Kaj je Rootkit? Kako delujejo Rootkiti? Pojasnil je Rootkits.

Čeprav je zlonamerno programsko opremo mogoče skriti na način, ki bo zavedel celo tradicionalne protivirusne / protivohunske izdelke, večina programov zlonamerne programske opreme že uporablja rootkite, da se skrije globoko v računalniku z operacijskim sistemom Windows ... in postaja vse bolj nevarna! Korenski komplet DL3 je eden najnaprednejših rootkitov, ki so jih kdaj koli videli v naravi. Rootkit je bil stabilen in je lahko okužil 32-bitne operacijske sisteme Windows; čeprav so bile za namestitev okužbe v sistem potrebne skrbniške pravice. Toda TDL3 je zdaj posodobljen in zdaj lahko okuži celo 64-bitne različice Windows!

Kaj je Rootkit

Virus Rootkit je prikrita vrsta zlonamerne programske opreme, ki je namenjena skrivanju obstoja določenih procesov ali programov v računalniku pred običajnimi metodami zaznavanja, da bi omogočila privilegiran dostop do vašega računalnika ali drugega zlonamernega procesa.

Rootkits za Windows se običajno uporabljajo za skrivanje zlonamerne programske opreme, na primer pred protivirusnim programom. V zlonamerne namene ga uporabljajo virusi, črvi, zakulisja in vohunska programska oprema. Virus v kombinaciji z rootkitom proizvaja tako imenovane viruse popolne skrivnosti. Rootkiti so pogostejši na področju vohunske programske opreme, zdaj pa jih vse pogosteje uporabljajo tudi avtorji virusov.

Zdaj so nova vrsta Super Spyware, ki se učinkovito skriva in neposredno vpliva na jedro operacijskega sistema. Uporabljajo se za skrivanje prisotnosti zlonamernih predmetov, kot so trojanski programi ali keyloggerji v vašem računalniku. Če grožnja za skrivanje uporablja tehnologijo rootkit, je zelo težko najti zlonamerno programsko opremo v računalniku.

Rootkiti sami po sebi niso nevarni. Njihov edini namen je skriti programsko opremo in sledi, ki so ostale v operacijskem sistemu. Ali gre za običajno ali zlonamerno programsko opremo.

V osnovi obstajajo tri različne vrste Rootkitov. Prva vrsta,Rootkits jedra"Običajno dodajo lastno kodo delom jedra operacijskega sistema, druga vrsta,"Rootkits v uporabniškem načinu”So posebej namenjeni operacijskemu sistemu Windows, da se med zagonom sistema normalno zažene ali v sistem vbrizga tako imenovani„ Dropper “. Tretja vrsta je MBR Rootkits ali Bootkits.

Ko ugotovite, da protivirusna in protivohunska programska oprema odpove, boste morda morali uporabiti pomoč dober pripomoček Anti-Rootkit. RootkitRevealer od Microsoft Sysinternals je napreden pripomoček za odkrivanje rootkitov. V izhodnih podatkih so navedene razlike v API-ju registra in datotečnega sistema, ki lahko kažejo na prisotnost rootkit-a v uporabniškem načinu ali načinu jedra.

Poročilo o grožnjah Microsoftovega centra za zaščito pred zlonamerno programsko opremo

Microsoftov center za zaščito pred zlonamerno programsko opremo je na voljo za prenos poročila o nevarnosti za rootkite. Poročilo preučuje eno bolj zahrbtnih vrst zlonamerne programske opreme, ki danes ogroža organizacije in posameznike - rootkit. Poročilo preučuje, kako napadalci uporabljajo rootkite in kako rootkits delujejo na prizadetih računalnikih. Tu je bistvo poročila, začenši s tem, kaj so Rootkits - za začetnike.

Rootkit je nabor orodij, ki jih napadalec ali ustvarjalec zlonamerne programske opreme uporablja za nadzor nad katerim koli izpostavljenim / nezaščitenim sistemom, ki je sicer rezerviran za skrbnika sistema. V zadnjih letih je izraz "ROOTKIT" ali "ROOTKIT FUNCTIONALITY" nadomeščen z MALWARE - programom, namenjenim neželenim učinkom na zdrav računalnik. Glavna funkcija zlonamerne programske opreme je, da tajno umakne dragocene podatke in druge vire iz uporabnikovega računalnika in jih posreduje napadalcu ter mu tako omogoči popoln nadzor nad ogroženim računalnikom. Poleg tega jih je težko zaznati in odstraniti in lahko ostanejo skrite dlje časa, lahko tudi leta, če ostanejo neopaženi.

