rootkit, …. 

Tuỳ vào tính chất, nhu cầu sử dụng mà bạn cần tìm một phương thức bảo mật thích hợp với mình. Liên hệ ngay Tinohost để được tư vấn chi tiết nhé!

Hỗ trợ 24/7/365 – “đúng doanh nghiệp – đúng dịch vụ – đúng khả năng”

Với đội ngũ nhân viên chuyên môn cao, trang thiết bị tối tân cùng tinh thần tận tâm hỗ trợ 24/7/365,  TinoHost tự tin cung cấp dịch vụ tên miền , hosting tối ưu và hệ thống máy chủ mạnh mẽ với chi phí tốt nhất cho doanh nghiệp của bạn.

Chỉ cần để lại thông tin cá nhân của bạn, chuyên viên tư vấn của TinoHost sẽ giúp bạn chọn được giải pháp tốt nhất cho tên miền và hosting. Đừng để công nghệ trở thành rào cản quá trình phát triển công ty bạn.

Với bề dày kinh nghiệm hơn 5 năm cung cấp hosting, dịch vụ cho thuê máy chủ, các dịch vụ liên quan đến tên miền và bảo mật website, hãy để TinoHost đồng hành cùng bạn khẳng định thương hiệu trên bản đồ công nghệ toàn cầu!

CÔNG TY CỔ PHẦN TẬP ĐOÀN TINO

  • Trụ sở chính: L17-11, Tầng 17, Tòa nhà Vincom Center, Số 72 Lê Thánh Tôn, Phường Bến Nghé, Quận 1, Thành phố Hồ Chí Minh
    Văn phòng đại diện: 42 Trần Phú, Phường 4, Quận 5, Thành phố Hồ Chí Minh
  • Điện thoại: 0364 333 333
    Tổng đài miễn phí: 1800 6734
  • Email: [email protected]
  • Website: www.tino.org

  • Văn phòng đại diện: Tầng 31, Tòa L2, Vinhomes Central Park, 720A Điện Biên Phủ, P.22, Q.Bình Thạnh, Thành phố Hồ Chí Minh
  • Website: 
0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments