Rootkits: Malware e Prevenção

Prévia do material em texto

Universidade Zambeze 
Faculdade de ciências e tecnologia Informática I Curso: 
Engenharia Civil 1°ano-Laboral Grupo VI Tema: 
Rootkit 
 
 
Discentes: 
Anifo Abdul Carimo 
Carlos Alberto Cunha 
Clayton Isidoro Canote Framenga 
Emilia de Fátima 
Julieta Amelia Luís 
Nilza Guimaraes Bavaze 
 
 
Docente: 
Eng. Taheer Amad Mitha 
 
 
 
 
 
 
Beira, Maio de 2022 
Índice 
1.Introdução	3 
2.Desenvolvimento	4 
2.1.Principios básicos de segurança da informação…………………………………………….4
2.2.Malware………………………………………………………………………………………5
2.3.Rootkit	8 
2.4.Tipos de Rootkit	10 
2.5.Exemplos de Rootkit	11 
2.6.Como detectar Rootkits	12 
2.7.Métodos de dectectar Rootkits	13 
2.8.Como remover um Rootkit	14 
2.9.Como prevenir os Rootkits	15 
3.Conclusão	16 
4.Referencia Bibliográfica	17 
 
1.Introdução 
O seguinte trabalho visa dar a conhecer sobre os Rootkits, um tipo de Malware que da ao hacher acesso a um dispositivo. Sendo que Malware são softwares maliciosos, eles podem danificar o seu dispositivo e ate levar a sua informação. 
É importante dar a conhecer sobre esse Malware para a nossa prevenção contra ele, para que nossa informação não seja prejudicada. E permita-nos ter mais atenção ao nosso uso com os nossos dispositivos. A objetivos que traçamos na realização do trabalho. 
Objetivos Gerais: 
· Definir Rootkit; 
· Saber os Rootkit que existem;  Saber como prevenir os Rootkits. 
Objetivos Específicos: 
· Dar exemplo de cada Rootkit que existe;  Saber como identificar os Rootkits;  Saber como remover os Rootkits. 
Justificativa 
O trabalho vem como meio nos dar a informação sobre os Rootkits, e saber como nos prevenir desse Malware sobre os nossos dispositivos. 
 
 
 
 
 	 
