Detecteer rootkit en bescherm jezelf ertegen
Veel van de malware die door criminelen over de hele wereld wordt gebruikt, blijft onopgemerkt door hun slachtoffers. Dit komt ook door malware zoals de rootkit. We laten u op een begrijpelijke manier zien wat een rootkit is, welke typen er zijn en hoe u uw computer hiertegen kunt beschermen met de juiste tools.
Wat is een rootkit?
Een rootkit is malware die heel diep in het besturingssysteem verborgen zit. Vanwege hun programmering kunnen rootkits daarom meestal alleen worden gedetecteerd en verwijderd met de juiste antivirussoftware.
De centrale functie van rootkits is om derden toegang te geven tot een vreemde computer. U kunt het op afstand bedienen, manipuleren of gegevens stelen. Rootkit-aanvallen worden ook gebruikt om bijvoorbeeld software te installeren waarmee aanvallers op afstand een botnet kunnen besturen.
Een rootkit bestaat meestal uit een bundel malware. Een rootkit kan keyloggers, bots of ransomware bevatten.
Info: Waar komt de naam "rootkit" vandaan?
De term “rootkit” bestaat uit de woorden “root” (Duits = root = hoogste map in een bestandssysteem; gebruiker met alle beheerdersrechten) en “kit” (Duits = set). De rootkit is een volledig neutrale verzameling softwaretoepassingen die beheerdersrechten kunnen gebruiken. Maar wanneer deze rechten worden gebruikt om malware opnieuw te laden, wordt de rootkit zelf malware.
Rootkit: er zijn deze typen
Rootkits worden meestal geclassificeerd op basis van de diepte waarop ze inwerken in het bestandssysteem van de betreffende computer.
Rootkits in gebruikersmodus |
De belangrijkste beïnvloed door deze rootkits is het beheerdersaccount op uw computer. De malware heeft alle voordelen van beheerderstoegang tot bestanden of programma's en kan bijvoorbeeld beveiligingsinstellingen wijzigen. Het lastige van deze rootkits: ze worden automatisch gestart telkens wanneer de computer opnieuw wordt opgestart. |
Kernelmodel rootkits |
Deze rootkits werken direct op het niveau van het besturingssysteem en hebben dus de mogelijkheid om alle delen van het besturingssysteem te manipuleren. Zelfs scans van virusscanners kunnen onjuiste resultaten opleveren als ze zijn geïnfecteerd met een rookit in de kernelmodus. Echter, kernelrootkits moeten een groot aantal hindernissen overwinnen voordat ze vast kunnen komen te zitten in de kernel. Ze worden meestal van tevoren opgemerkt, bijvoorbeeld omdat de computer steeds vastloopt. |
Firmware-rootkits |
Deze rootkits kunnen de firmware van computersystemen implanteren. Nadat ze zijn verwijderd, worden ze elke keer dat u opnieuw opstart automatisch opnieuw geïnstalleerd. Dit maakt firmware-rootkits bijzonder hardnekkig en maakt het moeilijk om ze te verwijderen. |
Bootkits |
Deze rootkits komen vast te zitten in de opstartsector. Wanneer u uw pc start, gebruikt het systeem het master-opstartrecord. Daar vindt u ook de opstartkit, die elke keer dat u start wordt geladen. Gebruikers van nieuwere Windows-besturingssystemen zoals 8 of 10 hebben belangrijke bescherming. Deze versies hebben al beveiligingssystemen die voorkomen dat opstartkits starten wanneer de computer wordt ingeschakeld. |
Virtuele rootkits |
Deze rootkits installeren zichzelf op een virtuele machine en hebben toegang tot een geïnfecteerde computer buiten het eigenlijke besturingssysteem. Dit maakt ze moeilijk te detecteren door antivirussoftware. |
Hybride rootkits | Deze rootkits splitsen de software en installeren delen ervan in de kernel en andere delen op gebruikersniveau. Deze rootkits zijn voordelig voor criminelen omdat ze op gebruikersniveau zeer stabiel werken en tegelijkertijd in de kernel werken, d.w.z. gecamoufleerd. |
Om zich tegen deze verraderlijke dreigingen te beschermen, moeten onder meer virusscanners over actuele virusdefinities beschikken.
