Hoewel de term rootkit misschien klinkt als een wiskundige oplossing of een tuingereedschap, is het geen van beiden. Een rootkit kan behoorlijk gevaarlijk zijn voor de persoonlijke informatie op je apparaat en dient meestal cybercriminelen. Hier is een korte rootkit-definitie in computertaal — rootkits zijn een vorm van malware die een bedreigingsactor de controle over je computer kan geven zonder jouw toestemming of kennis.
Wat is een rootkit? Rootkit-definitie
De term rootkit is een combinatie van de woorden "root" en "kit." "Root," "admin," "superuser," of "systeembeheerder" zijn allemaal uitwisselbare termen voor een gebruikersaccount met de admin-status van een besturingssysteem. Ondertussen betekent "kit" een pakket softwaretools. Dus, een rootkit is een set tools die iemand de hoogste privileges in een systeem geeft.
Rootkits zijn bijzonder gevaarlijk omdat ze zijn ontworpen om hun aanwezigheid op je apparaat te verbergen. Een bedreigingsactor die een rootkit op je machine heeft gekregen (vaak via phishing-e-mail) kan deze op afstand openen en besturen. Omdat ze toegang op root-niveau mogelijk maken, kunnen rootkits worden gebruikt om dingen te doen zoals je antivirussoftware deactiveren, je activiteiten bespioneren, gevoelige gegevens stelen of andere malware op het apparaat uitvoeren.
Is een rootkit een virus?
In tegenstelling tot wat vaak wordt gedacht, is een rootkit geen virus — het is malware. Toegegeven, dat klinkt misschien verwarrend. Een virus is slechts één type malware, en hoewel een virus alleen gegevens beschadigt, is een rootkit veel geavanceerder. Gelukkig kan moderne antivirussoftware die gebruikmaakt van geavanceerde beveiligingstechnieken zoals gedragsheuristieken verschillende soorten malware aanpakken, van virussen en wormen tot ransomware, Trojans, en zelfs enkele rootkits.
Waarom zijn rootkits zo gevaarlijk?
- Ze zijn sluw: Rootkit-infecties kunnen zich verspreiden via bedrieglijke bedreigingsvectoren zoals corrupte downloads, spam-e-mails en exploitkits. Sommige rootkits vertrouwen zelfs op Trojaanse paarden zoals Perkiler-malware om de beveiliging van een systeem te doorbreken.
- Ze zijn stil: In tegenstelling tot andere soorten malware, vertoont een diep verborgen rootkit niet veel symptomen. Het kan zelfs je beveiligingssoftware omzeilen, waardoor het lastig te verwijderen is. Sommige rootkits kunnen alleen worden verwijderd door je opslagstation te formatteren en je besturingssysteem opnieuw te installeren.
- Ze zijn veelzijdig: Enkele experts noemen rootkits de Zwitsers zakmessen van malware omdat ze meerdere mogelijkheden hebben. Sommige rootkit-tools kunnen inloggegevens en financiële gegevens stelen, beveiligingsprotocollen uitschakelen, toetsaanslagen registreren en meer. Andere rootkits kunnen een hacker toegang tot een achterdeur in een systeem geven en meer malware toevoegen. Met de juiste rootkit kan een hacker een systeem in een bot veranderen om een botnet te vormen en DDoS (Distributed-Denial-of-Service) aanvallen tegen websites te starten.
Soorten rootkits
Bootloader rootkit
Zodra je een computer aanzet, laadt de bootloader het besturingssysteem. Een bootloader rootkit infiltreert dit mechanisme en infecteert je computer met de malware voordat het besturingssysteem klaar is voor gebruik. Bootloader rootkits zijn tegenwoordig minder een bedreiging dankzij beveiligingsfuncties zoals Secure Boot.
Firmware rootkit
Firmware is een type software dat basiscontrole biedt over het stuk hardware waarvoor het is geschreven. Alle soorten apparaten, van mobiele telefoons tot wasmachines, kunnen firmware hebben. Een firmware rootkit is moeilijk te vinden omdat het zich verbergt in firmware, waar cybersecurity-tools meestal niet naar malware zoeken.
Kernel rootkits
De kernel van je besturingssysteem lijkt een beetje op het zenuwstelsel. Het is een kritieke laag die helpt met essentiële functies. Een kernel rootkit kan catastrofaal zijn omdat het een kerncomponent van je computer aanvalt en een bedreigingsacteur aanzienlijke controle over een systeem geeft.