2 
 
2.Desenvolvimento 
2.1Princípios Básicos de Segurança da Informação
Existem quatro princípios básicos de segurança da informação: Disponibilidade, Integridade, Confidencialidade e Autenticidade. 
Princípio da Disponibilidade
De acordo com o Princípio da Disponibilidade, a informação estará disponível sempre que for preciso. Esse aspecto é de suma importância, principalmente para sistemas que não podem ter falhas na Disponibilidade, pois essas falhas comprometem o serviço.
Ex.: Se o site do Submarino, que é uma grande empresa de venda de comércio eletrônico, é atacado e fica fora do ar por 24 horas, o prejuízo dessa empresa ,por causa da indisponibilidade do sistema, será muito grande. Nesse caso, a Disponibilidade é um fator crítico para essa empresa.
Ferramentas do Princípio da Disponibilidade 
As ferramentas que garantem o princípio da Disponibilidade são o Nobreak, o Firewall e o Backup. 
• Nobreak: Dispositivo alimentado por baterias, capaz de fornecer energia elétrica a um sistema durante um determinado período, em situações de emergência, no caso de interrupção do fornecimento de energia da rede pública. Ou seja, o Nobreak impede que o sistema desligue e é uma ferramenta de Disponibilidade. 
• Firewall: O Firewall é uma barreira de proteção contra ataques que visam tirar os serviços de funcionamento. Ele impede que ataques de intrusão e 
de negação de serviço sejam efetuados no ambiente. 
• Backup: Quando uma informação é corrompida, ela se torna indisponível. O backup recupera essa informação, tornando-a disponível novamente. 
Princípio da Integridade 
De acordo com o Princípio da Integridade, a informação só pode ser alterada por pessoas autorizadas, ou seja, a Integridade garante o controle das altera-ções, impedindo que pessoas não autorizadas façam alterações indevidas na informação. 
O princípio da integridade também garante a completude da informação, para que não haja perda de partes da informação.
Ferramentas do Princípio da Integridade
As ferramentas que garantem o Princípio da Integridade são a Assinatura 
Digital e o Backup. 
• Assinatura Digital: Quando o usuário assina digitalmente um documento, qualquer alteração que for feita no documento violará essa assinatura. Portanto, se houver alteração em um documento assinado digitalmente ou eletronicamente, ele precisará ser assinado novamente, pois a assinatura anterior foi violada. A assinatura garante o controle das alterações. 
• Backup: A completude faz parte do backup. Quando parte da informação se corrompe e o usuário restaura o backup, a totalidade da informação é recuperada, tornando-se íntegra novamente. 
Princípio da Confidencialidade 
Segundo o Princípio da Confidencialidade, a informação pode ser acessada apenas por pessoas autorizadas – isso significa o sigilo da informação. Portanto, a confidencialidade garante o sigilo da informação e impede que pessoas não autorizadas tenham acesso ao conteúdo.
Ferramenta do Princípio da Confidencialidade
A ferramenta que garante o princípio da Confidencialidade é a Criptografia.
• Criptografia: É uma técnica que embaralha a informação por meio de algoritmos de criptografia, e faz com que a informação se transforme em algo ininteligível. 
Princípio da Autenticidade
O Princípio da Autenticidade garante a veracidade da autoria da informação, porém, não garante a veracidade do conteúdo da informação. A autenticidade garante a veracidade do autor, de quem de fato produziu aquela informação, não importando se o conteúdo é verdadeiro ou falso. 
• Não Repúdio: A Autenticidade garante também um subproduto, que é o nãoo Repúdio. O Não Repúdio está contido na autenticidade e significa que o autor da informação não tem como recusar que ele é o verdadeiro autor. Ou seja, o Não Repúdio é a incapacidade da negação da autoria da informação.
Ferramentas do Princípio da Autenticidade
As ferramentas que garantem o Princípio da Autenticidade são a Biometria, a Assinatura Digital e os Certificados Digitais. 
• Biometria: A Biometria é uma ferramenta que verifica algumas características físicas da pessoa para certificar que aquela característica identifica a pessoa unicamente. A Biometria é muito utilizada nos bancos. 
• Assinatura Digital: A assinatura digital identifica unicamente o autor da informação, garantindo a autenticidade. 
• Certificados Digitais: Os certificados Digitais garantem a autenticidade da autoria dos sites. Ex.: Quando um usuário acessa um site de comércio eletrônico, geralmente há um cadeado no canto da tela, que mostra o certificado digital do site, afirmando que aquele site de fato pertence àquela empresa.
2.2.Malware
A palavra malware é originada do inglês, que significa “Malicious Software”, que significa software malicioso. E como o nome já diz, é um software que se instala no computador da vítima sem ela saber, e que tem fins maliciosos, como danificação dos arquivos, roubo de dados, roubo de senhas, propagação em massa, exploração do sistema, entre várias outras funções. Agora vamos para os tipos de malwares e suas características.
Vírus:Os mais conhecidos. Não pela sua função, mas sim por seu nome. A maioria dos malwares é considerada vírus pelos leigos, justamente por não saberem que eles são divididos em classificações. Nunca confunda vírus com malware. Todo vírus é um malware, mas nem todo malware é um vírus.
Bom, a função dos vírus é infectar arquivos do sistema e se multiplicar, como se fosse um vírus biológico. Ele ataca os arquivos e pode conter um código malicioso dentro dele. O mais conhecido é o vírus “I Love You”, com o nome original de “Love-letter-for-you.txt”, que após sua execução, enviava uma cópia de si mesmo para todos da lista de email da vítima. O vírus foi enviado para mais de 84 milhões de pessoas, e casou um prejuízo de 9 bilhões de dólares. Esse vírus teve tanto sucesso por usar engenharia social em seu nome. Com o nome de “eu te amo”, qualquer um ficaria curioso para saber quem era o remetente da mensagem, e certamente abriria o email, sendo infectado.
Worms:Os worms são uma espécie de subconjunto dos vírus, porém eles contêm algumas diferenças fundamentais em relação aos vírus. Basicamente, um worm é um programa que consegue fazer cópias de si mesmo sem infectar outros arquivos. A ideia dele é de instalar-se uma vez apenas no PC e, a então, procurar uma maneira de conseguir se espalharpara outros computadores.
Outra diferença é que, ao invés de querer permanecer não detectado, o worm cria uma instância única do seu código e permanece sozinho, já que ele procura brechas no sistema operacional infectado e garante que só ele vai rodar na máquina, evitando a infecção por outra ameaça. Isso quer dizer que o worm é um arquivo separado, que não se adere a arquivos existentes (procedimento realizado pelo vírus).
Esta estratégia utilizada pelo worm facilita o seu spreading (propagação) através de dispositivos USB e até mesmo em redes de computadores. Outra técnica utilizada pelos worms, e que é muito eficiente, é a distribuição de si mesmo através de e-mails, nos quais são criados anexos infectados. Estes e-mails são enviados para toda a lista de contatos da pessoa que teve o seu computador infectado, como no vírus I Love You, e a vítima nem sabe que isso está acontecendo.
Keyloggers:São usados para a captura de teclas no computador da vítima.
Os primeiros tipos de keyloggers eram peças físicas que eram conectadas entre o computador e a saída do teclado, como se fosse um adaptador, e o cracker tinha que inserílo no computador da vítima, ou seja, precisava de acesso físico ao PC para conseguir instalálo. Além de uma boa engenharia social, o cracker precisaria ter acesso ao PC novamente, já que ele teria que remover o equipamento depois que a vítima tivesse digitado o que ele queria.
O outro tipo de keylogger – e mais comum – é o software. Um programa que o cracker configura e tem a mesma finalidade do keylogger físico. A diferença é que este pode ser controlado remotamente, e tem variantes.
Quando infectada, a vítima tem seu teclado monitorado, e tudo que for digitado será capturado pelo keylogger, que enviará os dados para o cracker, geralmente via e-mail.
Mas aí surge uma dúvida e você pergunta: “Mas Nick, as pessoas escrevem muitas coisas por dia, o cracker não levaria tempo para conseguir encontrar o que quer, diante de tanto texto?”
Sim, e é por isso que foi inventado o Smart Keylogger, o keylogger que só pega o que é interessante para o invasor, como senhas, emails, etc...
Os Smart Keyloggers são mais conhecidos no mundo banker(mundo dos fraudadores de dados bancários), pois ficam escondidos no PC da vítima em estado de listenning(escuta), aguardando que um site de banco seja aberto. Assim que a vítima digita a URL do site no navegador, o keylogger entra em actividade e fica aguardando pelo pressionamento das teclas. A vítima digita a senha, o keylogger captura a senha, e quando o site do banco é fechado, ele para a sua actividade e volta ao estado de escuta.
