Mikä rootkit on – määritelmä ja selitys

Rootkitin määritelmä ja merkitys

Rootkit on haittaohjelma, joka on suunniteltu antamaan hakkereille kohdelaitteeseen pääsy ja kyky hallita sitä. Vaikka useimmat rootkitit vahingoittavat ohjelmistoa ja käyttöjärjestelmää, jotkut voivat myös tartuttaa tietokoneen laitteiston ja laiteohjelmiston. Rootkit ovat taitavia piilottamaan olemassaolonsa. Vaikka ne pysyvätkin piilossa, ne ovat silti aktiivisia.

Kun rootkit on päässyt laittomasti käsiksi tietokoneeseen, kyberrikolliset voivat sen avulla varastaa henkilö- ja taloustietoja, asentaa haittaohjelman tai käyttää tietokoneita osana bottiverkkoa levittääkseen roskaposteja ja osallistuakseen palvelunestohyökkäyksiin (DDoS).

Nimi "rootkit" tulee Unix- ja Linux-käyttöjärjestelmistä, joissa suurimmat järjestelmänvalvojan käyttöoikeudet omaavaa käyttäjää kutsutaan nimellä "root". Sovellukset, jotka mahdollistavat laittoman juuri- tai järjestelmänvalvojatason pääsyn laitteeseen tunnetaan nimellä "kit".

Rootkitin määritelmä.

Rootkit on sovellus, jota kyberrikolliset käyttävät saadakseen kohdetietokoneen tai -verkon hallintaansa. Rootkitit voivat näyttää yksinkertaiselta ohjelmalta, mutta ne koostuvat usein monista työkaluista, joilla hakkerit saavat järjestelmänvalvojan tason hallinnan kohdetietokoneeseen.

Hakkerit asentavat rootkitejä kohdelaitteisiin monilla tavoin.

1. Yleisin tapa on tietojenkalastelu tai jokin muu sosiaalisen manipuloinnin hyökkäys. Uhrit lataavat ja asentavat tietämättään haittaohjelman, joka piiloutuu muihin laitteella suoritettaviin prosesseihin. Ohjelma antaa hakkereille käyttöjärjestelmän lähes kaikkien toimintojen hallinnan.
2. Toinen tapa on haavoittuvuuksien, eli päivittämättömän ohjelmiston tai käyttöjärjestelmän heikkouksien hyväksikäyttö. Niiden kautta rootkit pakotetaan tietokoneeseen.
3. Haittaohjelma saattaa sisältyä muihin tiedostoihin, kuten tartunnan saaneisiin PDF-tiedostoihin, laittomiin mediatiedostoihin tai sovelluksiin, jotka on hankittu epäilyttävistä kolmansien osapuolten kaupoista.

Rootkitit toimivat käyttöjärjestelmän ytimessä tai sen lähellä, minkä vuoksi ne voivat antaa tietokoneelle komentoja. Mikä tahansa käyttöjärjestelmää käyttävä on rootkitin mahdollinen kohde. Esineiden internetin laajetessa siihen voi sisältyä tavaroita kuten jääkaappisi tai termostaatti.

Rootkitissä saattaa lymytä näppäilyn tallennin, joka tallentaa tietämättäsi näppäimistön näppäilyt. Sen avulla kyberrikolliset voivat helposti varastaa henkilötietojasi, kuten luottokortin tai verkkopankin tiedot. Rootkitin avulla hakkerit voivat käynnistää tietokoneessasi DDoS-hyökkäyksiä ja lähettää roskaposteja. He voivat jopa kytkeä suojausohjelmiston pois käytöstä tai poistaa sen kokonaan.

Joskus rootkitejä käytetään laillisiin tarkoituksiin, esim. etä-IT-tukeen tai poliisin apuna. Useimmiten niitä käytetään haitallisiin tarkoituksiin. Rootkitit ovat vaarallisia, koska ne voivat levittää monenlaisia haittaohjelmia, jotka voivat manipuloida tietokoneen käyttöjärjestelmää ja antaa etäkäyttäjille järjestelmänvalvojan oikeudet.