Geheugen rootkit
Geheugen rootkits bevinden zich op het RAM-geheugen van je computer en kunnen je machine vertragen terwijl het schadelijke taken uitvoert. Je kunt meestal een geheugen rootkit wissen door je computer opnieuw op te starten, omdat een eenvoudige herstart het geheugen van je machine vrijmaakt van alle processen.
Applicatie rootkit
Een applicatie rootkit kan je reguliere bestanden wijzigen met rootkit-code, waardoor de auteur van de rootkit toegang krijgt tot je machine telkens wanneer je de geïnfecteerde bestanden opent. Deze vorm van malware is echter makkelijker te herkennen omdat bestanden die dergelijke rootkits dragen, atypisch kunnen gedragen. Bovendien hebben je beveiligingstools een betere kans om ze te identificeren.
Wat zijn rootkit-aanvallen?
Een rootkit-aanval is een aanval waarbij een bedreigingsacteur een rootkit gebruikt tegen je systeem. Zoals eerder genoemd, kunnen rootkits zich verspreiden via geïnfecteerde downloads, zoals mobiele telefoon-apps. Meer gerichte rootkit-aanvallen maken gebruik van social engineering zoals phishing-e-mails als aanvalsvector.
Sommige geavanceerde rootkit-aanvallen zijn moeilijker uit te voeren. Bijvoorbeeld, een bedreigingsactor kan een geïnfecteerde schijf moeten gebruiken om een Bootloader rootkit op je besturingssysteem te installeren.
Hoe worden rootkits gedetecteerd en verwijderd?
Rootkits zijn moeilijk te detecteren vanwege hun geheimzinnige aard. Bovendien kunnen sommige rootkits zelfs cybersecurity software omzeilen. Toch zijn er enkele symptomen die een rootkit kan vertonen:
#1 Systeemcrashes: Een rootkit die de bootloader, harde schijf, BIOS of applicaties van je computer infecteert, kan systeemscheuren softwareconflicten veroorzaken.
#2 Software storingen: Merk je vertragingen op, mysterieuze instellingenwijzigingen of webbrowser storingen? Een rootkit kan verantwoordelijk zijn voor dergelijke problemen.
#3 Antivirus crash: Als je antivirus zonder reden uitschakelt, probeer dan een anti-rootkit scan om naar malware te zoeken. Installeer daarna je cybersecurity-software opnieuw.
Hoe voorkom je dat rootkit-malware je systeem infecteert?
Het is belangrijk om je apparaten proactief te beschermen tegen alle soorten malware, en rootkit-malware is een bijzonder serieuze bedreiging. Vanuit ons Malwarebytes Labs-artikel over hoe je een rootkit-aanval op je computer of mobiele apparaat voorkomt, zijn hier stappen die je kunt nemen om veilig te blijven:
- Scan je systemen: Gebruik een geavanceerde bedreigingsscanner zoals die in Malwarebytes Premium om je apparaten regelmatig op bedreigingen te controleren. Ons artikel heeft nog gedetailleerder advies over het scannen op rootkits op verschillende manieren, maar regelmatige malware-scans zijn een goed beginpunt.
- Wees voorzichtig met phishingpogingen: Wees voorzichtig met waar je op klikt en wat je downloadt. Phishing-e-mails zijn erg verfijnd geworden en een phishingpoging kan bijna identiek lijken aan een legitieme e-mail van iemand die je vertrouwt, zoals je bank of favoriete winkel. Controleer altijd het e-mailadres van de afzender om zeker te weten dat het van een legitiem domein komt (bijvoorbeeld een PayPal-e-mail komt van paypal.com), en als je twijfelt of een e-mail een phishingpoging is, kun je deze doorsturen naar de vermeende afzender voor controle. Wees ook voorzichtig met links die via sms van onbekende nummers komen.
- Update je software: Software-updates komen soms op ongelegen momenten, wanneer je midden in iets anders zit, maar softwareontwikkelaars sturen ze om goede redenen. Veel updates bevatten beveiligingsoplossingen voor problemen die de ontwikkelaar heeft gevonden, dus je wilt niet wachten om deze te implementeren. Het is het beste om je software te updaten wanneer je een melding krijgt.
- Gebruik geavanceerde antivirus/anti-malware: Geavanceerde antivirus- en anti-malwarebescherming zoals Malwarebytes Premium maakt gebruik van verschillende methoden om bedreigingen te detecteren en te blokkeren voordat ze je apparaten bereiken. Dit is een belangrijke stap om je te beschermen tegen uiteenlopende bedreigingen en soorten malware.