Detecção de Rootkits no Linux: Ferramentas e Técnicas para a Segurança de Servidores

Os rootkits proporcionam aos atacantes acesso persistente e oculto aos sistemas Linux. Manipulam as operações do kernel, ocultam ficheiros e processos e contornam as ferramentas de segurança padrão. Alguns passam despercebidos durante anos. A sua deteção requer uma abordagem em camadas, uma vez que nenhuma ferramenta isolada consegue detetar tudo.

Este artigo aborda os principais tipos de rootkits do Linux, como os procurar e as técnicas avançadas de monitorização que detetam o que os scanners básicos deixam escapar.

Tipos de Rootkits Linux

Os rootkits operam em diferentes níveis de privilégio e, quanto mais profundos estiverem, mais difíceis são de encontrar.

Os rootkits em modo de utilizador são executados ao nível da aplicação (Ring 3). Eles sequestram a ligação dinâmica utilizando LD_PRELOAD para injetar bibliotecas maliciosas que interceptam funções padrão da biblioteca C, como readdir ou fopen, ocultando ficheiros e processos das ferramentas do espaço do utilizador.

Os rootkits em modo kernel executam-se no Anel 0 ao carregarem-se como Módulos de Kernel Carregáveis (LKMs). Interceptam chamadas de sistema, manipulam a memória do kernel e ocultam a sua própria presença. Como estão ligados a versões específicas do kernel, um rootkit mal configurado pode causar um kernel panic, o que, ironicamente, o expõe.

Os rootkits baseados em eBPF exploram o subsistema Extended Berkeley Packet Filter para serem executados no espaço do kernel sem carregar um módulo tradicional. Eles ligam-se a ganchos de chamadas de sistema, pontos de rastreio ou eventos LSM. Os scanners LKM padrão não os detetam. O Boopkit é uma prova de conceito bem conhecida que cria um canal C2 oculto utilizando esta abordagem.

Os rootkits baseados em io_uring são a variante mais recente. Utilizam a io_uring interface de E/S assíncrona para operações em lote, gerando menos eventos de chamadas de sistema observáveis. O RingReaper, um rootkit experimental, demonstrou como isto pode substituir silenciosamente chamadas como read, write, e connect ao mesmo tempo que evade as ferramentas EDR.

Tipo de Rootkit	Nível de Privilégio	Método de Engate	Dificuldade de deteção
Modo de utilizador	Anel 3 (Utilizador)	LD_PRELOAD, sequestro de biblioteca	Moderada
Modo do kernel	Anel 0 (Kernel)	Tabela de chamadas de sistema, LKM, hooking inline	Elevado
Baseado em eBPF	Anel 0 (Kernel)	Anexação de programa eBPF	Muito alto
Baseado em io_uring	Utilizador/Kernel	Agrupamento assíncrono de E/S	Muito alto

Análise com o chkrootkit e o rkhunter

Duas ferramentas constituem a base para a deteção de rootkits em servidores Linux: o chkrootkit para análises rápidas e o rkhunter para verificações mais aprofundadas.

O chkrootkit

chkrootkit é um script de shell que verifica binários críticos do sistema (ls, ps, netstat, sshd, ifconfig) em busca de sinais de adulteração. Também deteta interfaces de rede promíscuas e registos eliminados. A partir da versão 0.59 (janeiro de 2026), consegue identificar mais de 75 rootkits, worms e LKMs, incluindo ameaças mais recentes como o Linux BPFDoor, o Syslogk e o XZ Backdoor.

Execute-o após qualquer atividade suspeita. Preste atenção aos avisos do ifpromisc componente e aos alertas sobre lastlog ou wtmp .

O rkhunter

rkhunter vai mais longe. Ele compara os hashes SHA-1 dos binários do sistema com valores conhecidos como válidos, monitoriza as permissões dos ficheiros e os ficheiros ocultos, verifica as configurações de arranque e realiza análises do kernel e da rede.

Configure-o corretamente desde o início:

# Establish a baseline after a clean install or update
rkhunter --propupd
 
# Update rootkit definitions
rkhunter --update
 
# Run a full scan (use --novl on production servers to reduce I/O)
rkhunter --check --enable all

Para verificações diárias automatizadas, defina CRON_DAILY_RUN="true" em /etc/rkhunter.conf e utilize --skip-keypress e --report-warnings-only para obter resultados limpos. Analise os registos em /var/log/rkhunter.log e coloque na lista de permissões os falsos positivos confirmados.

Detecção de rootkits LKM

Os rootkits LKM são particularmente perigosos porque operam como extensões do kernel, interceptando chamadas do sistema e ocultando processos ao nível do kernel. Ferramentas padrão como lsmod não os detectam, mas há maneiras de os identificar.

Compare lsmod a saída com /sys/module/ listagens. Verifique os registos do sistema em busca de mensagens suspeitas do kernel:

# Look for out-of-tree module warnings
sudo dmesg | grep "loading out-of-tree module taints kernel"
 
# Check for module verification failures
grep "module verification failed" /var/log/syslog
 
# Run chkrootkit's LKM-specific check
sudo chkrootkit lkm

Mesmo os rootkits que se escondem do lsmod e /proc/modules (como o Diamorphine) ainda podem ser encontrados verificando /sys/module/diamorphine/coresize ou analisando os avisos do syslog.

