-
----------
Rootkits são um conjunto de programas que oferecem mecanismos para esconder o invasor, assegurando a sua presença em um computador invadido. Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.
-
Rootkits: É um malware.
Código ou
conjunto de códigos usados, após uma invasão, para ocultar a presença do
invasor na máquina da vítima. A categoria de RootKit normalmente, pode ser
detectada por softwares que mantêm assinaturas de certas funções do núcleo que
podem ser alvo e inspecionam a memória do núcleo para determinar se foram
feitas modificações nestas funções. O rootkit pode ser executado em modo
usuário ou em modo núcleo. Em modo de núcleo são usados para atacar rotinas
privilegiadas do sistema operacional.
Pode ser o
conjunto de programas que tem como fim esconder e assegurar a presença de um
invasor em um computador comprometido.
Em Sistemas
Linux os hackers costumam utilizar esse software de invasão.
-
Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.
O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:
- remover evidências em arquivos de logs
-instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador
-esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc.
-mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede
-capturar informações de rede onde o computador comprometido está localizado, pela interceptação de tráfego
É importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo.
Fonte: Cartilha de Segurança. pag 29
-
GABARITO: CERTO.
-
Por conta dessa parte da cartilha CERT "É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo" marquei como errada aff se alguem puder me ajudar a compreender
-
Dentro da taxonomia do ataque do APT, são utilizados os rootkits, no final, para fazer a manutenção do ataque. Eles servem para ocultar a existência de certos processos e do próprio atacante, como também serão utilizados como programas de métodos de detecção e para permitir uso contínuo com acesso privilegiado a determinado recurso.
Prof. Jósis Alves
-
NA VÍRGULA.
PIKAS = RECONHECEM;
MODINHAS = PASSA DESPERCEBIDO.
-
Certo.
Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma DISCRETA, os sistemas organizacionais.
- Podem utilizar diversos protocolos de rede para transmitir ou receber informações do ponto de comando e controle do malware.
- Normalmente esse tráfego é construído pelo atacante para parecer um tráfego de rede legítimo
- Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinaturas.
Um rootkit é uma ferramenta que manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda, operar no nível de kernel do sistema operacional.
- É ativado antes que o sistema operacional tenha sido completamente inicializado.