Rootkit là loại phần mềm độc hại khó tìm thấy nhất. Bình thường thì bạn sẽ nhanh biết được rằng máy tính của mình bị dính phần mềm độc hại. Mặc dù một số loại phần mềm độc hại cần phải ẩn nấp, nhưng hầu hết chúng ta có thể phát hiện chúng thông qua các dấu hiệu lạ trên máy tính, còn rootkit thì không.
Những phần mềm lén lút này ẩn trong những nơi sâu nhất của máy tính của bạn, gây ra đủ mọi loại rắc rối.
Rootkit là gì?
Đặc điểm nổi bật của rootkit là chúng tránh bị phát hiện bằng cách che giấu bản thân khỏi người dùng và các phần mềm khác, bao gồm cả phần mềm chống vi-rút.
Thuật ngữ “rootkit” bao gồm hai từ: “root” (trong ngữ cảnh này, nghĩa là tài khoản quản trị trên Linux và Unix OS) và “kit” (các thành phần phần mềm triển khai công cụ). Mặc dù vốn dĩ không độc hại, nhưng rootkit thường đi kèm với nhiều loại phần mềm độc hại khác nhau và cấp cho hacker quyền truy cập vào máy tính của bạn với quyền quản trị.
Vì vậy, rootkit có thể cung cấp một backdoor cho bọn tội phạm, đánh cắp dữ liệu của bạn (như mật khẩu và chi tiết thẻ tín dụng) hoặc cho máy bạn vào một mạng botnet.
Các loại rootkit
Các chuyên gia bảo mật xếp rootkit vào các danh mục dựa trên mức độ xâm nhập:
- Các rootkit ở cấp độ người dùng chạy như các quy trình bình thường, giống như các ứng dụng mà bạn có thể tự khởi động. Rootkit ở cấp độ người dùng ẩn mình bằng các kỹ thuật ít phức tạp hơn. Mặc dù chúng có thể lẻn vào máy tính dễ dàng hơn nhưng chúng cũng dễ bị phát hiện và loại bỏ hơn.
- Các rootkit ở cấp độ kernel thay thế hoặc đưa code vào các thành phần cấp hệ thống của hệ điều hành. Do đó, các loại rootkit này tiên tiến hơn nhiều và có thể ẩn mình hiệu quả hơn. Việc xóa rootkit ở cấp độ kernel khỏi hệ thống đang chạy là rất khó hoặc không thể.
- Bootkit là một loại rootkit đặc biệt lây nhiễm vào Master Boot Record hoặc UEFI của máy tính. Đây là một số phần mềm đầu tiên chạy sau khi bạn nhấn nút nguồn. Do đó, bootkit chạy bên dưới hệ điều hành và không thể bị xóa nếu không định dạng lại ổ cứng.
- Firmware hoặc phần cứng rootkit làm tổn hại đến các thành phần như bộ xử lý Intel Management Engine hoặc firmware card mạng. Đây là loại rootkit khó cài đặt nhất nhưng cũng khó gỡ bỏ nhất. Đôi khi, nạn nhân phải bỏ và thay thế phần cứng bị nhiễm virut.
Cách phát hiện phần mềm độc hại rootkit
Việc phát hiện rootkit thường rất khó – Hacker thiết kế chúng để càng khó tìm càng tốt. Tuy nhiên, nếu bạn dính rootkit, nó có thể không phải là loại nguy hiểm nhất. Tội phạm thường sử dụng các rootkit mạnh nhất, khó tìm nhất, tấn công vào các mục tiêu như các công ty lớn chứ không phải các cá nhân.
Một số chương trình chống phần mềm độc hại có thể quét và xóa rootkit giống như các loại phần mềm độc hại khác. Ngoài việc tìm kiếm các tệp độc hại trên đĩa của bạn, phần mềm chống vi-rút chất lượng còn phải sử dụng các biện pháp khác như tìm những hành vi khác thường có khả năng dính rootkit.
Ngoài việc sử dụng phần mềm chống vi-rút, bạn cũng nên để ý các triệu chứng của việc nhiễm phần mềm độc hại. Nếu máy tính của bạn đột ngột chậm hoặc hoạt động khác thường ngay cả sau khi khởi động lại, bạn có thể đã nhiễm phần mềm độc hại, bao gồm rootkit.
Cách bảo vệ PC của bạn khỏi rootkit
- Hãy cẩn thận với các tệp đính kèm email và trang web không xác định. Các kiểu tấn công này là cách phần lớn phần mềm độc hại xâm nhập máy tính của bạn. Không mở các tệp đính kèm mà bạn không biết rõ và không bao giờ cho phép các macro Office chạy từ các tệp đính kèm email không xác định. Hãy cẩn thận với các quảng cáo trên web có chứa các liên kết tải xuống giả mạo cũng như bất kỳ lượt tải xuống không muốn nào.
