Wat is rootkit? - Definitie en uitleg

Rootkit: definitie en betekenis

Een rootkit is een soort malware die is ontworpen om hackers toegang tot en controle te geven over getroffen apparaten. Hoewel de meeste rootkits de software en het besturingssysteem aantasten, kunnen sommige rootkits de hardware en firmware van je computer infecteren. De aanwezigheid van rootkits kan heel goed worden verborgen. Hoewel ze onzichtbaar zijn, zijn ze wel actief.

Zodra ze ongeautoriseerd toegang hebben gekregen tot computers, worden rootkits door cybercriminelen gebruikt om persoonsgegevens en financiële gegevens te stelen, malware te installeren of computers te gebruiken als onderdelen van een botnet om spam te verzenden en DDOS- of Distributed-Denial-of-Service-aanvallen uit te voeren.

De naam 'rootkit' is afkomstig van besturingssystemen Unix en Linux, waar de accountbeheerder met de meeste rechten de 'root' wordt genoemd. De toepassingen die ongeautoriseerde toegang tot het apparaat toestaan op root- of beheerdersniveau, staan bekend als de 'kit'.

Wat is rootkit?

Een rootkit wordt door cybercriminelen gebruikt om controle te krijgen over een getroffen computer of netwerk. Rootkits kunnen soms voorkomen als een enkel stukje software, maar bestaan vaak uit een verzameling tools waarmee hackers op beheerderniveau controle kunnen krijgen over het getroffen apparaat.

Hackers gebruiken verschillende manieren om rootkits te installeren op getroffen apparaten.

1. De meest voorkomende manier is door middel van phishing of een andere soort aanval via social engineering. Slachtoffers downloaden en installeren onbewust malware die verstopt it in andere processen die op hun apparaten worden uitgevoerd. Zo geven zij hackers controle over vrijwel alle onderdelen van het besturingssysteem.
2. Een andere manier is door het gebruikmaken van een kwetsbaarheid, oftewel een zwakke plek in de software of een besturingssysteem dat niet is bijgewerkt, waardoor er een rootkit op de computer kan worden geplaatst.
3. Malware kan ook worden samengevoegd met andere bestanden, zoals PDF's, illegaal gedownloade media of apps die zijn gedownload via onbetrouwbare externe appstores.

Rootkits werken vanuit of dicht bij de kernel van het besturingssysteem, waardoor ze de mogelijkheid hebben om de computer opdrachten te laten uitvoeren. Alles met een besturingssysteem vormt een potentieel doelwit voor een rootkit en volgens het Internet of Things zijn zelfs je koelkast of thermostaat niet veilig.

Rootkits kunnen keyloggers verstoppen, waarmee je toetsaanslagen zonder toestemming worden bijgehouden. Dit maakt het voor cybercriminelen eenvoudig om je persoonlijke gegevens te stelen, zoals je creditcard- of bankgegevens. Met rootkits hebben hackers de mogelijkheid om jouw computer te gebruiken om DDoS-aanvallen uit te voeren of spame-mails te verzenden. Rootkits kunnen zelfs beveiligingssoftware uitschakelen of verwijderen.

Sommige rootkits worden voor geldige redenen gebruikt, zoals voor IT-ondersteuning op afstand of voor de ondersteuning van wetshandhavingsinstanties. Over het algemeen worden rootkits echter voor kwaadaardige doeleinden gebruikt. Rootkits zijn gevaarlijk vanwege de verschillende vormen van malware die ermee op computers kunnen worden geplaatst, waarmee het besturingssysteem kan worden aangetast en gebruikers op afstand beheerdersrechten kunnen krijgen.

Soorten rootkits

1. Hardware- of firmwarerootkit

Hardware- of firmwarerootkits kunnen de harde schijf, router of BIOS van je systeem aantasten. BIOS is de software die op een kleine geheugenchip op je moederbord is geïnstalleerd. Deze rootkits installeren malware niet op het besturingssysteem maar op de firmware, omdat dit lastiger is te detecteren. Aangezien hiermee de hardware wordt aangetast, kunnen hackers je toetsaanslagen bijhouden en je online activiteit bekijken. Hoewel deze soort minder vaak voorkomt, vormen hardware- of firmwarerootkits een groot gevaar voor online veiligheid.