Seveda je treba simptome ogroženega računalnika prikriti in upoštevati, preden se izid izkaže za usoden. Zlasti je treba sprejeti strožje varnostne ukrepe za odkrivanje napada. Toda, kot smo že omenili, ko so ti rootkiti / zlonamerna programska oprema nameščeni, njene prikrite zmogljivosti otežujejo njeno odstranitev in njene komponente, ki bi jih lahko prenesli. Zaradi tega je Microsoft ustvaril poročilo o ROOTKITS.

Poročilo na 16 straneh opisuje, kako napadalec uporablja rootkite in kako ti rootkiti delujejo na prizadetih računalnikih.

Edini namen poročila je prepoznati in natančno preučiti močno zlonamerno programsko opremo, ki ogroža številne organizacije, zlasti uporabnike računalnikov. Omenja tudi nekatere razširjene družine zlonamerne programske opreme in razkriva metodo, ki jo napadalci uporabljajo za namestitev teh rootkitov za svoje sebične namene v zdrave sisteme. V preostalem delu poročila boste našli strokovnjake, ki dajejo nekatera priporočila, ki bodo uporabnikom pomagala ublažiti grožnjo rootkitov.

Vrste rootkitov

Obstaja veliko krajev, kjer se lahko zlonamerna programska oprema namesti v operacijski sistem. Torej, večinoma je vrsta rootkita odvisna od njegove lokacije, kjer izvaja svojo subverzijo izvedbene poti. To vključuje:

1. Rootkits v uporabniškem načinu
2. Rootkits v načinu jedra
3. MBR Rootkits / zagonski kompleti

Možen učinek ogrožanja rootkit-a v načinu jedra je prikazan na spodnjem posnetku zaslona.

Tretji tip spremenite glavni zagonski zapis, da pridobite nadzor nad sistemom in začnete postopek nalaganja čim prej v zagonskem zaporedju3. Skriva datoteke, spremembe registra, dokaze o omrežnih povezavah in druge možne kazalnike, ki lahko kažejo na njegovo prisotnost.

Pomembne družine zlonamerne programske opreme, ki uporabljajo funkcije Rootkit

• Win32 / Sinowal13 - Večkomponentna družina zlonamerne programske opreme, ki poskuša ukrasti občutljive podatke, kot so uporabniška imena in gesla za različne sisteme. To vključuje poskuse kraje podrobnosti za preverjanje pristnosti za različne račune FTP, HTTP in e-pošto ter poverilnice, ki se uporabljajo za spletno bančništvo in druge finančne transakcije.
• Win32 / Cutwail15 - Trojanski program, ki prenaša in izvaja poljubne datoteke. Prenesene datoteke se lahko izvedejo z diska ali vbrizgajo neposredno v druge procese. Medtem ko so funkcije prenesenih datotek spremenljive, Cutwail običajno prenese druge komponente, ki pošiljajo neželeno pošto. Uporablja rootkit v načinu jedra in namesti več gonilnikov naprav, da skrije svoje komponente pred prizadetimi uporabniki.
• Win32 / Rustock - Večkomponentna družina backdoor trojanskih programov, ki podpirajo rootkit, je bila prvotno razvita za pomoč pri distribuciji "neželene pošte" prek botnet. Botnet je veliko omrežje ogroženih računalnikov, ki ga nadzira napadalec.

Zaščita pred rootkiti

Preprečevanje namestitve rootkitov je najučinkovitejša metoda za preprečevanje okužb z rootkitami. Za to je treba vlagati v zaščitne tehnologije, kot so protivirusni in požarni zidovi. Takšni izdelki bi morali celovito pristopiti k zaščiti z uporabo tradicionalnega zaznavanja na podlagi podpisa, hevrističnega zaznavanja, dinamičnega in odzivnega podpisa ter spremljanja vedenja.

Vse te nabore podpisov je treba posodabljati z uporabo avtomatiziranega mehanizma posodabljanja. Microsoftove protivirusne rešitve vključujejo številne tehnologije, zasnovane posebej za ublažitev korenskih paketov, vključno s spremljanjem vedenja jedra v živo, ki zazna in poroča o poskusih spreminjanja prizadetega jedra sistema, in neposrednim razčlenjevanjem datotečnega sistema, ki olajša prepoznavanje in odstranjevanje skritih gonilnikov.

Če sistem ugotovi, da je ogrožen, se lahko izkaže dodatno orodje, ki vam omogoča zagon v znanem dobrem ali zaupanja vrednem okolju, saj lahko predlaga nekatere ustrezne sanacijske ukrepe.

V takih okoliščinah,

1. Samostojno orodje za pometanje sistema (del Microsoftovega nabora orodij za diagnostiko in obnovitev (DaRT)
2. Windows Defender Offline je lahko koristen.

Če želite več informacij, lahko poročilo PDF prenesete iz Microsoftovega centra za prenose.