Blog AVG Signal Protezione Minacce Tutto quello che devi sapere sui rootkit e come proteggerti
What_is_a_Rootkit-Hero

Che cos'è un rootkit?

Un rootkit è un'applicazione (o un set di applicazioni) che nasconde la propria presenza o la presenza di un'altra applicazione, ad esempio adware o spyware, in un dispositivo. I rootkit si nascondono usando alcuni dei livelli inferiori del sistema operativo, tra cui il reindirizzamento delle funzioni API o le funzioni del sistema operativo non documentate, che li rendono praticamente impossibili da rilevare dai software anti-malware più comuni.

Questo articolo contiene:

    Da dove proviene il termine "rootkit"? Nei sistemi operativi Unix e Linux l'amministratore di sistema, un account avanzato con privilegi completi e accesso illimitato (simile all'account amministratore in Windows), viene definito "root". Le applicazioni che permettono l'accesso non autorizzato a livello di root/amministratore al dispositivo e ad aree limitate sono note come "kit".

    Combinando i due termini, si ottiene "rootkit": un programma che concede ad altri (con intenzioni legittime o dannose) accesso privilegiato a un computer o un dispositivo mobile. Questa persona può ora controllare il dispositivo in remoto senza che il proprietario se ne accorga o abbia dato il proprio consenso.

    Sfortunatamente, i rootkit sono spesso progettati per favorire l'accesso non autorizzato ai computer, permettendo ai criminali informatici di sottrarre dati personali e informazioni finanziarie, installare malware o usare i computer come parte di una botnet per diffondere posta indesiderata e partecipare ad attacchi DDoS (Distributed Denial of Service).

    Immaginiamo un ladro che cerchi di introdursi e rubare in casa nostra. Si vestirà di nero per confondersi con il buio e si muoverà silenziosamente per passare inosservato. Tuttavia, diversamente dal ladro, che prende qualcosa e se ne va, un rootkit resta all'interno del computer, per continuare a sottrarre dati o modificarne il contenuto.

    Un rootkit è un virus?

    Di per sé i rootkit non sono virus. Un virus informatico è un programma o frammento di codice progettato per danneggiare il computer attaccando i file di sistema, sprecando le risorse, distruggendo i dati o semplicemente creando problemi. Una differenza importante dei virus è che usano le risorse del computer per replicare se stessi e diffondersi in altri file o computer senza il consenso dell'utente.

    Diversamente dai virus, i rootkit non sono necessariamente dannosi. Il pericolo è costituito dalle diverse forme di malware che un rootkit può distribuire, che possono quindi modificare il sistema operativo di un computer e fornire accesso amministratore a utenti remoti. Questo ne fa uno strumento molto diffuso tra i criminali informatici ed è per questo motivo che i rootkit godono di una pessima reputazione.

    L'installazione di AVG AntiVirus FREE è la migliore prima linea di difesa contro rootkit dannosi e molti altri tipi di minacce. Analizza i tuoi dispositivi per rilevare e rimuovere i rootkit dal dispositivo di origine e tieniti al sicuro da qualsiasi malware futuro con AVG, il tutto gratuitamente.

    I rootkit sono malware?

    Un rootkit è strettamente associato a un malware (contrazione di "malicious software", software dannoso), un programma progettato per infiltrarsi e rubare dati, danneggiare i dispositivi, chiedere un riscatto e compiere diverse altre attività illegali. I malware comprendono virus, Trojan, spyware, worm, ransomware e molti altri tipi di software.

    I moderni rootkit agiscono come copertura per gli effetti dannosi di un malware.

    Come riconoscere un rootkit

    Strutturalmente i rootkit sono difficili da rilevare. Sono abili a mimetizzarsi e questo ne rende l'individuazione molto faticosa. Anche prodotti disponibili a livello commerciale e app di terze parti apparentemente affidabili possono includere funzionalità basate su rootkit. Un rootkit può nascondere attività e informazioni da un sistema operativo, celando il proprio comportamento dannoso.

    Il suo nome è rootkit e il suo compito è nascondersi.

    Come? Una volta installato, un rootkit si avvia insieme al sistema operativo del computer o dopo l'inizio del processo di avvio. Esistono altri rootkit in grado di avviarsi prima del sistema operativo di destinazione, cosa che li rende ancora più difficili da rilevare.

    Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Fonte immagine: https://en.wikipedia.org

    Segni rivelatori dell'attività di un rootkit dannoso, indicati con titoli di film e serie TV:

    • Il bacio della morte: messaggi di errore o schermate blu con testo bianco in Windows, con continui riavvii del computer.

    • Stranger Things: comportamento insolito del browser Web, ad esempio il reindirizzamento dei link di Google o la presenza di segnalibri non riconosciuti.

    • Mission Impossible: le prestazioni del computer sono rallentate o il dispositivo si blocca o non risponde a qualsiasi input del mouse o della tastiera.

