AVG Signal-blog Beveiliging Dreigingen Alles wat u moet weten over rootkits en hoe u zich ertegen kunt beschermen
What_is_a_Rootkit-Hero

Wat is een rootkit?

Een rootkit is een toepassing (of een verzameling toepassingen) die zichzelf of andere toepassingen (virus, spyware, enzovoort) verstopt. Hierbij wordt gebruikgemaakt van enkele diepere lagen van het besturingssysteem (bijvoorbeeld API-functieomleiding of niet-gedocumenteerde functies van het besturingssysteem), waardoor deze vrijwel niet kunnen worden gedetecteerd door het gemiddelde antimalwareprogramma.

Dit artikel omvat:

    Waar komt de term “rootkit” vandaan? Bij de besturingssystemen Unix en Linux wordt het systeembeheerdersaccount, een almachtig account met alle privileges en onbeperkte toegang (vergelijkbaar met het administratoraccount in Windows), “root” genoemd. De toepassingen die onbevoegde toegang op root/admin-niveau tot het apparaat en beperkte onderdelen toestaan worden de “kit” genoemd.

    Als u de twee samenvoegt, krijgt u “rootkit”: een programma dat iemand (met goede of kwade bedoelingen) speciale toegang verschaft tot een computer of mobiel apparaat. Deze persoon kan het apparaat nu op afstand bedienen zonder dat de eigenaar het weet of er toestemming voor heeft gegeven.

    Helaas worden rootkits vaak ontwikkeld om onbevoegde toegang tot computers te verkrijgen. Op die manier kunnen cybercriminelen persoonlijke gegevens en financiële informatie stelen, malware installeren of computers voor hun karretje spannen in een botnet om spam te verspreiden en deel te nemen aan DDoS-aanvallen (Distributed Denial-of-Service).

    Stelt u zich een inbreker voor die het op uw huis heeft gemunt. In het zwart gekleed gaat hij of zij op in de duisternis en beweegt zich behoedzaam voort om niet te worden opgemerkt. Maar anders dan een dief die iets steelt en daarna vertrekt, blijft een rootkit rondhangen op uw computer om gegevens van u te stelen en zaken naar zijn hand te zetten.

    Is een rootkit een virus?

    Een rootkit is niet per se een virus. Een computervirus is een programma of stukje programmacode dat ontworpen is om schade aan te brengen aan uw computer door systeembestanden te beschadigen, capaciteit te verbruiken, gegevens te vernietigen of gewoon irritant te zijn. Virussen maken gebruik van de bronnen van uw computer om zich te vermenigvuldigen en te verspreiden in bestanden of op andere computers, zonder toestemming van de gebruiker.

    Anders dan virussen zijn rootkits niet noodzakelijk schadelijk. Het gevaar zit hem in de uitlopende soorten malware die kunnen worden afgeleverd met een rootkit en waarmee vervolgens het besturingssysteem van een computer kan worden gemanipuleerd en externe gebruikers zich beheerderstoegang kunnen verschaffen. Dat maakt ze populair onder cybercriminelen en daarom hebben ze zo'n slechte naam.

    Het installeren van AVG AntiVirus FREE is uw beste eerste verdedigingslinie tegen schadelijke rootkits en tal van andere soorten dreigingen. Scan uw apparaten om rootkits meteen op te sporen en te verwijderen, zodat u ook in de toekomst beschermd bent tegen malware met AVG – allemaal gratis.

    Is een rootkit malware?

    Een rootkit heeft veel weg van malware (kort voor “malicious software”: schadelijke software), een programma dat is ontworpen om computers te infiltreren en gegevens te stelen, apparaten te beschadigen, losgeld te eisen en diverse andere illegale activiteiten uit te voeren. Malware omvat virussen, Trojaanse paarden, spyware, wormen, ransomware, en nog talloze andere soorten schadelijke software.

    Moderne rootkits fungeren als dekmantel voor de schadelijke effecten van malware.

    Hoe herkent u een rootkit?