2. Bootloader-rootkit

Het bootloader-mechanisme zorgt ervoor dat het besturingssysteem van een computer wordt geladen. Bootloader-rootkits tasten dit systeem aan en vervangen de oorspronkelijke bootloader van de computer door een gehackte bootloader. Zo wordt de rootkit geactiveerd nog voordat het besturingssysteem van je computer volledig is gestart.

3. Memory-rootkit

Memory-rootkits zitten verstopt in het RAM-geheugen (Random Access Memory) van je computer en gebruiken de hulpmiddelen van je computer om op de achtergrond kwaadwillende activiteiten uit te voeren. Memory-rootkits hebben invloed op de RAM-prestaties van je computer. Aangezien ze alleen aanwezig zijn op het RAM-geheugen van je computer en geen permanente code overbrengen, verdwijnen memory-rootkits zodra je het systeem opnieuw opstart, hoewel er in sommige gevallen meer nodig is om deze te verwijderen. Deze rootkits zijn maar kort aanwezig op het apparaat, waardoor deze vaak niet als een grote dreiging worden gezien.

4. Toepassingsrootkit

Toepassingsrootkits vervangen de standaardbestanden op je computer met rootkitbestanden en hebben soms zelfs invloed op de werking van standaardtoepassingen. Deze rootkits infecteren programma's als Microsoft Office, Notepad of Paint. Hackers krijgen telkens wanneer je deze programma's gebruikt toegang tot je computer. Aangezien de geïnfecteerde programma's normaal werken, worden rootkits niet snel opgemerkt door gebruikers. Daarentegen kunnen anti-virusprogramma's deze rootkits wel snel detecteren, omdat ze beide werkzaam zijn in de toepassingslaag.

5. Kernelmodusrootkits

Kernelmodusrootkits zijn één van de meest schadelijke rootkits, omdat deze de kern van je besturingssysteem (het kernelniveau) aantasten. Deze rootkits worden door hackers niet alleen gebruikt om toegang te verkrijgen tot de bestanden op je computer, maar ook om de functionaliteit van je besturingssysteem te veranderen door hun eigen code toe te voegen.

6. Virtuele rootkits

Een virtuele rootkit wordt onder het besturingssysteem van een computer aangebracht. Vervolgens wordt het getroffen besturingssysteem gebruikt als virtuele machine, waardoor hardware-aanroepen door het oorspronkelijke besturingssysteem kunnen worden onderschept. Met deze soort rootkit hoeft de kernel niet te worden aangepast om het besturingssysteem te ondermijnen en het is lastig om deze rootkit te detecteren.

Voorbeelden van rootkits

Stuxnet

Een van de meest beruchte rootkits ooit is Stuxnet, een kwaadaardige computerworm die in 2010 werd ontdekt en waarvan wordt gedacht dat deze sinds 2005 in ontwikkeling was. Stuxnet heeft aanzienlijk veel schade aangericht aan het nucleaire programma van Iran. Hoewel geen van beide landen schuld heeft bekend, wordt er doorgaans vanuit gegaan dat het een cyberwapen was dat is voortgekomen uit de samenwerking tussen de VS en Israel, ook wel bekend als de Olympische Spelen.

Andere bekende voorbeelden van rootkits zijn onder andere:

Flame

In 2012 ontdekten cybersecuritydeskundigen Flame, een rootkit die voornamelijk werd gebruikt voor cyberspionage in het Midden-Oosten. Flame, ook wel bekend als Flamer, sKyWIper en Skywiper, tast het volledige besturingssysteem van een computer aan en zorgt ervoor dat alle activiteiten worden bijgehouden, schermafbeeldingen en audio-opnamen worden gemaakt en toetsaanslagen worden geregistreerd. De hackers achter Flame zijn nooit gevonden, maar uit onderzoek blijkt dat ze 80 servers verspreid over drie continenten gebruikten om toegang te krijgen tot getroffen computers.

