Gli esperti di sicurezza informatica e gli appassionati di IT sanno cosa sono i rootkit, ma lo stesso non si può dire dell’utente medio. Il rootkit, un tipo di malware disegnato appositamente per rimanere nascosto nel computer infetto, è in realtà un virus piuttosto popolare ed è bene che tutti gli utenti siano a conoscenza del suo funzionamento. I cybercriminali sviluppano costantemente nuovi metodi per rubare dati agli utenti e insinuarsi nei loro computer – nonché vendere tali metodi ad altri criminali.
L’abilità di rimanere nascosto consente al malware di vivere nel computer della vittima per mesi, o addirittura anni, permettendo all’hacker di usare il computer per qualsiasi fine. Anche se il computer non contiene informazioni di valore (cosa improbabile) potrebbe essere usato per produrre valuta elettronica (bitcoin), spam e per partecipare a attacchi DDoS. La particolarità del rootkit è quella di nascondere l’attività malware, attività che non solo non viene rilevata dagli strumenti di monitoraggio interni dell’OS, ma anche dagli antivirus e dai firewall. Ecco perché suggeriamo di controllare se il tuo antivirus o soluzione di sicurezza dispone della funzionalità anti-rootkit.
Che cosa rende i rootkit invisibili? Non è difficile spiegarlo: il malware cerca di integrare il suo codice in un parte profonda del sistema operativo e intercetta tutte le richieste standard di lettura di file, ottenendo una lista di processi in esecuzione. Il rootkit processa tali richieste e rimuove ogni riferimento ai file, processi e a altre tracce che possono essere collegate alla sua attività. Allo stesso tempo, può utilizzare altre tecniche, come l’iniezione di codici in un processo legittimo in seguito usato per ‘fare il lavoro sporco’. Questo permette al rootkit di non essere individuato dalle soluzioni di sicurezza meno avanzate che lavorano ad un livello superficiale e che non scavano a fondo nel kernel OS e nelle struttura più profonde dell’hardware. Se l’antivirus riesce a individuare il rootkit, il malware potrebbe cercare di disattivare la protezione e cancellare qualche componente vitale dell’antivirus. Alcuni rootkit più evoluti potrebbero inoltre ricorrere a delle ‘esche digitali’. Si tratta di speciali file che vengono creati per essere trovati dagli antivirus. Quando il software antivirus accede al file-esca, il rootkit cerca di chiudere l’antivirus e prevenire la sua esecuzione nel futuro.
Come fermare un rootkit? Prima di tutto, per individuare ogni attività pericolosa, l’antivirus deve monitorare i file critici che si trovano nel livello più profondo del sistema e catturare i malware che cercano di modificare le strutture dell’hard disk. È possibile rilevare l’attività di nuovi rookit, anche di tipo sconosciuto, comparando l’attività del computer a livello di sistemo operativo, con i risultati nel monitoraggio a livello profondo. In secondo luogo, è fondamentale avere un antivirus con funzionalità di auto-difesa. In questo modo, avrai meno probabilità che il malware disattivi il tuo prodotto. E ultimo, ma non per questo meno importante, un antivirus deve rimuovere il 100% dei componenti rootkit, anche quelli iniettati in file critici dell’OS. Cancellare i file colpiti non risolver il problema nella sua origine.
Dunque, prima di dire “so cos’è un rootkit e sono sicuro che il mio antivirus mi protegga da questa minaccia”, assicurati che la tua protezione risponda a queste caratteristiche.