    • The Social Network: le pagine Web o le attività di rete appaiono intermittenti o non funzionano correttamente a causa di un traffico di rete eccessivo.

    • Out of Sight: le impostazioni di Windows cambiano senza autorizzazione. Esempi di questo comportamento sono lo screensaver che cambia o la barra delle applicazioni che scompare.

    Come rimuovere un rootkit

    L'individuazione e la rimozione di un rootkit non sono una scienza esatta, in quanto i rootkit possono essere installati in molti modi diversi. In alcuni casi, un rootkit può sopravvivere anche dopo aver pulito un computer. La buona notizia: uno strumento antivirus con funzionalità di scansione dei rootkit come quello di AVG può essere molto utile a tenere alla larga i malware. La nostra tecnologia anti-rootkit, inclusa in AVG AntiVirus FREE, rileva, previene e rimuove i rootkit e altre forme di software dannoso. 

    Da dove provengono i rootkit e come si propagano?

    Esistono alcuni metodi comuni usati dai criminali informatici per inserire un rootkit nel tuo computer. Uno consiste nello sfruttare una vulnerabilità (un punto debole nel software o un sistema operativo non aggiornato) e nel far penetrare il rootkit nel computer. Un altro modo è attraverso link dannosi, che possono essere inviati tramite email, social network o come parte di una truffa di phishing. Il malware può essere associato ad altri file, ad esempio PDF infetti, contenuti multimediali pirata o app ottenute da store di terze parti sospetti.

    A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

    Quando ti diciamo di non dare confidenza agli sconosciuti, intendiamo che non devi aprire mai link o documenti provenienti da persone che non conosci tramite app di email o messaggistica. Non installare mai un "plug-in speciale" (spacciato per legittimo) per visualizzare correttamente una pagina Web o avviare un file.

    Diversamente da virus e worm, i rootkit non si diffondono o moltiplicano da soli. In genere, i rootkit sono solo un componente di quello che chiamiamo una minaccia complessa o combinata, costituita da tre frammenti di codice: un dropper, un caricatore e il rootkit stesso.

    Ecco come funzionano:

    L'attivazione di un dropper implica in genere l'intervento umano, ad esempio un clic su un link dannoso, che a sua volta avvia un programma caricatore. Il dropper elimina quindi se stesso, mentre il caricatore causa un overflow del buffer (ovvero archivia più dati in un'area di archiviazione temporanea di quanti ne possa contenere). In questo modo, il rootkit viene caricato nella memoria del computer, creando una breccia che consente a persone malintenzionate (i criminali informatici, non Diabolik) di modificare i file di sistema in modo da non farsi individuare dall'utente e da un software antivirus di base.

    Una volta ottenuto l'accesso remoto al sistema operativo, queste persone potranno usare il computer violato per inviare posta indesiderata, eseguire attacchi di pharming o DDoS su vasta scala o rubare dati sensibili.

    Tipi di rootkit

    I rootkit possono essere persistenti e non persistenti. I primi sono in grado di attivare se stessi a ogni avvio del computer. I secondi risiedono in memoria e cessano di esistere a ogni riavvio del computer.

    I rootkit possono essere identificati dalla aree di un sistema che colpiscono e da quanto bene riescono a nascondersi.

    1. I rootkit in modalità kernel operano nel cuore di un sistema operativo (a livello del kernel) e causano frequenti arresti anomali del sistema. Questo è spesso il modo in cui gli operatori del supporto Microsoft determinano che il dispositivo della vittima è stato infettato da un rootkit.

      Un hacker sfrutta prima di tutto il sistema di un utente caricando malware nel kernel, che quindi intercetta le chiamate di sistema o aggiunge dati propri, filtrando tutti i dati restituiti dal malware che possono attivare il rilevamento. Il malware basato su kernel può essere usato per nascondere le tracce e le minacce sia all'interno del kernel sia in componenti in modalità utente. Insidioso!

    2. I rootkit in modalità utente si avviano normalmente come un programma durante l'avvio del sistema oppure vengono inseriti nel sistema tramite un dropper. Forniscono funzionalità simili a quelle dei rootkit in modalità kernel, ad esempio mascherando e disabilitando l'accesso ai file, ma operano a livello dell'utente. I rootkit in modalità utente non sono insidiosi come quelli in modalità kernel, ma a causa della loro semplicità di implementazione, sono molto più diffusi.

      I rootkit in modalità utente sono comuni nei malware finanziari. Carberp, uno dei tentativi più copiati di malware finanziario, è stato sviluppato per rubare credenziali bancarie e dati sensibili alle vittime. Fai attenzione alle email di spam che fingono di inviare promemoria di pagamento o fatture!

    3. I rootkit ibridi combinano le caratteristiche dei rootkit in modalità utente e in modalità kernel. Questo approccio è uno dei più diffusi tra gli hacker grazie all'alto tasso di successo nel penetrare nei computer.

