“Nossa, meu computador ficou lento de repente” e “Não me lembro de ter visto este aplicativo no meu gerenciador de tarefas antes”. Se você já disse essas frases, há grande chance de ter detectado um vírus de rootkit e, claro, necessitar do aperfeiçoamento da proteção dos dados da sua empresa.
Um dos mais infames rootkits, o Stuxnet, atacou recentemente a indústria nuclear iraniana, infectando 200 mil computadores e degradando fisicamente mil máquinas dentro das instalações de enriquecimento de urânio do Irã.
O que é um rootkit?
Rootkit é a “caixa de ferramentas do mundo do malware”. Ele se instala como uma parte de outro download, backdoor ou worm. Em seguida, o rootkit executa diversas ações na tentativa de impedir que o proprietário detecte sua presença no sistema. Uma vez instalado, o rootkit consegue atuar perto (ou dentro) do núcleo do sistema operacional para “assumir” o controle do computador e, posteriormente, usá-lo em um ataque DDoS.
Qualquer “coisa” que use um sistema operacional é um alvo em potencial para um rootkit.
O que é uma varredura de rootkit?
Se você suspeitar da existência de um vírus de rootkit, outra estratégia para detectar a infecção é executar a varredura a partir de um sistema “limpo”. A varredura para verificação da existência de rootkit é a melhor tentativa de detectar uma infecção.
Isso porque o desafio que se enfrenta quando um rootkit infecta o computador é o fato que seu sistema operacional não é necessariamente confiável para identificar esse rootkit. Isso porque o rootkit é muito sorrateiro e “bom em camuflagem”.
Outra maneira infalível de encontrar um rootkit é por meio da análise de despejo de memória, uma vez que é possível ver as instruções que um rootkit está executando na memória do computador – lugar em que o rootkit não pode ficar oculto.
A análise comportamental é mais um método bastante confiável de detecção de rootkit. Em vez de procurar pelo rootkit, você procura por comportamentos semelhantes aos de um rootkit.
Ou, nos termos da Varonis, você pode aplicar a análise de segurança de dados para procurar padrões de comportamento “anormais” em sua rede corporativa e ser alertado sobre um vírus de rootkit.
Melhores práticas recomendadas de proteção contra vírus de rootkit
Pesquisadores de segurança continuam aprimorando os sistemas operacionais e as estratégias de defesa para proteger os usuários contra todos os tipos de malware e, por esse motivo, seus esforços têm sido bastante eficazes contra os rootkits.
Devemos levar em consideração, também, que a maioria dos sistemas operacionais já previnem esse tipo de ataque com modos de proteção embutidos no núcleo. Muitas empresas também aplicam o princípio do menor privilégio, com objetivo de impedir que os usuários instalem softwares no núcleo – impedindo, consequentemente, que os rootkits se instalem e possam agir com violação de dados.
Por isso, diante de uma política de permissões baseada em princípios de privilégios mínimos e da análise de segurança de dados, um hacker terá muita dificuldade em roubar dados com um rootkit.
Obtenha uma demonstração gratuita da plataforma de segurança de dados da Varonis e saiba como a solução DatAlert pode defender sua empresa contra vírus de rootkit e outras ameças aos dados corporativos.