“Sao tự nhiên cái máy tính của tao chạy chậm quá vậy”
“Sao trên thanh tab bar máy tính của tao lại xuất hiện mấy cái icon này ở đâu ra đây?”
Là những câu hỏi mà đa số người dùng máy tính Windows hiện nay đang gặp phải. Nếu bạn cũng đã từng hỏi ai đó một trong các câu hỏi tương tự như ở trên, có khả năng máy tính của bạn đã bị nhiễm virus rootkit rồi đấy. Một trong những loại rootkit khét tiếng nhất cho tới thời điểm hiện tại – Stuxnet, là loại virus rootkit được tạo ra nhắm vào cơ sở năng lượng hạt nhân của Iran. Nó đã lây nhiễm cho khoảng 200,000 máy tính và làm hỏng hóc 1,000 máy móc bên trong cơ sở làm giàu hạt nhân của Iran.
Rootkit là gì?
Rookit là bộ công cụ phần mềm trong thế giới malware. Kẻ tấn công cài đặt chúng như là một phần của backdoor, worm. Sau đó chúng thực hiện các bước để ngăn chặn chủ sở hữu máy tính phát hiện sự hiện diện của chúng trên máy tính. Sau khi cài đặt, Rookit sẽ gây ra các tác động xấu tới mọi thứ chúng kiểm soát và sử dụng nó cho mục đích DDoS hoặc trở thành một máy tính zombie.
Rookit hoạt động gần hoặc bên trong kernel của hệ điều hành, nghĩa là chúng có khả năng truy cập mức thấp bên trong hệ thống để thực hiện các chỉ thị điều hướng máy tính. Hacker gần đây đã cập nhật rootkit để nhắm vào các mục tiêu mới, cụ thể là các thiết bị IoT (Internet of Thing), để sử dụng chúng làm máy tính zombie. Bất cứ thứ gì có sử dụng hệ điều hành đều có thể trở thành mục tiêu của rookit – kể cả tủ lạnh hay điều hòa.
Rootkit là điểm mấu chốt trong việc phát triển hệ điều hành, và các nghiên cứu về rootkit giúp các nhà phát triển chống lại các mối đe dọa tiềm tàng trong tương lai.
Scan Rootkit là gì?
Scan Rootkit là cách tốt nhất để phát hiện xem Rootkit có tồn tại trên máy tính không. Nếu bạn nghi ngờ máy tính của mình bị dính virus rootkit, một trong những cách hiệu quả để phát hiện chính là tắt nguồn máy tính và tiến hành quét tookit từ một hệ thống sạch.
Scan rootkit cũng tìm kiếm chữ ký, tương tự như cách chúng phát hiện virus. Hacker và các nhà phát triển bảo mật đóng vai trò như mèo với chuột để xem ai sẽ là người tìm ra chữ ký nhanh hơn. Một cách khá chắc chắn để tìm rootkit chính là phân tích dump memory. Bạn luôn có thể thấy các chỉ thị mà một rootkit đang thực thi trong memory, và đó là một nơi có thể bị ẩn.
Phân tích hành vi là một trong những phương pháp đáng tin cậy để phát hiện rootkit. Thay vì tìm kiếm rootkit, bạn sẽ phân tích xem xét các hành vi từ rootkit. Bạn có thể áp dụng phân tích bảo mật dữ liệu để tìm kiếm các mẫu hành vi sai lệch từ rookit trên mạng. Quét hành vi sẽ hoạt động khá tốt nếu như bạn biết hệ thống của mình đang hoạt động có vấn đề. Phân tích hành vi sẽ cảnh báo bạn về rootkit trước khi người dùng nhận ra rằng server đang bị tấn công.
Xem thêm: SMB là gì? Làm sao để bảo vệ dữ liệu chia sẻ an toàn
Bảo vệ máy tính chống lại rootkit thế nào?
Rookit đòi hỏi khả năng truy cập có đặc quyền cao để cài đặt hook vào hệ điều hành. Hầu hết các hệ điều hành hiện nay đều ngăn chặn những kiểu tấn công này với cơ chế bảo vệ kernel dựng sẵn. Rất nhiều các công ty cũng áp dụng quy tắc đặc quyền tối thiểu để ngăn cản người dùng không thể cài đặt phần mềm vào kernel, do đó ngăn chặn rookit nằm lại trên máy tính.
Phân tích hành vi cũng là một trong những cách hiệu quả để bảo vệ dữ liệu tránh khỏi cuộc tấn công rootkit. Phân tích hành vi cũng có thể tìm thấy các bằng chứng của rootkit khi hacker sử dụng các công cụ.
Và cách tốt nhất để chống lại rootkit là: “không cài đặt phần mềm từ những nguồn không an toàn“