Detecção avançada: monitorização de comportamento e verificações de integridade

Os scanners estáticos têm uma fraqueza fundamental. Numa experiência realizada em 2026, a adição de um único byte nulo a um binário de rootkit, uma alteração que não afeta a funcionalidade, reduziu drasticamente as taxas de deteção. As deteções do Diamorphine caíram de 33/66 para 8/64 apenas ao remover as suas tabelas de símbolos. Confiar apenas em assinaturas não é suficiente.

Análise de comportamento

Em vez de perguntar «este ficheiro corresponde a um rootkit conhecido?», a análise de comportamento pergunta «este processo está a fazer algo invulgar?». Monitorize estes sinais:

• Use o Auditd para observar init_module() e finit_module() chamadas de sistema, que carregam módulos do kernel independentemente do método.
• Monitorize kill() chamadas com sinais acima de 31, o que pode indicar comunicação oculta de rootkit.
• Verifique /proc/sys/kernel/tainted se há atividade não autorizada de módulos do kernel.
• Fique atento a .so em /tmp ou /dev/shm.
• Acompanhe a atividade do eBPF, especialmente bpf_probe_write_user chamadas. Ferramentas como o BCC podem rastrear operações io_uring através de pontos de rastreamento como sys_enter_io_uring_enter.

No caso específico de rootkits eBPF e io_uring, ferramentas de monitorização em tempo de execução como Tetragon, Falco e Tracee podem observar a atividade no kernel em tempo real.

Monitorização da integridade dos ficheiros

O AIDE (Advanced Intrusion Detection Environment) cria uma linha de base de ficheiros de sistema confiáveis e verifica se há alterações. Inicialize com aide --init, depois agende aide --check através do cron. Ele rastreia somas de verificação, permissões, propriedade e carimbos de data/hora em binários críticos como /bin/login e /usr/bin/sshd.

Para verificação ao nível do pacote, debsums (Debian/Ubuntu) ou rpm -Va (RHEL/CentOS) podem confirmar a integridade dos ficheiros do sistema. Para obter os resultados mais fiáveis, inicie a partir de um suporte de recuperação de confiança e inspecione o sistema de ficheiros offline, uma vez que os rootkits podem adulterar os relatórios de um kernel em execução.

Monitorize também os mecanismos de persistência. Os rootkits frequentemente modificam /etc/ld.so.preload para injetar objetos partilhados ou alteram .bashrc e .profile. Alterações legítimas a estes ficheiros são raras, pelo que os alertas neste caso apresentam uma elevada relação sinal-ruído.

Monitorização automatizada com o Auditd

Adicione estas regras ao /etc/audit/rules.d/rootkit.rules para deteção em tempo real de atividade suspeita no kernel:

# Detect unauthorized kernel module loading
-a always,exit -F arch=b64 -S finit_module -S init_module
 
# Catch unusual high-range kill signals
-a always,exit -F arch=b64 -S kill -F a1>=32

Combine-as com as atualizações automáticas do rkhunter. Defina UPDATE_MIRRORS=1 e MIRRORS_MODE=0 na configuração e execute rkhunter --propupd após atualizações legítimas do sistema para atualizar a linha de base.

Proteger o seu servidor contra rootkits

A deteção é importante, mas a prevenção é melhor. A maioria dos rootkits requer privilégios elevados para ser instalada, pelo que reduzir a superfície de ataque faz uma diferença real.

Mantenha o kernel e os pacotes atualizados. Os atacantes exploram vulnerabilidades não corrigidas para escalar privilégios e implementar rootkits baseados em LKM ou eBPF. Após a aplicação de patches, atualize as suas bases de deteção com rkhunter --propupd.

Aplique o princípio do privilégio mínimo. Não conceda aos utilizadores ou processos mais acesso do que o necessário. Utilize o SELinux ou o AppArmor para controlos de acesso obrigatórios que bloqueiam ações não autorizadas, mesmo que um processo esteja comprometido.

Desative o carregamento de módulos do kernel após o arranque. Em servidores dedicados, pode impedir totalmente os rootkits LKM bloqueando o carregamento de módulos após o arranque do sistema. Isto não é possível em alojamento partilhado, o que é uma das razões pelas quais os ambientes dedicados ou VPS oferecem uma postura de segurança mais forte.

Segmente a sua rede. Isolar partes da sua infraestrutura limita o movimento lateral caso uma máquina seja comprometida.

Realize auditorias regularmente. Ferramentas como o Lynis podem identificar erros de permissão e configurações incorretas antes que os atacantes os explorem.

Conclusão

Os rootkits são criados para se esconderem à vista de todos. Quando os sintomas se manifestam, o sistema pode já estar comprometido a um ponto que dificulte a recuperação. Nenhum scanner consegue detetar tudo, e a deteção básica baseada em assinaturas é fácil de contornar.

Uma defesa prática combina várias camadas:

• Análises regulares com o chkrootkit e o rkhunter para ameaças conhecidas
• Regras do Auditd e monitorização de comportamento para atividades suspeitas do kernel
• Monitorização da integridade dos ficheiros com o AIDE para detetar alterações não autorizadas
• Ferramentas de tempo de execução como o Tetragon ou o Falco para ameaças eBPF e io_uring
• Controlos de acesso reforçados, aplicação de patches e segmentação de rede para reduzir a superfície de ataque

Automatize o que puder, mantenha as linhas de base atualizadas e comece com uma instalação limpa do SO em que confie.

A FDC Servers oferece alojamento dedicado e VPS com acesso root total e configurações de kernel personalizáveis. Explore as opções de servidores dedicados para criar um ambiente Linux reforçado.