Distinguere tra Gootkit, Bootkit e Rootkit

Con lo sviluppo del mondo tecnologico in generale e di Internet in particolare, anche le minacce alla sicurezza "si evolvono" sempre più in termini di quantità e livello di pericolo.

Se sei interessato al campo della sicurezza di rete/sicurezza delle informazioni, Gootkit, Bootkit e Rootkit sono probabilmente concetti di cui hai sentito parlare. Allora qual è la differenza tra questi 3 concetti? Lo scopriremo insieme presto.

Cos'è Gootkit?

• Gootkit è un cavallo di Troia, scoperto per la prima volta nel 2014.
• Gootkit ha la capacità di infiltrarsi nei conti bancari, rubare informazioni di accesso e manipolare le sessioni di transazioni online.
• Gootkit utilizza i seguenti tre moduli: The Loader, The Main Module e Web Injection Module. Il Loader è la prima fase dell'attacco, quando il trojan stabilisce un ambiente persistente. Il modulo principale creerà quindi un server proxy che funziona insieme al modulo Web Injection.
• Gootkit non ha un processo di propagazione definito. Utilizza e-mail di phishing, sfruttando toolkit come Neutrino, Angler e RIG per diffondersi nei sistemi mirati.

Cosa sono i rootkit?

• Un rootkit è un software segreto progettato per eseguire una serie di diverse attività dannose, tra cui il furto di password e informazioni su carte di credito o servizi bancari online.
• I rootkit possono anche dare agli aggressori la possibilità di disabilitare il software di sicurezza e registrare le informazioni durante la digitazione, semplificando il processo di furto di informazioni per i criminali informatici.
• Esistono 5 tipi di rootkit: rootkit hardware o firmware, rootkit del bootloader, rootkit della memoria, rootkit, rootkit dell'applicazione e rootkit del kernel.
• I rootkit possono sfruttare le e-mail di phishing e le applicazioni mobili infette per diffondersi in sistemi su larga scala.

Cos'è il bootkit?

• Bootkit è una forma di Rootkit "avanzata", più complessa e pericolosa, che prende di mira il Master Boot Record sulla scheda madre fisica del computer.
• I bootkit possono causare instabilità del sistema e portare a errori di "schermata blu" o impedire l'avvio del sistema operativo.
• In alcuni casi, un bootkit può visualizzare un avviso e richiedere un riscatto per ripristinare il normale funzionamento del computer.
• I bootkit vengono spesso diffusi tramite floppy disk e altri supporti avviabili. Tuttavia, recentemente, questo codice dannoso è stato registrato anche per essere distribuito tramite programmi software di posta elettronica di phishing o dati di download gratuiti.

Comprendere le differenze fondamentali tra questi tre agenti dannosi gioca un ruolo molto importante nella costruzione di un sistema di difesa e nella risoluzione dei problemi di sicurezza.