Botnets: Já citadas anteriormente no capítulo de ataques DoS, a utilização de botnets é a principal forma de ataque de DDoS. O cracker envia o malware para várias pessoas - podendo ele ter a capacidade de se propagar, como um vírus - até formar uma rede, chamada de rede zumbi. Ele então tem controle sobre todos os zumbis infectados, e pode ordenar que eles iniciem ataques contra uma ou várias vítimas. Na ilustração abaixo você pode ver como funciona esse ataque. No caso, o “Controller”é o client da botnet que fica no PC do cracker.
Basicamente o cracker envia um comando para todos os infectados, e todos interpretam o mesmo comando, ao mesmo tempo. Se ele ordenar que todos ataquem o site X, todos farão. E isso é útil para ele, porque assim ele não precisa se preocupar em usar a própria banda de rede para fazer o ataque, já que está usando computadores escravos para fazer isso por ele. Então, a conexão dele com internet permanece estável, enquanto que a conexão dos zumbis fica oscilando.
Backdoors:São ferramentas simples que se acoplam aos malwares mais complexos.
Sua função é abrir uma brecha no sistema da vítima, para garantir que o cracker consiga conectar lá sempre, ou seja, manter acesso. Os backdoors são usados em invasões à servidores WEB, como nós vimos no capítulo de Pentest, onde o cracker hospeda o malware no site da vítima, e sempre que quiser, pode conectar a ele, sem que a vítima saiba. Ele atua geralmente abrindo portas no firewall, ou utilizando de alguma brecha em algum programa ou serviço que se conecta a internet.
Mas o contrário também acontecer, você pode ser hackeado – indirectamente – por um site. O cracker pode hospedar arquivos maliciosos em alguma linguagem WEB, e esses arquivos exploram falhas existentes no navegador que você estiver usando. Há uma falha de buffer overflow no Internet Explorer 7, onde um script mal intencionado faz com que ele dê crash. (Isso é um ataque de negação de serviço (DoS)!)
Rootkits: Eles são bem complexos, geralmente são implementados em outros malwares para que fiquem indetectáveis pelo usuário. Sua função basicamente é usar técnicas que fazem com que o sistema não consiga perceber sua presença na máquina.
Por exemplo, se você estiver infectado com um determinado rootkit, e abrir o gerenciador de tarefas para ver se ele está executando, antes de o gerenciador ser aberto, o rootkit intercepta esse pedido e filtra os programas que aparecem na lista, excluindo ele mesmo dela. Assim, quando você olhar a lista, ele não estará lá, porque o programa gerenciador de tarefas foi modificado por ele para que ele não seja exibido na lista. Essa técnica é conhecida como API Hooking, onde você usa uma função do Windows para modificar ela mesma, em tempo real.
Ransomwares: Não são muito conhecidos no Brasil, são mais utilizados na Europa, mas com certeza são os piores que existem. São terríveis!
Os ransomwares são malwares que se instalam no PC da vítima, e usam um algoritmo criptográfico que faz com que o PC se torne utilizável, e pede uma certa quantia em dinheiro para o resgate da senha até um certo tempo. Ou seja, uma vez infectada, a vítima não poderá mais utilizar o computador, pois todos os arquivos lá presentes estarão criptografados, e só o cracker tem a senha para descriptografar. Essa senha só será entregue caso a vítima faça o pagamento que o cracker deseja, caso contrário, a senha será destruída, e o PC não poderá mais ser usado.
O último RansomWare que eu tenho notícia é o CryptoLocker. Ele se propaga por meio de uma engenharia social via email. O email falso se passa por uma companhia que oferece uma proposta de trabalho, e o executável fica anexado à mensagem. Nele, os crackers pedem a quantia de 100 dólares / 100 euros para que a senha seja enviada e o PC seja destravado.
Caso contrário, em um determinado período de tempo, a chave de desbloqueio seria apagada, forçando a vítima a formatar o computador.
Trojans:Aí estão eles, os grandes, os poderosos, os mais conhecidos. Pensou que eu tinha esquecido deles? Deixei-os para o final. São os famosos cavalos de Troia.
Mas você sabe por que ele recebe esse nome? Bom, imagino que você saiba a história do cavalo de Troia, mas se não sabe, procure no Google.
Os trojans funcionam como o Cavalo de Troia, são enviados para que se passem por outro programa, ou imagem, ou vídeo, e quando são executados, ocorre um processo de extração, onde o ele se instala no sistema, sem a vítima saber, e lá ele fica.
O trojan é dividido em dois programas, o cliente e o servidor. O cliente é o painel das vítimas, que fica sob controle do cracker. É nele que todas as ações são executadas. E o servidor é o malware em si, é ele que é executado pelas vítimas. São normalmente chamados de Client e Server, respectivamente.
Quais as funções do trojan? Os trojans actualmente contam com muitas funções, há alguns que contém todas as funções dos malwares citados acima, mas normalmente eles são usados para espionagem, captura de informações digitadas, manipulação de arquivos.
Você faz qualquer coisa com um trojan, tudo o que quiser. Capturar senhas, ver webcam, enviar pop-ups, abrir sites, baixar/enviar/apagar/criar arquivos, desligar o pc, inverter os botões do mouse... Até formatar o PC da vítima você consegue.
Existem dois tipos de trojans, os de conexão reversa e os de conexão direta.
Conexão Reversa:São os mais comuns, é o trojan em que o server se conectamao client. Todas as vítimas ficam tentando se conectar ao cracker, e quando conseguem, ficam no aguardo dos comandos, para que possam executá-los. Dessa forma, o cracker consegue se comunicar com todos os servidores ao mesmo tempo, e executar tarefas simultaneamente.
Conexão Direta: São menos comuns, justamente por terem perdido lugar para os de conexão reversa. Nesses, ao contrário dos de conexão reversa, é o client que se conecta com os servers. Então, o servidor instalado no computador das vítimas fica aguardando a conexão do client, que é feita manualmente pelo cracker. Quando a conexão é feita, a transferência de informações acontece como no de conexão remota, porém, com apenas uma vítima de cada vez. Essa é a desvantagem do trojan de conexão direta, ele consegue se conectar apenas a uma vítima de cada vez, então, não é possível enviar comandos em massa para todas as vítimas infectadas.
2.3.Rootkit 
Antes de definismos o Rootkit, é importante falarmos do que são Malwares, sendo que Rootkit e um tipo de Malware. 
O termo Malware se refere a software que danifica dispositivos, rouba dados e causa o caos. É a abreviação de "software malicioso" (em inglês, malicious software) e se refere a um tipo de programa de computador desenvolvido para infectar o computador de um usuário legítimo e prejudicá-lo de diversas formas. 
Frequentemente um Malware é desenvolvido por times de hackers que, na maioria das vezes, estão apenas buscando uma forma de fazer dinheiro, seja pela proliferação do próprio Malware ou por meio de leilão na Dark Web. De qualquer forma, podem haver outras razões para a criação de Malwares. Esses softwares maliciosos podem ser usados como ferramentas de protesto, uma forma para testar a segurança de uma rede ou até mesmo como armas de guerra entre governos. 
Um Rootkit é um tipo de Malware projetado para dar aos hackers acesso e controle sobre um dispositivo. É um software usado por criminosos cibernéticos para obter controle sobre um computador ou rede alvo, um software, na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de deteção e permitir acesso exclusivo a um computador e suas informações. O sistema operacional Linux/Unix tem relação com o início desse software. Ele funciona como um backdoor, que significa uma porta em que o usuário, bem ou mal-intencionado, pode entrar e sair livremente, fazendo o que bem entender sem que os mecanismos tradicionais de antivírus e defesas do computador inibam essa ação. 
O termo Rootkit é a junção da palavra "Root" é a definição usada para os usuários que possuem o controle total de um computador. (do inglês raiz e nome tradicional da conta privilegiada de superusuário administrador em sistemas operacionais semelhantes a Unix) e a palavra "kit" (que se refere aos componentes de software que implementam a ferramenta). 
O Rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação quando algum sistema operacional efetua um pedido de leitura de um arquivo, deixando o sistema ler apenas os arquivos que não estão infectados. Por isso, o antivírus instalado na máquina ou outra ferramenta de segurança do computador não consegue detectar alguma ameaça ou arquivo malicioso. 
Um computador pode adquirir esse tipo de software malicioso de diversas maneiras. No entanto, o modo mais comum é por meio de algum cavalo de troia ou algum anexo ou link de um email. Também, alguns sites podem instalar arquivos indevidos em seu computador que contenham um Rootkit. Por exemplo, é possível que ao instalar um plug-in no seu navegador ou mesmo um programa em sua máquina que sejam suspeitos, um Rootkit esteja escondido entre alguns arquivos e acabe infectando o seu equipamento. 
 