Necurs

In 2012 verscheen Necurs als een rootkit en werd dat jaar naar verluidt in 83.000 getroffen apparaten aangetroffen. Necurs wordt in verband gebracht met elitaire cybercriminelen in Oost-Europa en valt op vanwege de technische complexiteit en mogelijkheid om zich te ontwikkelen.

ZeroAccess

In 2011 ontdekten cybersecuritydeskundigen ZeroAccess, een kernelmoderootkit die wereldwijd meer dan 2 miljoen computers heeft geïnfecteerd. In plaats van rechtstreeks de werking van de getroffen computer aan te tasten, wordt er door deze rootkit malware op het getroffen apparaat gedownload en geïnstalleerd, waarmee het onderdeel wordt van een wereldwijd botnet dat door hackers wordt gebruikt om cyberaanvallen uit te voeren. ZeroAccess is tegenwoordig nog steeds actief.

TDSS

In 2008 werd de TDSS-rootkit voor het eerst ontdekt. Deze lijkt op de bootloader-rootkits, omdat deze gedurende de beginfasen van het besturingssysteem worden uitgevoerd. Hierdoor zijn deze rootkits lastig te detecteren.

Rootkits detecteren

Het kan lastig zijn om de aanwezigheid van een rootkit op een computer te detecteren, omdat deze soort malware juist is ontworpen om niet op te vallen. Rootkits kunnen ook worden gebruikt om beveiligingssoftware uit te schakelen, waardoor het nog lastiger wordt om ze te detecteren. Hierdoor kan rootkitmalware heel lang op je computer blijven, zonder veel schade aan te richten.

Mogelijke tekenen van rootkitmalware zijn onder andere:

1. Blauw scherm

Veel Windows-foutmeldingen of blauwe schermen met witte tekst (soms ook wel het 'blauwe scherm van de dood genoemd') en een computer die vaak opnieuw moet worden opgestart.

2. Ongebruikelijk gedrag van de webbrowser

Dit omvat bladwijzers die je niet herkent of koppelingen die worden omgeleid.

3. Langzame apparaatprestaties

Je apparaat start langzaam op, werkt langzaam of hangt vast. Het kan ook voorkomen dat je apparaat niet reageert op invoer van je muis of toetsenbord.

4. Windows-instellingen worden zonder toestemming gewijzigd

Voorbeelden hiervan zijn gewijzigde schermbeveiliging, een taakbalk die verdwijnt of onjuiste datum en tijd, zonder dat je deze zaken hebt gewijzigd.

5. Webpagina's werken niet naar behoren

Webpagina's of netwerkactiviteiten lijkt onregelmatig of werken niet naar behoren vanwege overmatig veel netwerkverkeer.

Een roofkitscan is de beste manier om een rootkitinfectie te detecteren. Deze scan kan door je anti-virusoplossing worden uitgevoerd. Als je een vermoeden hebt dat er een rootkit op je apparaat is geplaatst, kun je de infectie detecteren door het apparaat uit te schakelen en een scan uit te voeren met een niet-getroffen systeem.

Een andere methode om een rootkit te detecteren, is gedragsanalyse. Dit betekent dat je niet op zoek gaat naar de rootkit, maar naar gedrag dat duidt op een rootkit. Een doelgerichte scan werkt goed wanneer je weet dat het systeem zich raar gedraagt, maar met een gedragsanalyse kun je een rootkit ontdekken nog voor je het zelf in de gaten hebt.

Hoe verwijder je een rootkit?

Het verwijderen van een rootkit is een complex proces en in veel gevallen heb je er speciale hulpmiddelen voor nodig, zoals het TDSSKiller-hulpprogramma van Kaspersky, waarmee TDSS-rootkits kunnen worden gedetecteerd en verwijderd. In sommige gevallen is de enige manier om goed verstopte rootkits te verwijderen, om het besturingssysteem van je computer te verwijderen en helemaal opnieuw op te bouwen.