- Sử dụng các phần mềm anti có tính năng quét và phát hiện hoạt động bất thường. Phần mềm chống vi-rút mạnh mẽ thường có thể phát hiện trình cài đặt và trình tải rootkit trước khi chúng xâm nhập máy bạn.
- Luôn cập nhật thông tin. Rất nhiều phần mềm độc hại, bao gồm cả rootkit ở cấp độ kernel, dựa vào các lỗ hổng bảo mật để xâm nhập vào hệ thống của bạn. Do đó, bằng cách luôn cập nhật thông tin, bạn có thể đảm bảo rằng nhiều cuộc tấn công trong số này sẽ không thành công.
Các ví dụ về Rootkit
Với rất nhiều trường hợp đặc biệt, rootkit được cho là loại phần mềm độc hại nổi tiếng nhất. Dưới đây là một số ví dụ về rootkit nổi bật nhất:
- Stuxnet. Đôi khi được coi là vũ khí mạng thực sự đầu tiên, Stuxnet là một cuộc tấn công bằng phần mềm độc hại tinh vi được chính phủ Mỹ và Israel sử dụng để phá hủy một cơ sở hạt nhân của Iran. Ngoài việc là một con worm (nó lây lan qua các lỗ hổng trong Windows), Stuxnet còn ẩn nấp khỏi người dùng, biến nó thành một rootkit. Nó đến máy tính nạn nhân thông qua ổ đĩa flash USB và sau đó tấn công các bộ điều khiển logic, khiến các máy ly tâm dùng để tách vật liệu hạt nhân tự phá hủy.
- Bảo vệ chống sao chép BMG của Sony. Năm 2005, sau nhiều năm doanh số bán nhạc sụt giảm do sự gia tăng của Napster và các hệ thống vi phạm bản quyền âm nhạc khác, Sony BMG cần một giải pháp. Để khiến việc tải nhạc từ đĩa CD vào máy tính khó hơn, họ đã sử dụng một loạt chương trình để can thiệp vào phần mềm sao chép đĩa CD. Các chương trình này ẩn mình khỏi người dùng và hệ điều hành, khiến các nhà nghiên cứu bảo mật phân loại chúng là rootkit.
- 2008 cuộc tấn công thẻ tín dụng swiper. Bộ rootkit này đã tự cài đặt ngay sau khi các thiết bị chip thẻ tín dụng và mã PIN rời khỏi nhà máy ở Trung Quốc. Tổ chức tội phạm Pakistan-Trung Quốc đã xây dựng phần mềm này để nhận thông tin chi tiết về thẻ tín dụng ở Pakistan. Sau đó, thông tin được sử dụng để sao chép thẻ tín dụng và rút tiền tài khoản ngân hàng của nạn nhân.
FAQ
Tấn công rootkit là gì?
Trong một cuộc tấn công bằng phần mềm độc hại rootkit, máy tính của bạn bị nhiễm phần mềm độc hại mà bạn không thể dễ dàng loại bỏ nó. Với các rootkit nâng cao hơn, bạn thậm chí có thể không biết mình đã bị nhiễm. Không giống như các loại phần mềm độc hại khác, rootkit sử dụng nhiều cách khác nhau để ẩn mình.
Antivirus có thể phát hiện rootkit không?
Co lẽ là không. Là một trong những loại phần mềm độc hại tiên tiến nhất, rootkit thường trốn tránh sự phát hiện của cả những phần mềm diệt virus tốt nhất. Tuy nhiên, nếu bạn không phải là mục tiêu có giá trị siêu cao, thì các rootkit mà bạn gặp phải có thể sẽ không quá cao cấp.
Bạn có thể thoát khỏi rootkit không?
Có, mặc dù nó không dễ dàng. Bạn có thể cần một chương trình chống vi-rút nâng cao hoặc một công cụ đặc biệt. Tuy nhiên, đôi khi bạn thậm chí có thể phải cài đặt lại hệ điều hành của mình.
Làm thế nào bạn bị rootkit lây nghiễm?
Rootkit có thể lây nhiễm vào máy tính của bạn theo nhiều cách. Ví dụ: nó có thể di chuyển qua các tệp đính kèm email hoặc ẩn trong các trang web đáng ngờ. Ngoài ra, bạn có thể nhận được một phần mềm bị nhiễm virut.