Nos computadores com Windows, geralmente, os Rootkits infectam as tarefas e processos de memória, conseguindo anular os pedidos do programa que está com esse software malicioso. Como resultado, o programa pode não encontrar os arquivos necessários para funcionar. De maneira prática, é possível dizer que os Rootkits são responsáveis por enganar os programas que estão infectados, os fazendo acreditar que os arquivos necessários não estão presentes, provocando mensagens de erro. 
Nas máquinas equipadas com sistema operacional Linux/Unix, o processo é um pouco distinto. O Rootkit que estiver em uma máquina com esse sistema operacional irá trocar um programa de listagem de arquivos. Dessa forma, o trojan ficará salvo e escondido no sistema. Caso ninguém descubra que ele está lá, o indivíduo malicioso pode acessar a máquina quantas vezes quiser. 
No entanto, nem sempre os Rootkits são instalados com finalidades negativas. Rootkits corretos podem ser instalados juntamente com aplicativos legítimos, a fim de assumirem funções que melhorem o serviço prestado pelo programa. 
2.4.Tipos de Rootkit 
Existem vários tipos de Rootkits, cada um atacando partes diferentes do computador. De uma maneira geral, quanto mais ao nível do núcleo está um Rootkit, mais grave é o problema e mais difícil é de detetar. Enquanto que os Rootkits que afetam o software são relativamente fáceis de gerir, aqueles que atacam os drivers, a memória e o sistema operativo são muito mais complicados. 1. Hardware ou Rootkit de firmware 
Os Rootkits de hardware ou firmware podem afetar seu disco rígido, seu roteador ou a BIOS de seu sistema, que é o software instalado em um pequeno chip de memória na placa-mãe do seu computador. Em vez de ter como alvo o sistema operacional, eles visam o firmware do seu dispositivo para instalar malware, que é difícil de detectar. Porque afetam o hardware, permitem aos hackers registrar tudo que você tecla, bem como monitorizar a atividade online. Embora menos comuns que outros tipos, os rootkits de hardware ou firmware são uma grave ameaça à segurança online. São mais raros quando comparados com outros tipos. 
2. Rootkit de memória 
Os Rootkits de memória escondem-se na memória RAM e utilizam os recursos do seu computador para realizar atividades maliciosas em segundo plano. Os Rootkits de memória afetam o desempenho da memória RAM do seu computador. Como eles só vivem na RAM do seu computador e não injetam um código permanente, os Rootkits de memória desaparecem assim que você reinicia o sistema – embora às vezes não seja tão fácil se livrar deles. A sua curta duração significa que tendem a não ser percebidos como uma ameaça significativa. 
3. Rootkit de aplicativos 
Os Rootkits de aplicativos substituem os arquivos padrão em seu computador por arquivos Rootkit e podem até mudar a maneira como os aplicativos padrão funcionam. Estes Rootkits infectam programas como o Microsoft Office, Notepad, ou Paint. Os criminosos podem obter acesso ao seu computador cada vez que você executar esses programas. Como os programas infectados ainda rodam normalmente, a deteção de Rootkit é difícil para os usuários – mas os programas antivírus podem detectá-los, pois ambos operam na camada do aplicativo. 
4. Rootkits em modo Kernel 
Ao contrário dos Rootkits de aplicação, os Rootkits de modo Kernel estão entre os mais graves de todos, dado que atacam o núcleo, ou core, do sistema operativo. Os hackers usam-nos não só para aceder aos ficheiros no computador-alvo, mas também para alterar a funcionalidade do sistema operativo, adicionando o seu próprio código. Enquanto que estes Rootkits podem alterar por completo a performance do sistema, ainda assim são mais fáceis de identificar e tratar do que outros tipos cujos efeitos vão mesmo além do sistema operativo. 
5.Rootkits ao Nível do Bootloader 
Como o próprio nome indica, os Rootkits de Bootloader afetam o Master Boot Record (MBR) e/ou o Volume Boot Record (VBR) do sistema. Apesar de terem um impacto direto no sistema, estes Rootkits associam-se a ficheiros do registo de inicialização (boot record) em vez de ficheiros comuns, o que os torna difíceis de detetar e remover. Ainda para mais, se um destes Rootkits conseguir injetar código para o interior do MBR, podedanificar todo o sistema. 
Felizmente, os Rootkits ao nível do bootloader estão praticamente em vias de extinção. Com o lançamento do Windows 8 e do Windows 10, a maioria dos PCs têm agora a opção de Secure Boot (arranque seguro), que foi desenhada especialmente para combater Rootkits de bootloader. Porém, máquinas que estejam a correr o Windows 7, quer seja a versão de 32-bits ou de 64-bits, podem continuar em risco. 
 
