Rootkit je zvlášť nebezpečný typ malwaru, jehož cílem je získat a udržet si skrytý, neoprávněný přístup k operačnímu systému na úrovni jádra (kernelu) nebo na úrovni systémových služeb. Na rozdíl od „běžného“ malwaru rootkit nejen infikuje počítač, ale aktivně se snaží skrýt svou přítomnost i přítomnost jiných škodlivých komponent, což ztěžuje detekci i odstranění.
Co je rootkit a jak vznikl
Pojem „rootkit“ pochází z UNIXového prostředí, kde „root“ označuje administrátorský (nejvyšší) účet a „kit“ odkazuje na sadu nástrojů. První rootkity se objevily už v 90. letech v podobě jednoduchých skriptů, které přepisovaly systémové utility (jako ls, ps nebo netstat), aby nezobrazovaly běžící škodlivé procesy či skryté soubory. Postupem času se rootkity zdokonalily a přesunuly hlouběji – až do úrovně jádra operačního systému.
Jak rootkit funguje
V jádru systému má rootkit možnost měnit chování systémových volání a modulů. Když například útočník spustí příkaz ke kontrole běžících procesů, rootkit odfiltruje své procesy z výstupu. Stejně tak skrývá infikované soubory, otevřené síťové porty nebo změny v registrech. Díky tomu může malware na pozadí sbírat data, šířit se do sítě, krást přihlašovací údaje nebo snadno instalovat další škodlivé komponenty.
Historie a známé případy
Mezi nejznámější rootkity patří TDL‑4 (alias Alureon), objevený kolem roku 2008. Šlo o jeden z prvních rootkitů, který fungoval na úrovni bootovacího sektoru disku, takže se aktivoval ještě před spuštěním operačního systému Windows. TDL‑4 je zodpovědný za přesměrování provozu na podvodné weby a za krádeže bankovních dat.
Dalším pozoruhodným případem je Stuxnet (2010), který využíval speciální rootkitovou technologii k tomu, aby se skryl v řídicím systému průmyslových zařízení. Díky tomu dokázal téměř neodhalitelně narušit provoz íránských odstředivek pro obohacování uranu.
Detekce a odstranění rootkitů
Detekce rootkitu je obtížná, protože škodlivý kód může zakrývat nejen sebe, ale i nástroje, které by ho jinak odhalily. Proto se při hledání rootkitů často používají:
Bootovací skeny z nezávislého média: Systém se spustí z čističe na USB nebo CD, aby se rootkit nemohl aktivovat a skrývat.
Kontrola integrity souborů: Porovnání hashů systémových souborů se známými dobrými verzemi pomůže odhalit změny.
Heuristické a behaviorální skenery: Vyhledávají neobvyklé chování v jádru nebo síťové požadavky, které nejsou v souladu s běžným provozem.
Odstranění rootkitu často vyžaduje úplné přeinstalování operačního systému nebo obnovu ze záloh, které byly pořízeny před infekcí. Pouhý antivirový nástroj obvykle nestačí.
Prevence a ochrana
Nejlepší obranou proti rootkitům je prevence. Mezi klíčová opatření patří:
Pravidelné aktualizace operačního systému a ovladačů, aby se minimalizovaly zranitelnosti.
Minimální oprávnění pro běžné uživatele – nevykonávat práci v účtu s administrátorskými právy, pokud to není nezbytné.
Bezpečnostní nástroje na úrovni jádra, jako jsou moderní EDR (Endpoint Detection and Response), které monitorují i podezřelé změny v jádře systému.
Ověřování a digitální podpisy ovladačů a systémových modulů – nepodepsaný kód by systém neměl spustit.
Závěr
Rootkit je jedním z nejchoulostivějších a nejnebezpečnějších typů malwaru, protože operuje na nejhlubší úrovni systému a aktivně se snaží skrýt svou přítomnost. Práce s rootkity vyžaduje specializované nástroje a často i kompletní reinstalaci systému. Udržování aktualizací, omezení oprávnění a nasazení pokročilých bezpečnostních řešení jsou klíčové kroky, jak tomuto tichému záškodníkovi předcházet.