Hoe komt een rootkit op de computer?
Rootkits hebben altijd een "voertuig" nodig waarmee ze zichzelf op een computer kunnen implanteren. Een rootkit bestaat in de regel dus altijd uit drie componenten, de rootkit zelf, de dropper en loader. De druppelaar is vergelijkbaar met een computervirus dat uw computer infecteert. Omdat de dropper op zoek is naar een beveiligingsgat om de rootkit op het gewenste apparaat op te slaan. Dan wordt de lader gebruikt. Het installeert de rootkit op de geïnfecteerde computer, bijvoorbeeld in de kernel of op gebruikersniveau als het een rootkit in gebruikersmodus is.
Rootkits gebruiken de volgende media om te droppen:
Boodschapper |
Als u bijvoorbeeld een kwaadwillende link of bestand via een messenger ontvangt en u opent de link of het bestand, kan de dropper de rootkit op uw apparaat plaatsen. |
Gehackte software en apps: |
Rootkits kunnen door hackers naar vertrouwde software of apps worden 'gesmokkeld'. De bestanden worden bijvoorbeeld als gratis aanbiedingen op internet verspreid. Zodra je deze programma's installeert, download je ook de rootkit op je computer. |
PDF- of Office-bestanden: | Rootkits kunnen worden verborgen in Office-bestanden of PDF's, als e-mailbijlage of als download. Zodra u het bestand opent, plaatst de dropper het bestand op uw computer en begint de loader op de achtergrond te installeren. |
Hoe herken ik een rootkit op mijn computer (rootkitscanner)?
Om rootkits betrouwbaar te detecteren en vervolgens te verwijderen, is een rootkitscanner vereist, die deel uitmaakt van de virusscan van krachtige antivirusprogramma's. Deze scans kunnen bijvoorbeeld veelvoorkomende rootkit-handtekeningen herkennen. Met deze handtekeningen zijn de cijfers in de code in een bepaalde vorm gerangschikt. Maar er zijn ook enkele tekenen op uw computer die kunnen wijzen op een mogelijke infectie met een rootkit.
- Ongebruikelijk gedrag van uw computer: Rootkits worden gekenmerkt door hun onopvallendheid. Het kan echter voorkomen dat uw computer zich anders gedraagt dan normaal, bijvoorbeeld door onbedoeld programma's te openen of processen te starten die u niet heeft gestart.
- Uw systeeminstellingen veranderen zonder enige actie van uw kant: Als u er bijvoorbeeld achter komt dat uw computer over het algemeen externe toegang toestaat of poorten opent, kan een rootkit de oorzaak zijn.
- Analyse van de geheugendump: Wanneer een computer crasht, maakt Windows een systeemgeheugenimage. Experts kunnen dit bestand gebruiken om ongebruikelijke patronen te identificeren die een rootkit maakt.
- Je internetverbinding is altijd instabiel: Rootkits kunnen bijvoorbeeld zorgen voor grote datastromen waardoor hackers toegang krijgen tot data. Deze databewegingen kunnen uw internetlijn erg traag maken of zelfs laten crashen.
Hoe kan ik mezelf beschermen tegen een rootkit?
De belangrijkste bescherming tegen rootkits is het gebruik van een up-to-date virusbeschermingsprogramma. Uitgerust met de nieuwste virusdefinities, kan realtime bescherming u waarschuwen voor gevaarlijke downloads en installaties en een virusscanner gebruiken om uw computer regelmatig te controleren op rootkits.
Daarnaast worden de volgende maatregelen aanbevolen:
- Gebruik in het dagelijks leven slechts één gebruikersaccount en geen beheerderstoegang: Als je met een gastaccount inlogt op Windows of iOS, heb je maar beperkte rechten. Als je tijdens deze periode je computer infecteert met een rootkit, heeft de dropper alleen toegang tot dit gebruikersniveau en heeft hij bijvoorbeeld geen directe toegang tot de kernel.