2.5.Exemplos de Rootkit 
Stuxnet 
Um dos Rootkits mais notórios da história é o Stuxnet, um worm de computador malicioso descoberto em 2010 e acredita-se que está em desenvolvimento desde 2005. O Stuxnet causou danos substanciais ao programa nuclear do Iran. Embora nenhum dos dois países tenha admitido responsabilidade, acredita-se que seja uma arma cibernética criada conjuntamente pelos EUA e Israel, num esforço de colaboração conhecido como os Jogos Olímpicos. 
Flame 
Em 2012, especialistas em segurança cibernética descobriram o Flame, um Rootkit usado principalmente para espionagem cibernética no Oriente Médio. Flame – também conhecido como Flamer, sKyWIper e Skywiper – afeta todo o sistema operacional de um computador, dando-lhe a capacidade de monitorar o tráfego, fazer capturas de tela e áudio e registrar toques no teclado do dispositivo. Os hackers por trás do Flame não foram encontrados, mas pesquisas sugerem que eles usaram 80 servidores em três continentes para acessar computadores infectados. Necurs 
Em 2012, o Necurs surgiu como um Rootkit e foi detectado em 83.000 infecções nesse ano. Associado aos criminosos cibernéticos de elite do Leste Europeu, considera-se que o Necurs se destaca devido à sua complexidade técnica e capacidade de evolução. 
ZeroAccess 
Em 2011, especialistas em segurança cibernética descobriram o ZeroAccess, um Rootkit em modo kernel que infectou mais de 2 milhões de computadores em todo o mundo. Ao invés de afetar diretamente a funcionalidade do computador infectado, este Rootkit baixa e instala Malware na máquina infectada e o torna parte de uma rede de bots mundial utilizada por hackers para realizar ataques cibernéticos. ZeroAccess está ativamente em uso hoje. 
TDSS 
Em 2008, o Rootkit TDSSfoi detectado pela primeira vez. Isto é semelhante aos Rootkits do carregador de inicialização porque ele carrega e funciona nos estágios iniciais dos sistemas operacionais – tornando a detecção e remoção um desafio. 
 