Rootkit-tyypit

1. Laitteiston tai laiteohjelman rootkit

Laitteiston tai laiteohjelmien rootkitit voivat vaikuttaa kiintolevyyn, reitittimeen ja järjestelmän BIOSiin, joka on tietokoneen emolevyn muistisiruun asennettu ohjelmisto. Sen sijaan, että rootkit hyökkäisi käyttöjärjestelmään, se voi hyökätä laitteesi laiteohjelmistoon ja asentaa vaikeasti havaittavan haittaohjelman. Koska haittaohjelma vaikuttaa laitteistoon, sen avulla hakkerit voivat kirjata ylös näppäimistön painalluksesi samoin kuin valvoa toimintojasi verkossa. Vaikka laitteiston ja laiteohjelmiston rootkitit ovat harvinaisempia kuin muut tyypit, ne ovat vakava verkkoturvallisuuden uhka.

2. Alkulatausohjelman rootkit

Alkulatausmekanismi on vastuussa käyttöjärjestelmän latauksesta tietokoneelle. Alkulatausohjelman rootkit hyökkää tähän järjestelmään ja korvaa tietokoneen alkulatausohjelman hakkeroidulla versiolla. Se aktivoi rootkitin jopa ennen kuin tietokoneen käyttöjärjestelmä on täysin latautunut.

3. Muistin rootkit

Muistin rootkitit lymyävät tietokoneen RAM-muistissa ja käyttävät tietokoneen resursseja suorittaakseen taustalla haitallisia toimintoja. Muistin rootkitit haittaavat tietokoneen RAM-muistin toimintaa. Ne sijaitsevat ainoastaan tietokoneen RAM-muistissa, eivätkä ne levitä pysyvää koodia. Sen vuoksi muistin rootkitit häviävät heti, kun käynnistät järjestelmän uudestaan. Joskus niiden poistamiseen tarvitaan enemmän työtä. Muistin rootkitin lyhyen eliniän vuoksi niitä ei pidetä vakavana uhkana.

4. Sovelluksen rootkit

Sovelluksen rootkitit korvaavat tietokoneesi alkuperäiset tiedostot rootkit-tiedostoilla. Ne voivat jopa muuttaa perussovellusten toimintatapaa. Nämä rootkitit tartuttavat ohjelmia, kuten Microsoft Office, Notepad tai Paint. Hyökkääjät voivat päästä käsiksi tietokoneeseen joka kerta, kun suoritat kyseiset ohjelmat. Tartunnan saaneet ohjelmat toimivat edelleen normaalisti, joten käyttäjien on vaikea havaita rootkitiä. Viruksentorjuntaohjelmat voivat kuitenkin tunnistaa rootkitin, koska molemmat toimivat sovellustasolla.

5. Ydintilan rootkitit

Ydin- eli kerneltilan rootkitit ovat vakava uhka. Ne hyökkäävät aivan käyttöjärjestelmän ytimeen, eli kerneltasolle. Hakkerit saavat niiden avulla käyttöoikeuden tietokoneesi tiedostoihin. He voivat myös muuttaa käyttöjärjestelmän toiminnallisuutta lisäämällä siihen omaa koodiaan.

6. Virtuaaliset rootkitit

Virtuaalinen rootkit latautuu tietokoneen käyttöjärjestelmän alla. Se käyttää kohdekäyttöjärjestelmää virtuaalisena laitteena, jolla se voi keskeyttää alkuperäisen käyttöjärjestelmän laitteistokäskyjä. Tämän tyyppisen rootkitin ei tarvitse muuttaa ydintä käyttöjärjestelmän muuttamiseksi ja sitä onkin vaikea havaita.

Esimerkkejä rootkiteistä

Stuxnet

Yksi historian tunnetuimmista rootkiteistä on Stuxnet. Tämä haitallinen tietokonemato löydettiin vuonna 2010 ja sen uskotaan olleen kehitteillä vuodesta 2005 lähtien. Stuxnet aiheutti huomattavasti tuhoa Iranin ydinohjelmaan. Sen uskotaan olevan kyberase, jonka Yhdysvallat ja Israel kehittivät yhteistyöprojektissa nimeltä Olympic Games. Kumpikaan maa ei ole myöntänyt olevansa vastuussa.

Muita merkittäviä esimerkkejä rootkiteistä ovat:

Flame

Vuonna 2012 kyberturvallisuusasiantuntijat löysivät Flame-rootkitin, jota käytettiin pääasiassa kybervakoiluun Lähi-idässä. Flame – joka tunnetaan myös nimillä Flamer, sKyWIper ja Skywiper – vahingoittaa tietokoneen koko käyttöjärjestelmää. Hakkeri pystyy valvomaan liikennettä, tallentamaan kuvankaappauksia ja ääntä ja kirjaamaan laitteen näppäimistön painallukset. Flamen luoneita hakkereita ei ole löydetty. Tutkimus osoittaa, että he käyttivät 80 eri palvelinta kolmessa maanosassa käyttääkseen tartunnan saaneita tietokoneita.

