April 21, 2015 hotro@hostingviet.vn 02466.567.555       Giới thiệuTuyển dụng    Liên hệ   Đăng nhập   Đăng ký

Rootkit là gì? #7 phần mềm phát hiện và tiêu diệt Rootkit (Cực Nhanh Gọn)

Rootkit là gì? Cách phát hiện và tiêu diệt Rootkit như thế nào? Trong bài viết sau đây Hosting Việt sẽ hướng dẫn bạn chi tiết và đơn giản nhất.

Hiện nay, hacker phát triển cực kỳ mạnh mẽ nên dù hệ thống máy chủ kiên cố đến đâu cũng có thể bị xâm nhập bởi nhiều cách thức tinh vi. Trong đó, rootkit là một công cụ nguy hiểm để tiếp cận và phá hoại hệ thống. Chia sẻ sau sẽ giúp bạn hiểu rõ hơn về rootkit là gì và cách ngăn chặn chúng hiệu quả.

rootkit la gi

Rootkit là gì?

Rootkit là một công cụ thường được hacker sử dụng để chiếm quyền truy cập vào hệ thống máy tính. Chúng có thể là phần mềm hoặc bộ công cụ che giấu sự tồn tại của phần mềm gây hại. 

Rootkit che dấu các tập tin, dữ liệu hệ thống hay tiến trình đang chạy để hacker truy cập vào hệ thống máy tính mà người quản lý quyền root cũng không phát hiện được. Máy tính bị cài rootkit gọi là máy bị “chiếm quyền root”. 

Chính vì đặc tính này mà thuật ngữ rootkit ban đầu được dùng cho hệ thống bộ công cụ Unix, nhằm che dấu vết tích của hacker. Thậm chí, dù người quản trị hệ thống có dùng các lệnh kiểm tra phổ biến như “ps”, netstat”, “w” hay “passwd” cũng không thể phát hiện được kẻ xâm nhập. Từ đó, nó trở thành tấm “lá chắn” để hacker thực hiện quyền root trên hệ thống một cách an toàn. 

Hiện nay, rootkit còn là thuật ngữ dùng cho Microsoft Windows khi có các công cụ tương tự xuất hiện.

Đặc điểm của rootkit

Như phần giới thiệu ở trên, rootkit có đặc điểm chính là che dấu dấu vết của kẻ xâm nhập. Vì thế, cho dù bạn có sử dụng các chương trình hệ thống như “Registry Editor”, “Find Files”, “Task Manager” cũng rất khó, thậm chí là không thể phát hiện chúng. 

Việc phát hiện rootkit cực kỳ khó khăn là do chúng hoạt động ở 2 mức. Đó là chế độ người dùng (User-Mode) và chế độ nhân (Kernel-mode) (Phần sau, Hosting Việt sẽ chia sẻ rõ về phân loại rootkit để bạn dễ hình dung và quyết định sử dụng phần mềm phù hợp, nhằm có thể ngăn chặn chúng).

Dù ngay cả khi đã phát hiện ra rootkit thì muốn xóa nó cũng không phải là điều đơn giản. Bởi các công cụ tiêu diệt virus thông dụng dường như chả “xi nhê” gì đối với rootkit. Và chúng chỉ thật sự bị “đánh gục” bởi các chương anti rootkit chuyên dụng. Do đó, sử dụng các phần mềm này mới chính là điều bạn cần để loại bỏ rootkit ra khỏi hệ thống.

Cách thức hoạt động của rootkit là gì?

Có thể hiểu đơn giản, khi hệ thống đã bị cài rootkit thì một số thứ trong máy tính sẽ bị chặn. Vì thế, lúc này, các thông tin báo cáo mà hệ thống cung cấp không còn đáng tin cậy.

Điển hình như bạn yêu cầu máy tính liệt kê toàn bộ chương trình đang chạy, rootkit sẽ lén lút thực hiện hành động xóa các chương trình mà nó không muốn bạn biết. Điều này có nghĩa, rootkit ẩn mình trong máy tính và che giấu mọi hoạt động độc hại xảy ra.

Hay nói cách khác, rootkit như tấm màng an toàn, tạo ra “cửa sau” giúp hacker dễ dàng truy cập vào hệ thống vào những lần sau. Chúng giúp các hành vi xâm nhập hệ thống “qua mặt” được những phần mềm diệt virus thông thường. Vì thế, người quản trị hệ thống không thể phát hiện được một cách dễ dàng. Về lâu về dài, việc này sẽ dẫn đến tất yếu là dữ liệu bị ảnh hưởng và kiểm soát bởi hacker.

