Como detectar rootkits no Windows, Linux e Mac?

Você veio ao lugar certo se quiser aprender como detectar rootkits em diferentes sistemas operacionais e as formas de preveni-los.

Um rootkit é uma espécie de malware secreto e mortal que os hackers empregam para assumir o controle total de um computador ou rede. Usando Rootkits, o invasor pode facilmente manipular e roubar os dados do sistema.

Os rootkits podem aparecer como um único software, mas geralmente são um conjunto de ferramentas que fornecem aos invasores o istrativo não autorizado ao sistema de destino enquanto ocultam ativamente sua presença.

Uma vez que um rootkit tenha sido colocado no sistema de alguma forma, o invasor terá a capacidade de executar arquivos remotos e alterar a configuração do sistema da máquina host. A maneira mais fácil de identificar a infecção por rootkit em um sistema ou servidor é executar uma verificação de rootkit.

Vamos começar.

Como detectar rootkits em um sistema?

Não é fácil detectar um rootkit manualmente em um computador ou servidor. Os rootkits sempre ficam disfarçados na forma de outro aplicativo ou arquivo. Portanto, é um desafio detectar a presença deles. No entanto, existem algumas ferramentas de linha de comando, software e métodos para detectar os rootkits em vários sistemas operacionais automaticamente.

janelas

Para Windows, não há ferramentas de linha de comando para detectar rootkits. No entanto, um aplicativo de varredura poderoso e exaustivo chamado GMER detecta e até remove o rootkit de forma muito eficaz no sistema Windows.

Essa ferramenta pesquisa todo o sistema em busca de threads ocultos, chaves de registro e outros processos ocultos. Executa todos os tipos de análise como comportamento, e verificação de integridade para detectar e remover o rootkit.

Este aplicativo é útil para detectar todos os tipos de rootkit, como rootkits de modo kernel, aplicativo, memória e carregador de inicialização. Funciona em todos os principais sistemas operacionais Windows.

Linux e Mac OS

Em todas as distribuições Linux e Mac OS, você pode detectar rootkits facilmente usando as ferramentas de linha de comando chkrootkit e rkhunter.

Usando o chkrootkit

O chkrootkit procura profundamente por trojans, malware e outros tipos de códigos maliciosos no sistema binário da máquina. Ele procura as alterações que o rootkit faz nos binários executáveis ​​do sistema. chkrootkit não está pré-instalado na distribuição Linux.

Esta ferramenta é simples de usar e pode ser instalada com o seguinte comando:

sudo apt-get install chkrootkit

ou você também pode instalá-lo clonando o repositório Git.

git clone https://github.com/Magentron/chkrootkit.git

Em seguida, navegue até esse diretório e execute o chkrootkit.

./chkrootkit

Este comando inicia a busca por rootkits no sistema. Você pode usar o comando de ajuda para obter mais instruções sobre o uso desta ferramenta.

┌──(root💀kali)-[/home/geekflare/chkrootkit]
└─# ./chkrootkit -help
Usage: ./chkrootkit [options] [test ...]
Options:
        -h                show this help and exit
        -V                show version information and exit
        -l                show available tests and exit
        -d                debug
        -q                quiet mode
        -x                expert mode
        -r dir            use dir as the root directory
        -p dir1:dir2:dirN path for the external commands used by chkrootkit
        -n                skip NFS mounted dirs

Essa ferramenta funciona principalmente na análise de e verificação de integridade para caçar o rootkit no sistema ou em um servidor.

Usando o rkhunter

Como alternativa, existe outra ferramenta de linha de comando para localizar rootkits em distribuições Linux. Isso é rkhunter. Essa ferramenta também pode detectar explorações remotas e backdoors no sistema. Basta instalar esta ferramenta usando o seguinte comando.

$ sudo apt-get install rkhunter

A próxima etapa é executar o rkhunter para detectar os backdoors e rootkits.

$ rkhunter -c

Ele realiza a pesquisa, e o status será dado por padrão. Se houver algum problema, ele os indicará em vermelho.

Esta é uma ferramenta perfeita para análise forense porque executa testes de rede adicionais, verificações de módulos do kernel e outros testes que o chrootkit não faz.

Esta ferramenta funciona na análise de comportamento, análise de s e tem como condição inicializar em diferentes mídias para detectar o rootkit.

Certifique-se sempre de atualizar o banco de dados das ferramentas chkrootkit e rkhunter antes de realizar a varredura. Só então você poderá detectar os rootkits mais recentes que estão atualmente disponíveis. Para isso, certifique-se de que seu sistema Linux esteja atualizado com os patches mais recentes usando o comando abaixo.

$ sudo apt update && sudo apt upgrade

Ferramentas de remoção de rootkits

Os aplicativos e ferramentas de remoção de rootkit listados abaixo são simples de usar e eficazes. Essas ferramentas podem detectar e remover rootkits automaticamente do sistema.

#1. A ferramenta Avast Rootkit Scanner é poderosa para detectar e remover rootkits da verificação de do sistema. Análise de despejo de memória e pesquisa de memória do sistema são alguns dos recursos. Este programa também mantém o controle de todas as chamadas de bibliotecas DLL (Dynamic-Link Libraries) que são importadas.

Possui um sistema de relatórios abrangente que permite visualizar os resultados de varredura atuais e anteriores e relatórios de alerta por e-mail após cada varredura.

Não apenas um computador, mas você também pode remover o rootkit do Android ou iOS móvel usando o Avast.

#2. Malware Bytes impede que rootkits, adwares, spywares e outras ameaças infectem seu computador. Este programa examina a integridade da memória do kernel e alerta o usuário sobre possíveis problemas. Ele permite que você escaneie seu sistema em busca de rootkits com apenas um clique. Isso também irá mantê-lo seguro online enquanto mantém seu computador funcionando sem problemas.

#3. Lynis é uma excelente ferramenta de auditoria de segurança para sistemas Linux e BSD. Ele audita vários elementos de segurança e configurações do seu sistema em grande detalhe. O Lynis pode detectar problemas de segurança, como rootkits e backdoors, bem como falhas de configuração.

Em vez de simplesmente identificar as falhas, também fornece soluções como qual arquivo remover e o que fazer para evitar a reinfecção.

#4. Malware fox usa sua biblioteca de rootkits baseada em nuvem; ele verifica o sistema em busca de todos os tipos de rootkits. Rootkits avançados, como keyloggers, também podem ser detectados. Ele pode detectar e remover todos os tipos de rootkits e fechar qualquer backdoor que os hackers possam estar utilizando para obter o ao seu computador. Seu banco de dados também é atualizado regularmente para garantir a segurança ideal.

#5. Sophos é uma ferramenta útil que detecta e remove rootkits rapidamente. Esta ferramenta usa principalmente análise de comportamento (examina o comportamento de cada arquivo e aplicativo), e se algum arquivo ou programa agir de forma semelhante aos rootkits, eles serão removidos imediatamente. Ele ainda protege as chaves do registro e os locais dos arquivos contra reinfecção novamente.

Conclusão

Instale um software anti-malware sofisticado e poderoso em seu computador e fique atento o tempo todo ao abrir anexos e e-mails desconhecidos. Baixe os arquivos e programas apenas de fontes confiáveis. A maior proteção contra rootkit é configurar um processo de backup automático e criptografado para armazenamento em nuvem.

Se um rootkit infectou seu sistema profundamente, a única maneira de removê-lo é reinstalar o sistema operacional.

Você também pode estar interessado em aprender sobre ferramentas para escanear servidores Linux em busca de malware e falhas de segurança.