As funcionalidades dos Rootkits dividem-se nas seguintes categorias: 
· Manter o acesso: é caracterizado pelos backdoors, tanto para manter o acesso local, quanto acesso remoto. Podem ser usadas diferente ferramentas para o fazer, sendo exemplo o Telnet e o SSH. O acesso local pode ser mantido através de ferramentas do sistema alteradas, como o login, de utilizadores especiais com acesso de root. 
· Permitir atacar outros sistemas: as ferramentas de ataque dos rootkits também têm a função de ampliar o território do atacante. Estas podem ser para ataque local, remoto ou DoS (Denial of Service). As ferramentas para acesso local são utilizadas para recuperar o acesso de administrador do sistema, caso seja perdido. Os rootkits também possuem sniffers para captura de passwords em protocolos não seguros como: POP3, IMAP, telnet e ftp. São habitualmente utilizados para criar redes zumbis (botnets) e utilizar o sistema como parte de uma rede de computadores remotamente controlados. 
· Destruir evidências: eliminar as evidências de um sistema atacado e impedir que novas provas sejam produzidas, a remoção destes vestígios inclui a limpeza de vários ficheiros de logs, de aplicações, históricos e registos de auditoria. 
2.6.Como detectar Rootkits 
Detectar a presença de um Rootkit em um computador pode ser difícil, pois este tipo de Malware é explicitamente projetado para ficar escondido. Os Rootkits também podem desativar o software de segurança, o que torna a tarefa ainda mais difícil. Como resultado, o Malware Rootkit pode permanecer no seu computador por um longo tempo causando danos significativos. 
Possíveis sinais de Malware de Rootkit incluem: 
1. Tela azul 
Um grande volume de mensagens de erro do Windows ou telas azuis com texto branco (às vezes chamado de "tela azul da morte"), enquanto seu computador precisa reiniciar constantemente. 
2. Comportamento inusitado do navegador 
Isto pode incluir indicadores não reconhecidos ou redireccionamento de links. 
3. Desempenho lento do dispositivo 
O seu aparelho pode demorar algum tempo para começar e funcionar lentamente ou congelar frequentemente. Também pode não responder à entrada do mouse ou do teclado. 
4. As configurações do Windows mudam sem permissão 
Exemplos podem incluir a mudança do seu protetor de tela, a barra de tarefas se escondendo, ou a exibição incorreta de data e hora – quando você não tiver mudado nada. 
5. As páginas da web não funcionam corretamente 
As páginas web ou atividades de rede aparecem intermitentes ou não funcionam corretamente devido ao tráfego excessivo na rede. 
Uma verificação de Rootkit é a melhor maneira de detectar uma infecção por Rootkit, que a sua solução antivírus pode iniciar. Se você suspeitar de um vírus Rootkit, uma maneira de detectar a infecção é desligar o computador e executar a verificação a partir de um sistema limpo conhecido. 
A análise comportamental é outro método de detecção de Rootkit. Isso significa que ao invés de procurar pelo Rootkit, você procura por comportamentos semelhantes aos do Rootkit. Enquanto as varreduras direcionadas funcionam bem se você souber que o sistema está se comportando de forma estranha, uma análise comportamental pode alertá-lo para um Rootkit antes que você perceba que está sob ataque. 
 