Các mức độ phổ biến của rootkit

Rootkit thường được các phần mềm độc hại sử dụng, nhằm tránh bị phát hiện khi chúng cố gắng thâm nhập vào hệ thống máy chủ. Thông thường, đó là các dòng phần mềm: Alureon, Cutwail, Sinowal, Sirefef, Rustock.

Rootkit được phân thành nhiều loại, cụ thể:

  • Dựa theo thời gian tồn tại: Có 2 loại
  • Rootkit bám dai (Persistent Rootkits)

Đây là loại rootkit có sự kết hợp của nhiều malware khác nhau cùng hoạt động khi hệ thống khởi động. Đặc điểm của chúng là sẽ tự động làm việc vào bất kỳ lúc nào hệ thống khởi động hoặc khi người dùng đăng nhập hệ thống. Bằng cách lưu trữ lại các đoạn mã thực hiện lệnh Registry, tập tin của hệ thống cũng như các cách thức để duy trì hoạt động của các đoạn mã dưới dạng ẩn để người dùng không phát hiện.

  • Rootkit trên bộ nhớ (Memory-Based Rootkits)

Rootkit này có mức độ nhẹ hơn so với Persistent Rootkits. Chúng được cấu thành từ các malware không chứa đoạn mã hoạt động ngầm, và rootkit chỉ lưu trong bộ nhớ. Vì thế, Memory-Based Rootkits sẽ không tồn tại khi tái khởi động máy tính.

  • Dựa theo mức độ xâm nhập hệ thống: Có 2 loại
  • Rootkit chế độ người dùng (User-mode Rootkits)

Với rootkit chế độ này thì chúng dùng nhiều cách thức khác nhau để tránh sự phát hiện của các phần mềm diệt virus. Rootkit có đa dạng hình thức tấn công và làm thay đổi các giao diện lập trình ứng dụng (API). Đó là, rootkit chỉnh sửa một hàm của API để khi có bất kỳ ứng dụng nào gọi hàm này thì sẽ chuyển hướng để thực thi mã độc. 

Hiện nay, User-mode Rootkits phổ biến là các ứng dụng văn phòng, games, trình duyệt…

  • Rootkit chế độ nhân (Kernel-mode Rootkits)

Loại này cực kỳ khó phát hiện và tiêu diệt do nó ẩn sâu trong hệ điều hành. Cách thức hoạt động của chúng khá tinh vi. Cụ thể, khi bạn vừa mở máy, Kernel-mode Rootkits sẽ tự động tải chính nó lên trước driver máy tính cũng như các phần mềm bảo mật thông thường, thậm chí cả phần mềm sử dụng cho tầng user-mode.

Cơ chế hoạt động của Kernel-mode Rootkits là tác động đến kernel, bộ nhớ cùng những thành phần khác của hệ thống. 

Cách phát hiện rootkit

Trước sự tấn công tinh vi và tác hại của rootkit, các công ty cung cấp dịch vụ bảo mật đều không ngừng nghiên cứu nhằm tìm ra cách phát hiện rootkit hiệu quả. 

Điển hình như tìm kiếm và phát hiện dấu hiệu của rootkit, các hành vi đáng ngờ, kiểm tra và so sánh chữ ký kĩ thuật số, để từ đó tìm xem rootkit có làm thay đổi hay không. Đối với Kernel-mode Rootkits, đòi hỏi phải trải qua nhiều bước phức tạp, đồng thời, kiểm tra kỹ nơi lưu trữ các tiến trình của hệ thống (System Call Table). Điều này giúp phát hiện toàn bộ những hàm mà rootkit đã chỉnh sửa.

