Mis on Rootkit? Kuidas Rootkitid töötavad? Rootkits selgitas.

What Is Rootkit How Do Rootkits Work

Selles artiklis selgitatakse, mis on rootkit-viirus, kuidas rootkitid töötavad ja millised on juurkomplektide tüübid Windowsis - tuuma ja kasutajarežiimi juurkomplektid. Bootkit vs Rootkit selgitatud.



Kuigi on võimalik varjata pahavara nii, et see petaks isegi traditsioonilisi viirusetõrje- / nuhkvaratõrjetooteid, kasutavad enamus pahavaraprogramme juba juurkomplekte, et varjata teid Windowsi arvutis ... ja need muutuvad aina ohtlikumaks! The DL3 juurkomplekt on üks arenenumaid juurkomplekte, mida looduses kunagi nähtud on. Rootkit oli stabiilne ja võis nakatada 32-bitiseid Windowsi operatsioonisüsteeme; kuigi nakkuse installimiseks süsteemi oli vaja administraatori õigusi. Kuid TDL3 on nüüd uuendatud ja on nüüd võimeline nakatama isegi Windowsi 64-bitised versioonid !



Mis on Rootkit

viirus

Rootkiti viirus on varjatud pahavara tüüp mis on mõeldud teatud protsesside või programmide olemasolu teie arvutis peitmiseks tavapäraste tuvastamismeetodite eest, et võimaldada sellel või mõnel muul pahatahtlikul protsessil privilegeeritud juurdepääsu teie arvutile.



Rootkitid Windowsi jaoks kasutatakse tavaliselt pahatahtliku tarkvara peitmiseks näiteks viirusetõrjeprogrammi eest. Pahatahtlikel eesmärkidel kasutavad seda viirused, ussid, tagauksed ja nuhkvara. Viirus koos juurkomplektiga tekitab nn täielikke varjatud viirusi. Rootkitid on levinumad nuhkvara valdkonnas ja neid kasutavad nüüd ka viirusautorid sagedamini.

Need on nüüd arenev supernuhkvara tüüp, mis varjab tõhusalt ja mõjutab otseselt opsüsteemi tuuma. Neid kasutatakse teie arvutis pahavaraliste objektide, näiteks troojalaste või klahvilogerite olemasolu peitmiseks. Kui oht kasutab varjamiseks rootkit-tehnoloogiat, on arvutis pahavara väga raske leida.

Rootkitid iseenesest ei ole ohtlikud. Nende ainus eesmärk on varjata tarkvara ja operatsioonisüsteemist maha jäänud jäljed. Kas see on tavaline tarkvara või pahavara programmid.



Rootkitit on põhimõtteliselt kolme erinevat tüüpi. Esimene tüüp, Tuuma juurkomplektid 'Lisavad tavaliselt oma koodi operatsioonisüsteemi tuuma osadele, samas kui teine ​​liik' Kasutajarežiimi juurkomplektid ”On spetsiaalselt Windowsi jaoks suunatud süsteemi käivitamise ajal tavapäraseks käivitamiseks või nn Dropperi abil süsteemi süstimiseks. Kolmas tüüp on MBR juurkomplektid või alglaadimiskomplektid .

Kui leiate oma viirusetõrje ja nuhkvaratõrje ebaõnnestumise, peate võib-olla kasutama a hea juurkomplektivastane utiliit . RootkitRevealer alates Microsoft Sysinternals on täiustatud juurkomplekti tuvastamise utiliit. Selle väljundis on loetletud registri ja failisüsteemi API lahknevused, mis võivad viidata kasutajarežiimi või kernelirežiimi juurkomplekti olemasolule.

Microsofti pahavara kaitsekeskuse ohtude aruanne juurkomplektide kohta

Microsofti pahavara kaitsekeskus on allalaadimiseks kättesaadavaks teinud oma juurkomplektide ohuaruande. Aruandes uuritakse organisatsioone ja üksikisikuid tänapäeval üht salakavalamat tüüpi pahavara - juurkomplekti. Aruandes uuritakse, kuidas ründajad juurkomplekte kasutavad ja kuidas juurkomplektid mõjutatud arvutites toimivad. Siin on aruande põhisisu, alustades juurkomplektidest - algajatele.

Rootkit on tööriistakomplekt, mida ründaja või pahavara looja kasutab kontrolli saavutamiseks paljastatud / turvamata süsteemide üle, mis muidu on reserveeritud süsteemiadministraatorile. Viimastel aastatel on mõiste „ROOTKIT” või „ROOTKIT FUNCTIONALITY” asendatud terminiga MALWARE - programm, mille eesmärk on avaldada tervislikule arvutile soovimatuid mõjusid. Pahavara peamine ülesanne on kasutaja arvutist väärtuslike andmete ja muude ressursside salaja välja toomine ning ründajale edastamine, andes talle seeläbi täieliku kontrolli rikutud arvuti üle. Pealegi on neid raske avastada ja eemaldada ning märkamatuks jäädes võivad need varjatud olla pikaks ajaks, võib-olla ka aastateks.