Necurs

Necurs-rootkit ilmestyi vuonna 2012, ja se oletettavasti tunnistettiin 83 000:ssa tartunnassa kyseisenä vuonna. Necurs liitettiin Itä-Euroopan eliittikyberrikollisiin ja huomattavaa on ohjelman tekninen monimutkaisuus ja kyky kehittyä.

ZeroAccess

Vuonna 2011 kyberturvallisuusasiantuntijat löysivät ZeroAccess-rootkitin. Se on ydintilan rootkit, joka tartutti yli kaksi miljoonaa tietokonetta kautta maailman. ZeroAccess ei vaikuta suoraan tartutetun tietokoneen toiminnallisuuteen, vaan se lataa ja asentaa haittaohjelman kohdelaitteeseen ja lisää sen osaksi maailmanlaajuista bottiverkkoa, jota hakkerit käyttävät kyberhyökkäyksiin. ZeroAccess on edelleen nykyisin aktiivisesti käytössä.

TDSS

TDSS-rootkit havaittiin ensimmäistä kertaa vuonna 2008. Se on samankaltainen kuin alkulatausohjelman rootkitit, koska se latautuu ja suorittuu käyttöjärjestelmän alkuvaiheissa. Sen vuoksi TDSS:ää on vaikea havaita ja poistaa.

Kuinka rootkitit tunnistetaan?

Tietokoneella olevan rootkitin tunnistus voi olla vaikeaa, sillä tämän tyyppinen haittaohjelma on suunniteltu pysymään piilossa. Rootkitit voivat kytkeä pois päältä suojausohjelmiston, minkä vuoksi tehtävä on entistä vaikeampaa. Tämän seurauksena rootkit-haittaohjelma voi olla tietokoneellasi pitkään aiheuttaen merkittäviä vaurioita.

Mahdollisia merkkejä rootkit-haittaohjelmasta ovat:

1. Sininen näyttö

Tietokone pitää käynnistää uudestaan jatkuvasti ja näyttöön ilmestyy Windows-virheviestejä tai sinisiä näyttöjä, joissa on valkoista tekstiä (joita kutsutaan myös "kuoleman siniseksi näytöksi").

2. Epätavallinen verkkoselaimen käytös

Tähän lukeutuvat mm. tunnistamattomat kirjanmerkit ja linkkien uudelleenreititys.

3. Laitteen hidas suorituskyky

Laitteesi käynnistyminen saattaa kestää, se toimii hitaasti tai jähmettyy usein. Laite ei välttämättä vastaa hiiren tai näppäimistön komentoihin.

4. Windows-asetukset muuttuvat ilman lupaa

Esimerkkejä tästä ovat esim. näytönsäästäjän muuttuminen, työkalupalkin häviäminen piiloon tai virheellinen päiväyksen ja ajan näyttö, vaikka et ole tehnyt muutoksia.

5. Verkkosivut eivät toimi oikein

Verkkosivut tai verkon toiminnot näkyvät katkonaisina tai ne eivät toimi oikein liiallisen verkkoliikenteen vuoksi.

Paras tapa tunnistaa rootkit-tartunta on rootkit-skannaus, jonka viruksentorjuntaratkaisusi voi käynnistää. Jos epäilet, että laitteessasi on rootkit-virus, yksi tapa on sammuttaa tietokone ja suorittaa tarkistus puhtaaksi tiedetystä järjestelmästä.

Rootkit voidaan tunnistaa myös käytöksen analyysillä. Se tarkoittaa, että varsinaisen rootkitin sijaan etsitään rootkiltä vaikuttavaa käytöstä. Kohdistetut tarkistukset toimivat hyvin, jos tiedät järjestelmän toimivan oudosti. Käytöksen analyysi voi varoittaa sinua rootkitistä ennen kuin ymmärrät olevasi hyökkäyksen uhri.

Miten rootkitistä pääsee eroon?

Rootkitin poisto on monimutkainen prosessi. Yleensä se vaatii erityistyökaluja, kuten TDSSKiller utility from Kaspersky -ohjelman, joka voi tunnistaa ja poistaa TDSS-rootkitin. Joskus ainoa tapa poistaa piilossa oleva rootkit on poistaa tietokoneen käyttöjärjestelmä kokonaan ja rakentaa se uudestaan alusta asti.

