Rootkit ou booktkit? Qual é a diferença entre eles? A razão pela qual essa pregunta é tão frequente é muito simples: embora os bootkit sejam descendentes dos rootkit, sua localização e a forma de afetar um equipamento são amplamente diferentes. A definição de bootkit em nosso glossário explica a sútil diferença:
Tipo de malware que é classificado como rootkit. Se hospeda no início original do sistema operacional com a finalidade de obter total acesso às funções do computador antes que seja inicializado.
Assim vemos como (de fato) muitas vezes possuem características de um rootkit... Então, por que não os classificamos como tal?
O que é um rootkit?
Um rootkit é um código utilizado pelos atacantes para poder obter privilégios de administrador (ou root, em plataformas Linux) e realizar ações como alterar senhas, executar programas, instalar aplicativos e, basicamente, fazer o que quiser.
Outra característica é que são muito difíceis de detectar, já que uma de suas principais características é a capacidade de se esconder, além de ocultar outras ameaças que instalam no sistema. Sua detecção normalmente ocorre de forma indireta, ou seja, manualmente ou por meio de programas específicos que buscam comportamentos estranhos, detectando a presença não desejada de rootkits.
É importante destacar que, em vez de ser um código malicioso em si mesmo, se trata de uma ferramenta que esconde o acesso e o controle de um sistema por um atacante.
O que é um bootkit?
Por outro lado, os bootkits são rootkits especificamente programados para infectar o Master Boot Record (MBR). O mesmo contém instruções para baixar e executar o sistema operacional, por isso a infecção ocorre em nível antes da inicialização do sistema operacional, tornando a detecção e limpeza muito mais difícil. Quando um comando é enviado para ler o MBR no SO, o bootkit responde enviando a versão original do MBR. Com a chegada do UEFI y Secure Boot, os bootkit quase deixaram de existir para o Windows (pelo menos na versão mais recente do sistema operacional da Microsoft, o Windows 8), mas vulnerabilidades gerados por firmwares pouco seguras permitiram mais uma vez a infecção de computadores com bootkits.
Então, rootkit ou bootkit?
O paradoxo da eficácia, custo e complexidade jogam contra ambas as ameaças. Além da evolução da família, os fabricantes de produtos de segurança digital e sistemas operacionais têm desenvolvido formas de prevenir e/ou detectar a maioria dessas ameaças, adquirindo assim um rootkit/bootkit no mercado negro hoje em dia é muito caro e não costuma ser eficaz se as vítimas estão protegidas.
As tecnologias encontradas em soluções de segurança Anti-Stealth (detecção de rootkit) e HIPS (usado para monitorar a atividade do sistema e usar um conjunto de regras pré-definidas, a fim de reconhecer o comportamento suspeito do sistema), aliada a boas práticas de atualizar sempre a versão do sistema operacional e instalar os parches de segurança mais recentes, normalmente proteger os usuários contra rootkits e, portanto, os bootkits, que agora entendemos como rootkits específicos para o mecanismo de arranque do sistema.
Autor: Editor, da ESET.