Mã độc Rootkit là phần mềm hoặc bộ công cụ phần mềm che giấu sự tồn tại của một phần mềm khác trong hệ thống, phần mềm khác trong trường hợp này thường là virus hoặc các phần mềm bảo vệ bản quyển. Rootkit thường được kẻ xâm nhập dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính. Các công cụ này thường nhằm để che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó giúp cho kẻ xâm nhập duy trì quyền truy cập vào hệ thống mà người dùng không biết. Rootkit có ở nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows. Một máy tính bị cài rootkit được gọi là bị “chiếm quyền root” (“rooted” trong tiếng Anh). Thuật ngữ “rootkit” trở nên phổ biến khi có cuộc tranh luận về hệ thống chống sao chép CD nhạc của Sony vào năm 2005, trong đó các đĩa CD nhạc của Sony BMG tự động cài một rootkit vào các PC chạy Microsoft Windows mà người dùng không hề được hỏi ý kiến.
Đặc điểm của mã độc rootkit (gọi tắt là rootkit)
Đặc điểm chính của rootkit là có khả năng che dấu, chẳng hạn rootkit có thể ẩn các tiến trình, file, và cả dữ liệu trong registry (đối với hệ điều hành Windows), nên nếu dùng những công cụ của hệ điều hành như: “Registry Editor“, “Task Manager”, “Find Files” thì không thể phát hiện.Trong trường hợp phát hiện ra rootkit thì việc loại bỏ rootkit ra khỏi hệ thống cũng hết sức khó khăn. Không thể sử dụng các công cụ bình thường để loại bỏ rootkit ra khỏi hệ thống mà phải dùng các chương trình anti rootkit đặc biệt. Rootkit thường hoạt động ở 2 mức:
- Mức ứng dụng (User–mode): ví dụ Word hay Explorer. Rootkit sử dụng một số kỹ thuật như hook, code–injecting… để can thiệp vào quá trình hoạt động các ứng dụng khác.
- Mức nhân hệ điều hành (Kernel–mode): rootkit hoạt động cùng mức với nhân hệ điều hành vì vậy nó có đặc quyền rất lớn với hệ thống.
Nói chung phát hiện được mã độc Rootkit khi nó đã hoạt động trong bộ nhớ là khó.
Nguồn gốc của rootkit
Thuật ngữ “rootkit” (còn được viết là “root kit”) lúc đầu được dùng để chỉ một bộ công cụ Unix được biên dịch lại như “ps”, “netstat”, “w” and “passwd” có thể che dấu kỹ lưỡng vết tích của kẻ xâm nhập mà bình thường sẽ bị hiển thị bởi các lệnh trên, vì vậy nó cho phép kẻ xâm nhập duy trì quyền “root” (“siêu người dùng”) trên hệ thống mà ngay cả người quản trị hệ thống cũng không thể thấy họ. Ngày nay thuật ngữ này không chỉ giới hạn ở các hệ điều hành dựa trên Unix mà còn được dùng để chỉ các công cụ thực hiện tác vụ tương tự trên hệ điều hành không Unix như Microsoft Windows (ngay cả khi hệ điều hành đó không có tài khoản “root”).
Vấn đề sử dụng mã độc rootkit
Mã độc Rootkit thường được dùng để che dấu các công cụ chạy bất chính trên hệ thống bị xâm nhập. Chúng thường gồm các “cửa sau” để giúp kẻ xâm nhập truy cập vào hệ thống dễ dàng hơn ở lần sau. Thí dụ như rootkit có thể che dấu một ứng dụng tạo ra một shell khi kẻ tấn công kết nối với một cổng mạng cụ thể trên hệ thống. Mã độc Rootkit nhân cũng có thể có chức năng tương tự. Cửa sau cũng cho phép các tiến trình từ người dùng thông thường thi hành các chức năng dành riêng cho siêu người dùng. Mã độc Rootkit cũng có thể che dấu mọi loại công cụ khác có thể dùng để xâm phạm hệ thống. Điều này bao gồm các công cụ dùng để tấn công thêm vào các hệ thống máy tính có kết nối với hệ thống bị xâm nhập như là công cụ bắt gói tin (packet sniffer) và chương trình ghi thao tác bàn phím (keylogger). Một cách xâm phạm phổ biến là dùng hệ thống bị chiếm quyền làm bàn đạp cho xâm phạm tiếp theo. Điều này được thực hiện bằng cách làm cho một xâm phạm có vẻ xuất phát từ mạng hay hệ thống bị chiếm thay vì từ kẻ tấn công. Các công cụ này bao gồm công cụ tấn công từ chối dịch vụ, công cụ chuyển tiếp phiên chat và các tấn công spam email. Ngoài ra, rootkit cũng hay được dùng cho mục đích bảo vệ bản quyền.