Miten rootkit poistetaan Windowsista?

Windows-järjestelmässä poisto edellyttää yleensä tarkistuksen suorittamista. Jos tartunta on syvällä, ainoa tapa poistaa rootkit on asentaa Windows uudestaan. Tämä on paras tehdä ulkoisella medialaitteella Windowsin sisäisen asennustoiminnon sijaan. Jotkit rootkitit vahingoittavat BIOSia, joka pitää korjata. Jos rootkit ei poistu korjauksessa, sinun pitää hankkia uusi tietokone.

Miten rootkit poistetaan Mac-tietokoneesta?

Pysy ajan tasalla Macin uusista päivityksistä. Macin päivitykset eivät ainoastaan lisää toimintoja, vaan ne myös poistavat haittaohjelmat rootkit mukaan lukien. Applessa on sisäänrakennettuja suojaustoimintoja, jotka suojaavat laitetta haittaohjelmilta. macOS-käyttöjärjestelmässä ei kuitenkaan ole rootkit-tunnistimia. Jos siis epäilet laitteellasi olevan rootkitin, asenna macOS uudestaan. Se poistaa suurimman osan sovelluksista ja rootkiteistä laitteeltasi. Kuten jo aiemmin mainitsimme, jos rootkit on vahingoittanut BIOSia, se pitää korjata. Ja jos rootkitiä ei pystytä poistamaan, sinun pitää ostaa uusi laite.

Rootkitien estäminen

Rootkitit voivat olla vaarallisia ja vaikea havaita, joten internetiä selatessa ja ohjelmia ladatessa on tärkeää pysyä valppaana. Monet turvatoimet, joilla voit estää tietokonevirukset auttavat minimoimaan rootkitien riskin:

1. Käytä kattavaa kyberturvallisuusratkaisua

Suojaa laitteesi ennakoivasti ja asenna niihin kattava ja edistynyt viruksentorjuntaratkaisu. Kaspersky Total Security tarjoaa laajan suojan kyberuhkia vastaan. Se suorittaa myös rootkit-tarkistuksia.

2. Pysy ajan tasalla

Jatkuvat ohjelmistopäivitykset ovat oleellisia turvassa pysymiseksi. Ne voivat estää hakkereita tartuttamasta laitettasi haittaohjelmilla. Päivitä kaikki ohjelmasi ja käyttöjärjestelmäsi estääksesi rootkit-hyökkäyksiä hyödyntämästä haavoittuvuuksia.

3. Varo tietojenkalasteluhuijauksia

Tietojenkalastelu on sosiaalisen manipuloinnin hyökkäys, jossa huijarit lähestyvät uhria sähköpostitse ja huijaavat häntä luovuttamaan pankkitietoja tai lataamaan haitallisen ohjelmiston kuten rootkitin. Estääksesi rootkitejä soluttautumasta tietokoneellesi, älä avaa epäilyttäviä sähköposteja, varsinkaan jos et tunne lähettäjää. Jos et ole varma linkin luotettavuudesta, älä napsauta sitä.

4. Lataa tiedostot vain luotettavista lähteistä

Ole varovainen avatessasi liitteitä, äläkä avaa liitteitä lainkaan, jos et tunne lähettäjää. Näin voit estää rootkitiä asentumasta tietokoneellesi. Lataa ohjelmistot vain hyvämaineisilta sivustoilta. Jos verkkoselaimesi varoittaa turvattomasta verkkosivusta, noudata sen varoitusta. 

5. Kiinnitä huomiota tietokoneesi käyttäytymiseen ja suorituskykyyn

Koneen outo käytös saattaa viitata rootkitin toimintaan. Pidä silmällä odottamattomia muutoksia ja yritä selvittää, mistä ne johtuvat.

Rootkitit ovat yksi haastavimpia haittaohjelmatyyppejä löytää ja poistaa. Koska niiden havaitseminen on vaikeaa, esto on usein paras puolustusmenetelmä. Jatka viimeisimpien kyberturvallisuusuhkien opiskelua varmistaaksesi, että pysyt suojassa.

Aiheeseen liittyvät artikkelit:

• Mikä tietojenkalasteluhuijaus on?
• Haittaohjelmatyypit
• Ketkä tekevät haittaohjelmia?
• Mikä on troijalainen virus?