2.7.Métodos de dectectar Rootkits 
Métodos para detectar Rootkits ao nível do utilizador segundo (Steding-Jessen & Murilo, 2001): 
•Pesquisa por caracteres – A pesquisa por caracteres conhecidos, como nomes de ficheiros de configuração, utilizadores, palavras passe, endereços IP, entre outros, em binários trojaned, pode indicar a presença de um Rootkit no sistema; 
•Verificação de integridade – A verificação e comparação periódica de hashes de programas e ficheiros contra hashes geradas após uma instalação inicial do sistema, pode indicar a presença de alterações maliciosas em ficheiros, causadas por rootkits; 
•Verificação de processos do sistema e bibliotecas –pode indicar acessos indevidos a ficheiros de configuração utilizados por Rootkits; 
•Análise de MAC times – MAC times de programas e ficheiros pode auxiliar no isolamento de possíveis alterações feitas após um ataque; 
•Análise de Ligações de rede – A verificação por portas abertas e ligações suspeitas pode indicar a presença de um backdoor remoto no sistema; 
•Análise processos do sistema e símbolos do kernel –símbolos incomuns no kernel podem indicar a presença de um Rootkit em nível de kernel; 
•Procura por outros indícios – A pesquisa por processos activos, mas não contabilizados no sistema, via uma busca excessiva no número total de identificador de processo (PID) disponível; directórios e ficheiros ocultos, o número de directórios e ficheiros visíveis são diferentes dos contabilizados; indícios de alterações em ficheiros de logs, como entradas apagadas ou sobrescritas; a presença de utilizadores estranhos; ficheiros de configuração e scripts incomuns no sistema; possível indicação da presença de binários trojaned que dá acesso de root; possível resíduo de processos, de ficheiros abertos e da compilação de programas; entre outros, podem ser indícios de que o sistema foi atacado e de que Rootkits foram utilizados. 
Métodos para detectar Rootkits ao nível do kernel segundo (Qian, Zhou, Kong, Zhu, & Qian, 2007): 
•Detecção de substituição (call hooks) de processos do sistema (syscalls) – Verifica-se os endereços, na tabela de símbolos contida na memória ou nos ficheiros do kernel, das syscalls e compara-se com os endereços encontrados na tabela de syscalls contida na memória; 
•Detecção de jumps incondicionais (inline function hooks) – Verifica-se toda a memóriado kernel em busca de jumps incondicionais que apontem para fora da semântica da função analisada; 
•Detecção de funções que tiveram o seu código alterado (code byte patches) – hash ou baseline da memória do kernel, após uma instalação nova, e compara-se com a memória do sistema. 
Também é possível utilizar sistemas de verificação de integridade locais de forma a detectar alterações em programas, ficheiros e logs do sistema. 
2.8.Como remover um Rootkit 
Vários tipos de Rootkits correm com privilégios mais elevados que a maioria dos programas de cibersegurança, razão pela qual podem ser extremamente difíceis de detetar. Para encontrar Rootkits no seu sistema, precisa de uma ferramenta anti-malware avançada com extras dedicados a Rootkits. Felizmente, o melhor software antivírus para PC com Windows 10 inclui sempre ferramentas para analisar e remover Rootkits, permitindo-lhe lidar facilmente com estas ameaças. 
Se suspeita que o seu computador está infetado com um Rootkit, deverá procurar por sinais típicos de uma infeção. Estes incluem normalmente uma performance mais lenta e níveis de memória RAM livre baixos, data e hora incorretos no canto inferior direito do seu ecrã, bem como ocorrências frequentes do infame “Blue Screen of Death” (ecrã azul da morte). Além disso, algumas ou todas as funcionalidades do seu programa antivírus ou anti-malware podem ficar automaticamente desabilitadas quando o software infetado pelo Rootkit é lançado pela primeira vez. 
Apesar de alguns Rootkits poderem afetar o seu hardware, todos eles têm origem numa instalação de software malicioso. Como tal, a sua melhor aposta é usar apenas software antivírus para MacOS, que está equipado para lhe oferecer proteção em tempo real contra todas as ameaças, incluindo vírus, Malware, e Rootkits. Certifique-se que efetua análises regulares ao seu sistema e atualiza as definições de vírus diariamente. Para evitar Rootkits de bootloader, é também aconselhável atualizar o seu sistema operativo para o Windows 8 ou acima. 
 
