Cos’è un rootkit

309
Cos'è un Rootkit

In questo articolo cercheremo di spiegare nel modo più semplice possibile cos’è un rootkit.
Un rootkit è un software, oppure un insieme di applicazioni, appartenente alla categoria dei malware. Progettato per nascondere programmi ai normali metodi di individuazione può consentire un accesso di livello amministrativo da parte di un utente non autorizzato.
Un rootkit è un malware creato per nascondere altri malware e renderli invisibili all’interno del sistema operativo.
Il termine rootkit, nato in origine in ambiente UNIX, è composto dall’unione di root e kit. Nei sistemi UNIX il livello root può essere equiparato al livello amministratore nei sistemi operativi Microsoft (→ differenza fra utente standard e amministratore). Il termine kit indica invece la compresenza di più strumenti utilizzabili per un determinato scopo.

Cosa fa un rootkit

Dopo aver capito cos’è un rootkit cerchiamo di capire cosa fa e perché è pericoloso.
Avviato insieme al sistema operativo, questo software è in grado di rimanere attivo e invisibile ad antivirus e antimalware (→ differenza fra antivirus e antimalware) grazie alla capacità di intercettare e modificare le funzioni API (Application Programming Interface) del sistema. Proprio perché capace di occultare non solo se stesso ma anche file, cartelle e processi di varia natura, viene utilizzato per nascondere backdoor, spyware e trojan.
I rootkit più pericolosi sono quelli che risiedono nel kernel, il nucleo del sistema operativo, perché capaci di ottenere il controllo di una qualsiasi funzione del sistema.

Tipologie di rootkit

Esistono almeno 5 tipologie principali di rootkit. Vediamo quali sono.

User-mode rootkit

Sono progettati per lavorare insieme alla applicazioni del sistema operativo. Vengono installati in vari modi e sono in grado di modificare il comportamento della API, l’interfaccia di programmazione delle applicazioni. Possono caricare delle librerie software che vengono utilizzate per sovrascrivere la memoria dell’applicazione bersaglio.

Kernel mode rootkit

Lavorano nel livello più alto del firmware. Consentono di aggiungere software oppure sostituire codice di fondamentale importanza per il sistema operativo.
Sono molto difficili sia da individuare che da rimuovere perché lavorano con i privilegi più elevati e possono invalidare le procedure di antivirus e antimalware.

Bootkit

Sono una variante dei kernel mode rootkit. Possono modificare l’MBR (Master Boot Record), il settore del disco rigido che contiene le istruzioni per il boot del sistema operativo e sono in grado di infettare hard disk criptati.

Firmware rootkit

Utilizzano le istruzioni integrate nel componente elettronico del dispositivo hardware per nascondersi nel firmware del disco rigido, della scheda di rete o del router.

Come rimuovere i rootkit

La rimozione di un rootkit è un’operazione sempre molto complicata se non impossibile. In molti casi infatti l’unica strada percorribile rimane la reinstallazione del sistema operativo.
Antimalware, antivirus e firewall aggiornati possono comunque bloccare i rootkit conosciuti e in alcuni casi anche rimuoverli. Inoltre nel web sono presenti software anti-rootkit, cioè applicazioni specifiche dotate di funzioni avanzate capaci di scansionare il filesystem alla ricerca di processi e chiavi di registro nascoste.