Nii et loomulikult tuleb ohustatud arvuti sümptomid varjata ja arvesse võtta, enne kui tulemus osutub surmavaks. Eelkõige tuleks rünnaku avastamiseks rakendada rangemaid turvameetmeid. Kuid nagu mainitud, muudab nende juurkomplektide / pahavara installimise järel selle varjamisvõimalused selle ja selle allalaaditavate komponentide eemaldamise keeruliseks. Sel põhjusel on Microsoft loonud aruande ROOTKITS-i kohta.

16-leheküljelises aruandes antakse ülevaade sellest, kuidas ründaja juurkomplekte kasutab ja kuidas need juurkomplektid mõjutatud arvutites toimivad.

Aruande ainus eesmärk on tuvastada ja põhjalikult uurida paljusid organisatsioone, eriti arvutikasutajaid, ohustavat tugevat pahavara. Samuti mainitakse mõnda levinud pahavara perekonda ja tuuakse päevavalgele meetod, mida ründajad kasutavad nende juurkomplektide installimiseks oma isekatel eesmärkidel tervislikesse süsteemidesse. Aruande ülejäänud osas leiate eksperte, kes annavad mõned soovitused, mis aitavad kasutajatel juurkomplektidest tulenevat ohtu leevendada.

Rootkitite tüübid

Paljudes kohtades saab pahavara ennast opsüsteemi installida. Niisiis, enamasti määrab juurkomplekti tüüp selle asukoht, kus ta täideviimise tee õõnestab. See sisaldab:

  1. Kasutajarežiimi juurkomplektid
  2. Kerneli režiimi juurkomplektid
  3. MBR juurkomplektid / algkomplektid

Tuumarežiimi juurkomplekti kompromissi võimalikku mõju illustreeritakse allpool oleva ekraanipildi abil.

alumisel kerimisribal puudub kroom

Kolmandat tüüpi, muutke alglaadimiskirjet, et süsteem üle kontrolli saada ja alustage alglaadimisjärjestuse võimalikult varajase punkti laadimist3. See peidab nii failid, registrimuudatused, tõendid võrguühenduste kohta kui ka muud võimalikud näitajad, mis võivad viidata selle olemasolule.

Märkimisväärsed pahavara perekonnad, mis kasutavad Rootkiti funktsionaalsust

  • Win32 / Sinowal 13 - mitmekomponentne pahavara perekond, mis üritab varastada tundlikke andmeid, näiteks kasutajanimesid ja paroole erinevatele süsteemidele. See hõlmab mitmesuguste FTP, HTTP ja e-posti kontode autentimisandmete varastamise katset, samuti veebipanga ja muude finantstehingute jaoks kasutatavaid mandaate.
  • Win32 / Cutwail 15 - Troojalane, kes laadib alla ja täidab suvalisi faile. Allalaaditud faile võib käivitada kettalt või sisestada otse muudesse protsessidesse. Kui allalaaditud failide funktsionaalsus on erinev, laadib Cutwail tavaliselt alla muud komponendid, mis rämpsposti saadavad. See kasutab kernelmoodiga juurkomplekti ja installib mitu komponenti draiverit, et varjata selle komponente mõjutatud kasutajate eest.
  • Win32 / Rustock - Mitmekomponendiline rootkit-toega tagauksega Trooja hobuste perekond töötati algselt välja rämpsposti levitamise hõlbustamiseks botnet . Robotivõrk on suur ründajate juhitav rikutud arvutite võrk.

Kaitse rootkitide eest

Juurkomplektide installimise vältimine on kõige tõhusam meetod juurkomplektidega nakatumise vältimiseks. Selleks on vaja investeerida kaitsetehnoloogiatesse nagu viirusetõrje ja tulemüüri tooted. Sellised tooted peaksid kaitsmisel kasutama terviklikku lähenemist, kasutades traditsioonilist allkirjapõhist tuvastamist, heuristilist tuvastamist, allkirja dünaamilist ja reageerimisvõimet ning käitumise jälgimist.

Kõiki neid allkirjade komplekte tuleks automaatse värskendusmehhanismi abil ajakohastada. Microsofti viirusetõrjelahendused hõlmavad mitut tehnoloogiat, mis on spetsiaalselt välja töötatud juurkomplektide leevendamiseks, sealhulgas reaalajas tuuma käitumise jälgimine, mis tuvastab mõjutatud süsteemi tuuma muutmise katsed ja annab neist teada, ning otsene failisüsteemi parsimine, mis hõlbustab varjatud draiverite tuvastamist ja eemaldamist.

Kui leitakse, et süsteem on rikutud, võib osutuda kasulikuks täiendav tööriist, mis võimaldab teil käivitada teadaoleva hea või usaldusväärse keskkonna, kuna see võib soovitada asjakohaseid parandusmeetmeid.

Sellistel asjaoludel

  1. Eraldiseisva tööriista tööriist (osa Microsofti diagnostika ja taastamise tööriistakomplektist (DaRT)
  2. Windows Defender Offline võib olla kasulik.
Laadige alla PC-parandustööriist, et Windowsi vead automaatselt leida ja parandada

Lisateabe saamiseks saate PDF-aruande alla laadida aadressilt Microsofti allalaadimiskeskus.

Lemmik Postitused