Een rootkit verwijderen van Windows

Op Windows moet doorgaans een scan worden uitgevoerd om een de rootkit te verwijderen. Als het om een diepgewortelde infectie gaat, is Windows opnieuw installeren de enige manier om de rootkit te verwijderen. Het is slimmer om dit via een extern media-apparaat te doen, in plaats van via de ingebouwde Windows Installer. Sommige rootkits zijn schadelijk voor de BIOS, waarvoor een reparatie is vereist. Indien je na de reparatie nog steeds een rootkit hebt, heb je mogelijk een nieuwe pc nodig.

Een rootkit verwijderen van Mac

Op een Mac moet je altijd de nieuwste versies downloaden. Met updates van Mac worden niet alleen nieuwe functies toegevoegd, maar wordt ook malware verwijderd, waaronder rootkits. Apple heeft ingebouwde beveiligingsfuncties om de gebruiker te beschermen tegen malware. Er zijn echter geen rootkitdetectors bekend voor macOS, dus als je vermoedt dat er een rootkit op je apparaat is geplaatst, moet je macOS opnieuw installeren. Hiermee worden de meeste apps en rootkits van je apparaat verwijderd. Zoals eerder genoemd, indien de rootkit schade aan de BIOS heeft aangericht, moet dit worden gerepareerd. Indien de rootkit hierna nog steeds aanwezig is, moet je mogelijk een nieuw apparaat aanschaffen.

Rootkits voorkomen

Aangezien rootkits gevaarlijk kunnen zijn en moeilijk zijn te detecteren, is het belangrijk goed op te letten tijdens het browsen online of het downloaden van programma's. Veel van de maatregelen die je neemt om jezelf te beschermen tegen computervirussen, kun je ook gebruiken om het risico op rootkits te verminderen:

1. Gebruik een uitgebreide cybersecurity-oplossing

Wees proactief als het gaat om het beschermen van je apparaten en installeer een uitgebreide en geavanceerde anti-virusoplossing. Kaspersky Total Security biedt volledige bescherming tegen cyberdreigingen en kan worden gebruikt voor rootkitscans.

2. Download de nieuwste updates

Doorlopende software-updates zijn van essentieel belang voor jouw veiligheid en om te voorkomen dat hackers malware op je apparaten plaatsen. Werk al je programma's en je besturingssysteem bij naar de laatste versies om te voorkomen dat rootkits gebruikmaken van kwetsbaarheden.

3. Blijf alert op oplichting door middel van phishing

Phishing is een soort social engineering-aanval waarmee oplichters gebruikers via e-mail misleiden om hun financiële gegevens prijs te geven of door het downloaden van kwaadaardige software, zoals rootkits. Om te voorkomen dat rootkits jouw computer binnendringen, moet je geen verdachte e-mails openen, vooral wanneer de afzender voor jou onbekend is. Klik niet op een koppeling als je niet zeker weet of deze betrouwbaar is.

4. Download bestanden alleen via vertrouwde bronnen

Wees voorzichtig wanneer je bijlagen openen en open geen bijlagen van mensen die je niet kent om te voorkomen dat er rootkits op je computer worden geïnstalleerd. Download software alleen via bekende websites. Negeer nooit de waarschuwing waarin je browser aangeeft dat de website die je bezoekt onveilig is. 

5. Houd het gedrag en de prestaties van je computer in de gaten

Gedragsproblemen kunnen erop duiden dat er een rootkit actief is. Blijf alert op onverwachte wijzigingen en probeer erachter te komen waarom deze wijzigingen zijn aangebracht.

Rootkits zijn één van de moeilijkste soorten malware om te verwijderen. Rootkits voorkomen is de slimste aanpak, aangezien ze lastig zijn te detecteren zodra ze eenmaal op je computer staan. Om voortdurende bescherming te garanderen, moet je blijven leren over de laatste nieuwe dreigingen op het gebied van cybersecurity.

Gerelateerde artikelen:

• Wat is oplichting via phishing?
• Soorten malware
• Wie maakt er malware?
• Wat is een trojan?