    4. I rootkit del boot loader prendono di mira gli elementi costitutivi del tuo computer infettando il record di avvio principale (MBR), un componente essenziale che indica al computer come caricare il sistema operativo.

    5. I rootkit del firmware possono nascondersi nel firmware, ad esempio un microprocessore o un router, all'arresto del computer. Quindi, al riavvio del computer, il rootkit installa se stesso.

    6. I rootkit basati su macchina virtuale trasferiscono un sistema operativo in un ambiente virtuale in modo che sia impossibile o molto difficile rilevare sia il rootkit sia l'ambiente virtuale. Un rootkit basato su macchina virtuale (VMBR, Virtual Machine-Based Rootkit) carica se stesso al di sotto del sistema operativo esistente, quindi esegue il sistema operativo come macchina virtuale. In questo modo, un VMBR non viene rilevato se non vengono usati strumenti speciali per individuarlo. E così opera indisturbato.

    Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Fonte immagine: https://hyperbear.blogspot.com

    Rootkit famigerati nella storia

    • Il primo caso documentato di un rootkit è stato scritto da Stevens Dake e Lane Davis nel 1990 per conto di Sun Microsystems per il sistema operativo SunOS Unix.

    • Nel 2005, quando i CD erano ancora in voga, Sony BMG Music Entertainment ha installato di nascosto alcuni rootkit su milioni di dischi musicali per impedire agli acquirenti di masterizzarne copie tramite i computer e per tenere al corrente l'azienda di tali tentativi. Il rootkit, impossibile da rilevare da antivirus e anti-spyware, apriva le porte ad altro malware, che riusciva a infiltrarsi inosservato nei PC Windows. L'episodio è diventato un fenomeno culturale come battuta in strisce di fumetti come Foxtrot e addirittura un logo personalizzato per le T-shirt.

    • NTRootkit (2008): uno dei primi rootkit dannosi per Windows NT. Versioni diverse creano problemi diversi. Una acquisisce i tasti premuti dall'utente, permettendo agli hacker di scoprire dati come i nomi utente e le password per accedere a determinati servizi.

    • Machiavelli (2009): primo rootkit sviluppato per Mac OS X. Crea chiamate di sistema e thread del kernel nascosti.

    • Greek Watergate (2004-2005): questo rootkit, sviluppato per le centrali telefoniche Ericsson AXE sulla rete Vodafone greca, aveva lo scopo di intercettare i telefoni dei membri del governo greco.

    • Zeus (2007): Trojan horse per il furto di credenziali, un rootkit che ruba le informazioni bancarie usando la registrazione della pressione dei tasti Man-in-the-browser e l'acquisizione delle credenziali.

    • Stuxnet (2010): primo rootkit noto rivolto a un sistema di controllo industriale.

    • Flame (2012): questo malware informatico attacca i computer con sistema operativo Windows e può registrare l'attività della tastiera, le schermate, l'audio, il traffico di rete e altro ancora.

    Ecco una storia assurda: la vincita di 16,5 milioni di dollari può essere entusiasmante. Diverso è se il direttore della sicurezza della Multi-State Lottery Association trucca la lotteria. Eddie Tipton ha confessato di aver creato un semplice programma (un rootkit) chiamato Quantum Vision Random Number Generator, parzialmente copiato da una fonte su Internet, che ha causato innumerevoli vincite illegali della lotteria rivendicate da lui, i suoi amici, i suoi familiari e anche alcuni sconosciuti. È stato sufficiente inserire una chiavetta USB nella stanza in cui venivano estratti i numeri della lotteria , ma ci sono voluti dieci anni e un detective esperto in informatica per catturare il ladro.

    Come proteggerti dai rootkit

    Benché i rootkit siano ignobili e insidiosi, esistono comunque alcuni metodi per bloccarli. Molte delle strategie utili per evitare i rootkit sono anche abitudini informatiche sensate che possono proteggerti da tutti i tipi di minacce:

    • Non aprire allegati email provenienti da mittenti sconosciuti 

    • Non scaricare file sconosciuti

    • Assicurati che nel sistema siano installate le patch appropriate contro le vulnerabilità note

    • Installa con prudenza nuovi software, assicurandoti che siano legittimi e che l'EULA (Accordo di licenza con l'utente finale) non contenga campanelli d'allarme

    • Usa con cautela unità esterne e chiavette USB

    Oltre alle indicazioni di buon senso elencate sopra, puoi predisporre una difesa ancora più solida contro i rootkit installando un antivirus affidabile. Benché alcuni software antivirus non siano abbastanza potenti da rilevarli, AVG AntiVirus FREE troverà e rimuoverà anche i rootkit più insidiosi e più profondamente annidati, a un costo infinitamente basso, ovvero gratuitamente.

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita