Nota: O seguinte artigo irá ajudá-lo com: Como detectar rootkits no Windows, Linux e Mac?
Você veio ao lugar certo se quiser aprender como detectar rootkits em diferentes sistemas operacionais e as formas de preveni-los.
Um rootkit é uma espécie de malware secreto e mortal que os hackers empregam para assumir o controle total de um computador ou rede. Usando Rootkits, o invasor pode facilmente manipular e roubar os dados do sistema.
Os rootkits podem aparecer como um único software, mas geralmente são um conjunto de ferramentas que fornecem aos invasores o istrativo não autorizado ao sistema de destino enquanto ocultam ativamente sua presença.
Uma vez que um rootkit tenha sido colocado no sistema de alguma forma, o invasor terá a capacidade de executar arquivos remotos e alterar a configuração do sistema da máquina host. A maneira mais fácil de identificar a infecção por rootkit em um sistema ou servidor é executar uma verificação de rootkit.
Vamos começar.
Como detectar rootkits em um sistema?
Não é fácil detectar um rootkit manualmente em um computador ou servidor. Os rootkits sempre ficam disfarçados na forma de outro aplicativo ou arquivo. Portanto, é um desafio detectar a presença deles. No entanto, existem algumas ferramentas de linha de comando, software e métodos para detectar os rootkits em vários sistemas operacionais automaticamente.
janelas
Para Windows, não há ferramentas de linha de comando para detectar rootkits. No entanto, um aplicativo de varredura poderoso e exaustivo chamado GMER detecta e até remove o rootkit de forma muito eficaz no sistema Windows.
Essa ferramenta pesquisa todo o sistema em busca de threads ocultos, chaves de registro e outros processos ocultos. Executa todos os tipos de análise como comportamento, e verificação de integridade para detectar e remover o rootkit.
Este aplicativo é útil para detectar todos os tipos de rootkit, como rootkits de modo kernel, aplicativo, memória e carregador de inicialização. Funciona em todos os principais sistemas operacionais Windows.
Linux e Mac OS
Em todas as distribuições Linux e Mac OS, você pode detectar rootkits facilmente usando as ferramentas de linha de comando chkrootkit e rkhunter.
Usando o chkrootkit
O chkrootkit procura profundamente por trojans, malware e outros tipos de códigos maliciosos no sistema binário da máquina. Ele procura as alterações que o rootkit faz nos binários executáveis do sistema. chkrootkit não está pré-instalado na distribuição Linux.
Esta ferramenta é simples de usar e pode ser instalada com o seguinte comando:
sudo apt-get install chkrootkit
ou você também pode instalá-lo clonando o repositório Git.
git clone https://github.com/Magentron/chkrootkit.git
Em seguida, navegue até esse diretório e execute o chkrootkit.
./chkrootkit
Este comando inicia a busca por rootkits no sistema. Você pode usar o comando de ajuda para obter mais instruções sobre o uso desta ferramenta.
┌──(root💀kali)-[/home/geekflare/chkrootkit] └─# ./chkrootkit -help Usage: ./chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs
Essa ferramenta funciona principalmente na análise de e verificação de integridade para caçar o rootkit no sistema ou em um servidor.
Usando o rkhunter
Como alternativa, existe outra ferramenta de linha de comando para localizar rootkits em distribuições Linux. Isso é rkhunter. Essa ferramenta também pode detectar explorações remotas e backdoors no sistema. Basta instalar esta ferramenta usando o seguinte comando.
$ sudo apt-get install rkhunter
A próxima etapa é executar o rkhunter para detectar os backdoors e rootkits.
$ rkhunter -c
Ele realiza a pesquisa, e o status será dado por padrão. Se houver algum problema, ele os indicará em vermelho.
Esta é uma ferramenta perfeita para análise forense porque executa testes de rede adicionais, verificações de módulos do kernel e outros testes que o chrootkit não faz.
Esta ferramenta funciona na análise de comportamento, análise de s e tem como condição inicializar em diferentes mídias para detectar o rootkit.
Certifique-se sempre de atualizar o banco de dados das ferramentas chkrootkit e rkhunter antes de realizar a varredura. Só então você poderá detectar os rootkits mais recentes que estão atualmente disponíveis. Para isso, certifique-se de que seu sistema Linux esteja atualizado com os patches mais recentes usando o comando abaixo.
$ sudo apt update && sudo apt upgrade
Ferramentas de remoção de rootkits
Os aplicativos e ferramentas de remoção de rootkit listados abaixo são simples de usar e eficazes. Essas ferramentas podem detectar e remover rootkits automaticamente do sistema.
#1. A ferramenta Avast Rootkit Scanner é poderosa para detectar e remover rootkits da verificação de do sistema. Análise de despejo de memória e pesquisa de memória do sistema são alguns dos recursos. Este programa também mantém o controle de todas as chamadas de bibliotecas DLL (Dynamic-Link Libraries) que são importadas.
Possui um sistema de relatórios abrangente que permite visualizar os resultados de varredura atuais e anteriores e relatórios de alerta por e-mail após cada varredura.
Não apenas um computador, mas você também pode remover o rootkit do Android ou iOS móvel usando o Avast.
#2. Malware Bytes impede que rootkits, adwares, spywares e outras ameaças infectem seu computador. Este programa examina a integridade da memória do kernel e alerta o usuário sobre possíveis problemas. Ele permite que você escaneie seu sistema em busca de rootkits com apenas um clique. Isso também irá mantê-lo seguro online enquanto mantém seu computador funcionando sem problemas.
#3. Lynis é uma excelente ferramenta de auditoria de segurança para sistemas Linux e BSD. Ele audita vários elementos de segurança e configurações do seu sistema em grande detalhe. O Lynis pode detectar problemas de segurança, como rootkits e backdoors, bem como falhas de configuração.
Em vez de simplesmente identificar as falhas, também fornece soluções como qual arquivo remover e o que fazer para evitar a reinfecção.
#4. Malware fox usa sua biblioteca de rootkits baseada em nuvem; ele verifica o sistema em busca de todos os tipos de rootkits. Rootkits avançados, como keyloggers, também podem ser detectados. Ele pode detectar e remover todos os tipos de rootkits e fechar qualquer backdoor que os hackers possam estar utilizando para obter o ao seu computador. Seu banco de dados também é atualizado regularmente para garantir a segurança ideal.
#5. Sophos é uma ferramenta útil que detecta e remove rootkits rapidamente. Esta ferramenta usa principalmente análise de comportamento (examina o comportamento de cada arquivo e aplicativo), e se algum arquivo ou programa agir de forma semelhante aos rootkits, eles serão removidos imediatamente. Ele ainda protege as chaves do registro e os locais dos arquivos contra reinfecção novamente.
Conclusão
Instale um software anti-malware sofisticado e poderoso em seu computador e fique atento o tempo todo ao abrir anexos e e-mails desconhecidos. Baixe os arquivos e programas apenas de fontes confiáveis. A maior proteção contra rootkit é configurar um processo de backup automático e criptografado para armazenamento em nuvem.
Se um rootkit infectou seu sistema profundamente, a única maneira de removê-lo é reinstalar o sistema operacional.
Você também pode estar interessado em aprender sobre ferramentas para escanear servidores Linux em busca de malware e falhas de segurança.