2.9.Como prevenir os Rootkits 
Como os Rootkits podem ser perigosos e difíceis de detectar, é importante permanecer vigilante ao navegar na internet ou ao fazer download de programas. Muitas das mesmas medidas de proteção que você toma para evitar vírus de computador também ajudam a minimizar o risco de Rootkits: 
1. Use uma solução de segurança cibernética abrangente 
Seja proativo na segurança dos seus dispositivos e instale uma solução antivírus abrangente e avançada. OKaspersky Total Security oferece proteção total contra ameaças virtuais e também permite que você execute varreduras de Rootkit. 
2. Mantenha-se atualizado 
Atualizações contínuas de software são essenciais para manter-se seguro e evitar que os hackers o infectem com Malware. Mantenha todos os programas e seu sistema operacional atualizados para evitar ataques de Rootkit que tirem proveito das vulnerabilidade.
3. Esteja atento a golpes de phishing 
Phishing é um tipo de ataque de engenharia social em que os golpistas usam o e-mail para enganar os usuários a fornecer-lhes suas informações financeiras ou baixar softwares maliciosos, tais como Rootkits. Para evitar a infiltração de Rootkits no seu computador, evite abrir e-mails suspeitos, especialmente se o remetente não estiver familiarizado com você. Se você não tem certeza se um link é de confiança, não clique nele. 
4. Baixe arquivos somente de fontes confiáveis 
Tenha cuidado ao abrir anexos e evite abrir anexos de pessoas que você não conhece para evitar que o Rootkit seja instalado no seu computador. Baixe o software apenas de sites respeitáveis. Não ignore os avisos do navegador quando ele lhe informa que um site que você está tentando visitar não é seguro. 
5. Esteja atento ao comportamento ou desempenho do seu computador 
Questões comportamentais podem indicar que um Rootkit está em funcionamento. Fique atento a quaisquer mudanças inesperadas e tente descobrir porque é que estas estão a acontecer. 
Os Rootkits são um dos tipos de Malware mais desafiadores de encontrar e remover. Por serem difíceis de detectar, a prevenção é muitas vezes a melhor defesa. Para garantir proteção contínua, continue aprendendo sobre as últimas ameaças à segurança cibernética 
 
 	 
3.Conclusão 
Conclui-se o seguinte trabalho sobre os Rootkits, que deu a informar sobre o Malware, os tipos de Rootkits, exemplos, e identificou como remover, evitar e identificar eles. 
Viu-se a importância de conhecer essa ameaça, pois ela pode criar problemas se não prevenida, e se for obtida não ser removida. Mesmo sendo possível adquirir o Malware no seu uso do dispositivo, por sites que tenham o Malware, e necessário ter noção de identificar ele, e remover, ou mesmo prevenir para evitar a danificação do dispositivo. 
Sendo que a informação que carregamos importante, essas medidas de prevenir e remover são importantes para não correr risco de danificação ou perca da nossa informação importante, portanto sendo o Malware uma ameaça. 
 
 	 
4.Referencia Bibliográfica 
Gran cursos online. Segurança da informação. Disponível em: www.grancursosonline.com.br. Acesso em: 24 de maio de 2022.
Kaspersky. O que é Malware. Disponível em: www.kaspersky.com.br. Acesso em: 23 de maio de 2022. 
Kaspersky. Como detectar e prevenir Rootkit. Disponível em: www.kaspersky.com.br. Acesso em: 23 de maio de 2022. 
NASCIMENTO, Anderson. O que é Rootkit. Disponível em: Canaltech.com.br. Acesso em: 23 de maio de 2022. 
PINTO, Pedro. Sabe o que são Rootkits? Saber como detectar. Disponível em: PPlware.sapo.pt. Acesso em: 23 de maio de 2022. 
REGAN, Joseph. O que é um Malware. Disponível em: www.avg.com. Acesso em 23 de maio de 2022. 
Softwarelab. O que é um Rootkit. Disponível em: Softwarelab.org. Acesso em: 23 de maio de 2022. 
Wikibooks. Guia do hacker/Malware:Tipos e caraterísticas. Disponível em: pt.m.wikibooks.org Acesso em: 24 de maio de 2022. 
2 
 
2