    Rootkits zijn zo ontworpen dat ze moeilijk op te sporen zijn. Ze zijn goed gecamoufleerd en dus lastig te herkennen. Zelfs commercieel verkrijgbare producten en ogenschijnlijk goedaardige externe apps kunnen zijn voorzien van functionaliteit op basis van een rootkit. Een rootkit kan activiteiten en informatie voor een besturingssysteem verbergen, en zo zijn kwalijke gedrag verhullen.

    Rootkits zijn dus erg goed in verstoppertje spelen.

    Hoe? Zodra een rootkit is geïnstalleerd, wordt deze meestal tegelijk met het besturingssysteem van de computer gestart of net nadat de opstartprocedure is begonnen. Er zijn ook rootkits die nog vóór het besturingssysteem worden gestart, waardoor het nog lastiger is om ze te detecteren.

    Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Bron afbeelding: https://en.wikipedia.org

    Tekenen die duiden op de aanwezigheid van een schadelijke rootkit  (met toespelingen op titels van films en tv-series):

    • Kiss of (Blue Screen) Death: er verschijnen foutmeldingen van Windows of blauwe schermen met witte tekst, waarbij uw computer voortdurend opnieuw moet worden opgestart.

    • Stranger Things: de webbrowser gedraagt zich vreemd, waarbij bijvoorbeeld Google-koppelingen worden omgeleid en favorieten niet worden herkend.

    • Failure to Launch: de computer is niet vooruit te branden of het apparaat loopt vast of reageert niet meer op invoer van muis of toetsenbord.

    • The Social Network: webpagina's of netwerkactiviteiten lijken te worden onderbroken of werken niet goed vanwege overmatig netwerkverkeer.

    • Out of Sight: instellingen in Windows worden zonder uw toestemming gewijzigd. Voorbeelden hiervan zijn een screensaver die is aangepast of de taakbalk die zichzelf verbergt.

    Hoe verwijdert u een rootkit?

    Het opsporen en verwijderen van rootkits is geen exacte wetenschap, omdat ze op verschillende manieren kunnen zijn geïnstalleerd. Zelfs wanneer u een computer helemaal schoonveegt, kan een rootkit het soms overleven. Gelukkig slaagt een antivirusprogramma met een rootkitscanner, bijvoorbeeld die van AVG, er vaak wel in de malware te blokkeren. De antirootkittechnologie die wij hebben opgenomen in AVG AntiVirus FREE, maakt het mogelijk rootkits en andere schadelijke software op te sporen, te onderscheppen en te verwijderen. 

    Waar komen rootkits vandaan en hoe planten ze zich voort?

    Cybercriminelen maken gebruik van een aantal veelvoorkomende methoden om een rootkit op een computer te zetten. Zo maken ze bijvoorbeeld gebruik van een kwetsbaarheid (een zwakke plek in de software of een besturingssysteem dat niet up-to-date is) om de rootkit op de computer te krijgen. Een andere manier is via schadelijke koppelingen die kunnen worden verstuurd via e-mail, sociale netwerken of als onderdeel van een phishingscam. Malware kan ook worden gecombineerd met andere bestanden, bijvoorbeeld geïnfecteerde pdf-bestanden, illegale media of apps die afkomstig zijn uit dubieuze externe appstores.

    A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

    Als er dus wordt gezegd dat vreemdelingen niet te vertrouwen zijn, wordt bedoeld dat u geen koppelingen of documenten in e-mail of sms-berichten van onbekenden moet openen. Installeer nooit een “speciale invoegtoepassing” (die legitiem lijkt) om een webpagina op de juiste manier te kunnen weergeven of een bestand te kunnen openen.

    Anders dan virussen en wormen verspreiden of vermenigvuldigen rootkits zich niet uit zichzelf. Meestal zijn rootkits gewoon onderdeel van wat een “gemixte”, “hybride” of “gecombineerde dreiging” heet, die bestaat uit drie stukjes programmacode: een dropper, een loader en een rootkit.

    Het werkt zo:

    Voor het activeren van een dropper is normaal gesproken tussenkomst van een mens nodig. Deze klikt bijvoorbeeld op een schadelijke koppeling, waarmee een loader-programma wordt gestart. De dropper verwijdert zichzelf vervolgens terwijl de loader een bufferoverschrijding veroorzaakt (er worden dan meer gegevens opgeslagen in de tijdelijke opslag dan erin passen). Daarmee wordt de rootkit in het geheugen van de computer geladen. Daarbij wordt een achterdeurtje geplaatst waarmee cybercriminelen systeembestanden kunnen aanpassen, zodat ze niet worden opgemerkt door de gebruiker of eenvoudige antivirusprogramma's.