- Werk uw besturingssysteem en software regelmatig bij: Fabrikanten dichten bekende beveiligingslacunes met regelmatige updates. Het is daarom absoluut noodzakelijk dat u alle noodzakelijke updates uitvoert.
- Download bestanden alleen van internet van gerenommeerde websites: Vermijd potentieel gevaarlijke downloads, minimaliseer het risico om slachtoffer te worden van een rootkit.
- Open alleen e-mailbijlagen van afzenders die u vertrouwt: Als u e-mails ontvangt van afzenders met cryptische e-mailadressen, kunt u deze het beste verwijderen. Als een e-mailbijlage van een bekend adres u vreemd in de oren klinkt, is het beter om nog een keer contact op te nemen met de afzender voordat u de e-mailbijlage opent.
- Installeer smartphone-apps alleen uit de officiële app stores: Als je apps uit officiële bronnen haalt, gaan ze al door een beveiligingscontrole. Dit verkleint het risico dat u een rootkit op uw smartphone laadt.
Rootkit verwijderen - hoe verder te gaan?
U moet rootkits altijd verwijderen met speciale antivirussoftware. Aangezien deze malware zich diep in het besturingssysteem van uw computer kan nestelen, is handmatige verwijdering meestal erg moeilijk. Als u kleine overblijfselen van de rootkit vergeet wanneer u deze verwijdert, zal deze zichzelf gewoonlijk opnieuw installeren wanneer u opnieuw opstart.
De beste manier om rootkits te verwijderen, is door een up-to-date antivirusprogramma te gebruiken met de meest up-to-date virusdefinities. Een virusscan in veilige modus is dan aan te raden, zodat de rootkit bijvoorbeeld geen gegevens van internet opnieuw kan laden. Het is vaak nodig om de virus- of malwarescan meerdere keren uit te voeren om een rootkit volledig te elimineren.
In dit artikel vindt u gedetailleerde instructies voor het vinden en verwijderen van rootkits.
Bekende rootkits
Rootkits zijn zeer oude internetbedreigingen. Een van de eerste bekende rootkits is malware die in 1990 vooral Unix-besturingssystemen aanviel. De eerste bekende rootkit voor Windows-computers was de NTR-rootkit, die in 1999 in omloop was. Dit is een kernel-rootkit.
Tussen 2003 en 2005 waren er verschillende grote aanvallen met rootkits, waaronder een aanval op mobiele telefoons die geactiveerd waren in het Vodafone Greece netwerk. Deze rootkit werd bekend als "Greek Watergate" omdat onder meer de Griekse premier werd getroffen.
In 2008 woedde de TDL-1 bootkit. Cybercriminelen gebruikten het om met behulp van een Trojaans paard een groot botnet te bouwen.
In 2009 werd voor het eerst een rootkit ontdekt die ook Apple-besturingssystemen infecteert. Het werd "Machiavelli" gedoopt.
In 2010 woedde de Stuxnet-worm. Hij gebruikte onder meer een rootkit die het Iraanse nucleaire programma zou moeten bespioneren. De Israëlische en Amerikaans-Amerikaanse geheime diensten worden verdacht van ontwikkelaars en aanvallers.
Met LoJax is in 2022-2023 een rootkit ontdekt die voor het eerst de firmware op het moederbord van een computer infecteert. Hierdoor kan de malware zichzelf opnieuw activeren wanneer het besturingssysteem opnieuw wordt geïnstalleerd.
Conclusie: moeilijk te detecteren, maar met up-to-date antivirussoftware en voorzichtigheid kan het risico worden verminderd
Omdat rootkits diep verankerd zijn in het besturingssysteem van een computer, is preventie bijzonder belangrijk. Als een rootkit eenmaal is geïnstalleerd, is het voor leken moeilijk om een infectie op te sporen. Iedereen die echter voorzichtig is op internet met een up-to-date virusbeschermingssysteem en de juiste tools en die onbekende bestanden niet achteloos opent, verkleint de kans om het slachtoffer te worden van een rootkit.