Rootkit

Een rootkit is malware die zichzelf verbergt op een gecompromitteerd systeem — voor het besturingssysteem, beveiligingssoftware en de beheerder. De naam verwijst naar root (hoogste rechten) en kit (verzameling tools).

Hoe rootkits zich verbergen

Een rootkit manipuleert het systeem op een laag niveau:

  • Processen verbergen zodat ze niet verschijnen in ps of top
  • Bestanden verbergen zodat ze niet zichtbaar zijn in de shell
  • Netwerkverbindingen verbergen voor ss of netstat
  • Kernelmodules injecteren om systeemaanroepen te onderscheppen

Soorten

TypeNiveau
User-space rootkitSysteemtools vervangen door gemanipuleerde versies
Kernel rootkitKernel aanpassen via een kwaadaardige module
BootkitActief vóór het besturingssysteem laadt

Detectie en herstel

Rootkits zijn moeilijk te detecteren van binnen het geïnfecteerde systeem. Na een geconstateerde rootkit-infectie is een volledige herinstallatie de enige zekere oplossing.

Zie ook

  • malware — bredere categorie
  • kernel-module — kernel-rootkits misbruiken de modulestructuur
  • hardening — besmetting voorkomen
  • selinux — beperken wat rootkits kunnen aanpassen
beveiliging