    Nu ze externe toegang tot het besturingssysteem hebben, kunnen ze de geïnfiltreerde computer gebruiken voor spamming, pharming, grootschalige DDoS-aanvallen of het stelen van vertrouwelijke gegevens.

    Soorten rootkits

    Rootkits kunnen persistent (permanent) of niet-persistent (tijdelijk) zijn. Het eerste betekent dat een rootkit zichzelf telkens kan activeren wanneer de computer wordt opgestart. Het tweede verwijst naar een rootkit die in het geheugen verblijft en ophoudt te bestaan wanneer de computer opnieuw wordt opgestart.

    Om welke rootkit het gaat, kan worden bepaald aan de hand van de onderdelen van het systeem die ze treffen en de manier waarop ze zich verbergen.

    1. Kernelmodus-rootkits zijn actief in de kern van het besturingssysteem (op kernelniveau) en veroorzaken de ene systeemcrash na de andere. Op die manier bepalen ondersteuningsmedewerkers van Microsoft vaak of het apparaat van een slachtoffer is geïnfecteerd met een rootkit.

      Eerst laadt de aanvaller malware in de kernel van het systeem van een gebruiker. Daarmee worden vervolgens systeemaanroepen onderschept of gegevens toegevoegd om gegevens uit te filteren die worden geretourneerd door de malware en die tot detectie zouden kunnen leiden. Kernelmalware kan worden gebruikt om sporen te wissen en dreigingen te verbergen in componenten van de kernelmodus en de gebruikersmodus. Geniepig!

    2. Gebruikersmodus-rootkits worden op de normale manier gestart als programma tijdens het opstarten van het systeem of worden in het systeem geïnjecteerd met behulp van een dropper. Ze bieden vergelijkbare functies als kernelmodus-rootkits, bijvoorbeeld het maskeren en uitschakelen van de toegang tot bestanden, maar werken op gebruikersniveau. Gebruikersmodus-rootkits zijn niet zo geniepig als de kernelmodusvariant, maar worden veel gebruikt omdat ze zo eenvoudig te implementeren zijn.

      Gebruikersmodus-rootkits zijn populair in financiële malware. Carberp, een van de meest gekopieerde financiële malwarevarianten, werd ontwikkeld om slachtoffers bankaanmeldingsgegevens en vertrouwelijke gegevens afhandig te maken. Kijk dus uit met spamberichten die eruitzien als betalingsherinnering of factuur!

    3. Hybride rootkits combineren de kenmerken van gebruikersmodus- en kernelmodus-rootkits. Dit is een van de populairste varianten onder hackers vanwege de grote kans op succes bij het binnendringen van computers.

    4. Bootloader-rootkits richten zich op de bouwstenen van uw computer door het Master Boot Record (MBR) te infecteren, een essentieel onderdeel dat uw computer instrueert hoe het besturingssysteem moet worden geladen.

    5. Firmware-rootkits kunnen zich verschuilen in firmware – bijvoorbeeld van een microprocessor of een router – wanneer de computer wordt afgesloten. Wanneer de computer weer wordt ingeschakeld, installeert de rootkit zichzelf opnieuw.

    6. Virtual Machine-Based rootkits transporteren een besturingssysteem naar een virtuele omgeving zodat de rootkit, samen met de virtuele omgeving, helemaal niet meer of met heel veel moeite kan worden ontdekt. Een Virtual Machine-Based Rootkit (VMBR) laadt zichzelf onder het bestaande besturingssysteem en voert het besturingssysteem vervolgens uit als virtuele machine. Op die manier kan een VMBR onopgemerkt blijven, tenzij er speciale tools worden gebruikt om ernaar te zoeken. Kat en muis...

    Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Bron afbeelding: https://hyperbear.blogspot.com

    Beruchte rootkits uit het verleden

    • Het eerste gedocumenteerde geval van een rootkit werd beschreven door Stevens Dake en Lane Davis in 1990 namens Sun Microsystems voor SunOS Unix OS.

    • In 2005, toen er nog cd's werden gebruikt, installeerde Sony BMG Music Entertainment stiekem rootkits op miljoenen muziekschijven om te voorkomen dat kopers kopieën van cd's zouden branden op hun computer, en om het bedrijf te informeren over wat deze klanten in hun schild voerden. De rootkit, die niet kon worden gedetecteerd door antivirussoftware en antispyware, zette de deuren wagenwijd open voor andere malware op Windows-pc's. Het groeide uit tot een cultfenomeen, als clou in strips als Foxtrot en als t-shirt met aangepast logo.

    • NTRootkit (2008). Een van de eerste schadelijke rootkits voor Windows NT. Verschillende versies doen verschillende dingen. Een ervan legt toetsaanslagen vast waardoor hackers gegevens als gebruikersnamen en wachtwoorden kunnen achterhalen om zich toegang te verschaffen tot bepaalde services.

    • Machiavelli (2009). De eerste rootkit die het gemunt had op Mac OS X. Creëert verborgen systeemaanroepen en kernel-threads.

    • Greek Watergate (2004-2005). Een rootkit ontwikkeld voor Ericsson AXE-telefooncentrales op het Griekse Vodafone-netwerk, bedoeld om telefoons van leden van de Griekse overheid af te luisteren.

    • Zeus (2007). Zeus is een Trojaans paard dat aanmeldingsgegevens steelt: een rootkit die gebruikers bankgegevens afhandig maakt via man-in-the-browser keystroke-logging en form-grabbing.

    • Stuxnet (2010). De eerste bekende rootkit met een industrieel controlesysteem als doelwit.

    • Flame (2012). Deze computermalware valt Windows-computers aan en kan onder meer toetsenbordactiviteit, schermafbeeldingen, geluid en netwerkverkeer vastleggen.

    Hier volgt een wonderlijk verhaal: het winnen van 16,5 miljoen dollar kan behoorlijk wat opschudding veroorzaken, nietwaar? Maar toen het beveiligingshoofd van Multi-State Lottery Association de loterij oplichtte, had je de poppen helemaal aan het dansen. Eddie Tipton bekende een simpel programma (een rootkit) met de naam Quantum Vision Random Number Generator te hebben gemaakt – deels gekopieerd van een bron op internet. Vervolgens bleken hij, zijn vrienden, zijn familieleden en zelfs volslagen vreemden die hij was tegengekomen wel erg vaak met de winst aan de haal te gaan. Het begon heel simpel met het plaatsen van een usb-stick in de ruimte waarin de lottocijfers werden getrokken. Het duurde tien jaar voordat een detective met kennis van computers de dief in zijn kraag wist te vatten.

    Hoe kunt u zich tegen rootkits beschermen?

    Hoewel rootkits geniepig en verraderlijk zijn, zijn er manieren waarop u ze kunt vermijden. Vaak draait het hierbij om verstandige computergewoonten die bescherming bieden tegen allerlei soorten dreigingen:

    • Open geen e-mailbijlagen van onbekende afzenders

    • Download geen onbekende bestanden

    • Zorg ervoor dat uw systeem naar behoren is voorzien van patches tegen bekende kwetsbaarheden

    • Let op bij het installeren van software, controleer of deze legaal is en ga na of er geen rare dingen staan in de gebruiksrechtovereenkomst

    • Wees op uw hoede bij het gebruik van externe stations en usb-sticks

    Daarnaast kunt u een nog sterkere verdediging aanleggen tegen rootkits door een krachtig antivirusprogramma te installeren. Hoewel sommige antivirussoftware niet krachtig genoeg is om ze te detecteren, vindt en verwijdert AVG AntiVirus FREE ook de meest geniepige en best verstopte schadelijke rootkits. En het kost helemaal niets, nada.

    Bescherm uw iPhone tegen dreigingen met AVG Mobile Security

    Gratis installeren

    Bescherm uw Android-apparaat tegen dreigingen met AVG AntiVirus

    Gratis installeren