Cụ thể, chi tiết các cách phát hiện rootkit như sau:

  • Sử dụng thiết bị đáng tin cậy khác: Bạn hãy tắt máy tính đang nghi ngờ nhiễm rootkit, tiếp đến sử dụng đĩa CD, USD để boot rồi quét rootkit. Đây được xem là cách hữu hiệu trong việc quét Kernel-mode Rootkits do chúng sẽ bị giảm khả năng ẩn mình nếu máy tính không hoạt động. 
  • Dựa vào hành vi của rootkit: Cài đặt các phần mềm chống rootkit để chúng theo dõi và phát hiện ra những tác vụ hoặc hành vi tương tự rootkit hay thậm chí là tác vụ kém an toàn. Ví dụ: mức tiêu thụ CPU tăng đột biết, xảy ra hiện tượng khác biệt về thời gian cũng như tuần suất gọi hàm API, xuất hiện hành động lạ trong công cụ phân tích dữ liệu mạng hay tường lửa… Cách này tương đối phức tạp và phần lớn cho kết quả dương tính nhưng đôi khi lại không đúng. Bởi thực tế đã chứng minh, Alureon rootkit còn đánh sập cả Windows khi phát hiện một lỗ hổng bên trong do bản cập nhật bảo mật.
  • Dựa trên chữ ký (signature): Đây được xem là phương pháp hữu hiệu trong việc ngăn chặn và tiêu diệt các loại rootkit phổ biến. Khi bạn chạy chương trình chống virus, một công cụ nhận diện sẽ giúp phát hiện các rootkit đang cố ẩn nấp và đưa ra giải pháp gỡ bỏ phù hợp. Tuy nhiên, đây vẫn chưa hẳn là cách tốt nhất đối với các rootkit có tính tùy biến cao. Bởi hệ thống signature không thể phát hiện ra chúng.
  • Kiểm tra tính toàn vẹn: Giải pháp được thực hiện bằng cách tạo ra chữ ký điện tử, hay dấu vân tay. Từ đó, hệ thống có thể phát hiện các thay đổi trái phép đối với những thư viện mã có trên ổ đĩa lưu trữ. Tuy nhiên, điểm hạn chế của cách này là nó chỉ đối chiếu và kiểm tra tính chính xác so với dữ liệu đã tạo, còn các sự thay đổi sau đó thì không biết. Vì thế, bạn cần tạo lại chữ ký điện tử và cập nhật bản khắc phục lỗi bảo mật.
  • Xem xét bộ nhớ hoặc kernel: Phương pháp được thực hiện thông qua tạo bản trích xuất của kernel hoặc bộ nhớ ảo (được sử dụng khi bộ nhớ RAM hết dung lượng), tiếp đến, đem đi phân tích để rà xoát xem có sự hiện diện của rootkit hay không. Giải pháp này mang tính chuyên sâu và đòi hỏi phải truy cập được các mã nguồn không được công bố.

Cách diệt rootkit hiệu quả

Rootkit cũng như các loại phần mềm độc hại khác, tốt nhất là bạn nên ngăn chặn nó ngay từ đầu bằng các biện pháp dưới đây.

  • Thường xuyên cập nhật bản mới nhất của phần mềm chống antivirus và chống các phần mềm gián điệp.
  • Triển khai áp dụng hệ thống tường lửa, host-based.
  • Nhanh chóng cập nhật các bản vá của hệ điều hành cũng như các ứng dụng.
  • Dùng các phương pháp xác thực mạnh.
  • Tuyệt đối không sử dụng hay cài đặt các phần mềm không có nguồn gốc rõ ràng. 

Top phần mềm diệt mã độc rootkit 

  • Malwarebytes AntiRootkit

Phần mềm bảo mật này có khả năng phát hiện các rootkit nguy hiểm nhất. Bên cạnh đó, cách thức làm việc của Malwarebytes AntiRootkit cũng rất “gọn gàng” bằng cách phát hiệu và loại bỏ ngay lập tức rootkit ra khỏi Windows. Đồng thời, nó kiểm tra, sửa lỗi cũng như khôi phục hoạt động của Windows Update, Internet Access, Windows Firewall. Điều này giúp Windows lập tức hoạt động ổn định lại mà không gặp bất kỳ sự cố nào.

rootkit la gi

  • BitDefender Rootkit Remover

Đây là một tiện ích hữu dụng của Bitdefender Labs có chức năng loại bỏ rootkit chỉ bằng một click chuột. Chương trình giúp loại bỏ các mối nguy hay đe dọa như Alipop, CPD, Mebroot, TDL, SST, Pihar, XPaj, Whistler, Fengd, Mayachok, Mybios, FIPS, Guntior, Plite, MBR Locker, Mebratix, Niwa, Stoned, Yoddos, Yurn, Ponreb, Ramnit, Zegost, Necurs.

Phần mềm này không yêu cầu các bước cài đặt phức tạp và nó có thể chạy trực tiếp bằng tập tin bạn tải về. Bên cạnh đó, giao diện đơn giản, nhỏ gọn nên mang đến sự thân thiện nhất cho người sử dụng.

rootkit la gi

  • McAfee Rootkit Remover

Chắc hẳn bạn đã không còn quá xa lạ gì hãng McAfee rồi. Riêng McAfee Rootkit Remover là sản phẩm của nhà Mcfee có khả năng phát hiện, tiêu diệt nhóm rootkit ZeroAccess và TDSS.

Sau khi tải file về, bạn không cần cài đặt mà có thể sử dụng ngay phần mềm McAfee Rootkit Remover. Cách sử dụng cũng cực kỳ đơn giản. Theo đó, bạn sẽ trải qua 3 bước như hướng dẫn của hệ thống, rồi sử dụng lệnh Command Prompt để phát hiện và loại bỏ rootkit tức thì.

rootkit la gi

  • Kaspersky TDSSkiller

Ứng dụng này được Kaspersky phát hành với mục đích hỗ trợ các khách hàng sử dụng phần mềm Kaspersky Antivirus. Cách thức hoạt động của Kaspersky TDSSkiller là chúng dò tìm, sau đó tiêu diệt rootkit và bootkit có trên Windows. Ưu điểm của phần mềm chính là giao diện bắt mắt, thân thiện. Ngoài ra, Kaspersky TDSSkiller còn có tốc độ quét nhanh, chỉ mất vài giây chúng đã hoàn tất việc quét toàn bộ hệ thống. 

rootkit la gi

  • Sophos Rootkit Removal

Đây được xem là phần mềm chuyên nghiệp dùng để phát hiện và loại bỏ rootkit. Phần mềm dễ dàng nhận biết và tiêu diệt hầu hết các phần mềm độc hại, rootkit và mã độc hiện nay. Để có được hiệu quả này là do nó được trang bị hàng loạt công cụ có thể tích hợp, bổ trợ cho nhau, giúp nâng cao năng suất làm việc.

Thêm một điểm cực kỳ ấn tượng nữa của Sophos Rootkit Removal là phần mềm có thể kết hợp được với chương trình diệt virus đang sử dụng trên máy tính. Từ đó, chúng tạo nên sự cộng hưởng, giúp tăng hàng rào bảo vệ cho Windows.

rootkit la gi

  • RootkitRevealer

Phần mềm này khá phổ biến. Bạn chỉ cần có một tài khoản RootkitRevealer và có quyền backup, trình điều khiển cũng như các tác vụ để duy trì volume. Để tăng cường hiệu quả khi sử dụng phần mềm và tránh tình trạng báo động giả, bạn cần chạy RootkitRevealer khi hệ thống không thực hiện bất kỳ tác vụ nào.

Để quét virus, bạn vào RootkitRevealer, nhấn Scan.

Sau đó, RootkitRevealer sẽ hiển thị thông báo về hoạt động đang thực hiện và đưa ra các sai khác trong danh sách kết quả.

Download: http://www.sysinternals.com/utilities/rootkitrevealer.html

rootkit la gi

  • BlackLight

BlackLight là phần mềm diệt rootkit của F-Secure và nhà cung cấp cho phép người dùng sử dụng miễn phí bản beta. Link download: http://www.europe.f-secure.com/exclude/blacklight/index.shtml

Hiện nay, rootkit hoạt động cực kỳ tinh vi, chúng có thể giả dạng là các phần mềm hay ứng dụng phổ biến để xâm nhập vào máy tính. Do đó, bạn chỉ nên tải phần mềm trên trang chủ cúa chính nó hoặc các nguồn cung cấp đáng tin cậy. Đồng thời, thường xuyên kích hoạt và quét máy tính bằng phần mềm anti rootkit để có thể phát hiện sớm và loại bỏ chúng ngay từ đầu.

rootkit la gi

Bên cạnh việc hiểu rõ rootkit là gì, bạn còn có thêm một cách giúp tăng cường bảo vệ hệ thống, tránh bị nhiễm các phần mềm độc hại. Đó là sử dụng máy chủ ảo để lưu trữ dữ liệu của các nhà cung cấp chuyên nghiệp, uy tín để hỗ trợ chạy chương trình bảo mật và back up dữ liệu. 

Xem thêm :

>>>>  DDOS là gì? Tấn công DDOS và cách chống DDOS cho Website hiệu quả

>>>>  Công ty Việt suýt bị lừa 60.000 USD vì hacker