Skip to main content

Microsofti väikerakenduskeskuse ohtude aruanne rootkittide kohta

Microsofti väikerakenduskeskuse ohtude aruanne rootkittide kohta

Geoffrey Carr

Microsofti pahavara kaitsekeskus on kättesaadav, et alla laadida oma riskikäsiraamat rootkittidelt. Aruandes vaadeldakse tänapäeval üks enim salapäraseid pahavaraohtlikke organisatsioone ja üksikisikuid - rootkit. Aruandes uuritakse, kuidas ründajad nuhkikat kasutavad ja kuidas rootkit toimib mõjutatud arvutites. Siin on aruande sisu, alustades sellest, mis on rootkit - algajale.

Rootkit on tööriistade komplekt, mida ründaja või pahavara looja kasutab, et saada kontrolli kõigi avatud / tagamata süsteemide üle, mida muidu tavaliselt süsteemiadministraatorile reserveeritakse. Viimastel aastatel on mõiste "ROOTKIT" või "ROOTKIT FUNCTIONALITY" asendatud MALWARE - programmiga, mis on kavandatud soovimatuteks mõjudeks tervele arvutile. Malware põhiülesanne on eemaldada kasutaja arvutisse väärtuslikke andmeid ja muid ressursse ja anda ründajale, andes talle täieliku kontrolli kahjustatud arvuti üle. Peale selle on neid raske tuvastada ja eemaldada ning need võivad jääda peidetud pikaks ajaks, võib-olla aastaks, kui see jääb märkamatuks.

Nii et loomulikult tuleb ohustatud arvuti sümptomid maskeerida ja neid arvesse võtta, enne kui lõpptulemus on lõppenud. Eelkõige tuleks rünnaku avastamiseks võtta rangemaid turvameetmeid. Kuid nagu mainitud, kui need rootkit / pahavara on installitud, on selle varjamise võimalused raskesti eemaldatavad ja selle komponendid, mida see võib alla laadida. Sel põhjusel on Microsoft loonud aruande ROOTKITSide kohta.

Microsofti väikerakenduskeskuse ohtude aruanne rootkittide kohta

16-leheküljeline aruandes kirjeldatakse, kuidas ründaja kasutab rootkit ja kuidas need rootkid toimivad mõjutatud arvutites.

Aruande ainus eesmärk on tuvastada ja põhjalikult uurida potentsiaalset pahavara, mis ähvardab mitmeid organisatsioone, eriti arvutikasutajaid. Selles mainitakse ka mõningaid levinud pahavara perekondi ja tuuakse esile meetod, mida ründajad kasutavad rootkitide paigaldamiseks oma isekastel eesmärkidel tervislikel süsteemidel. Ülejäänud aruande osas leiate eksperdid, kes teevad mõned soovitused, et aidata kasutajatel leevendada rootkittide ohtu.

Rootkitüübid

Paljud kohad, kus pahavara võib oma operatsioonisüsteemi installida. Seega enamasti määratakse rootkiti tüüp selle asukoha järgi, kus see täidab täitmistee kahjustamise. See sisaldab:

  1. Kasutaja režiim Rootkits
  2. Kerneli režiimi rootkits
  3. MBR Rootkits / bootkits

Kerneli režiimi rootkit-kompromissi võimalikku mõju illustreeritakse allpool ekraanil oleva pildi abil.

Kolmas tüüp, muutke master boot Record, et saada süsteemi juhtimine ja käivitada alglaadimise järjekorra võimalikult kiiret laadimist 3. See peidab faile, registri muudatusi, tõendeid võrguühenduste kohta ning muid võimalikke näitajaid, mis võivad osutada selle olemasolu.

Märkimisväärsed pahavara perekonnad, mis kasutavad Rootkiti funktsioone

Win32 / Sinowal13 - mitmekomponentne õelvara perekond, mis proovib varjata tundlikke andmeid, näiteks erinevate süsteemide kasutajanimesid ja paroole. See hõlmab üritamist varastada erinevate FTP-, HTTP- ja e-posti kontode autentimisandmeid ning veebipanganduse ja muude finantstehingute jaoks kasutatavaid mandaate.

Win32 / Cutwail15 - trooja, mis laadib alla ja käivitab suvalised failid. Allalaaditud failid võivad olla kettalt käideldud või otse teistesse protsessidesse süstida. Kuigi allalaaditud failide funktsioon on muutuv, laadib Cutwail tavaliselt alla kõik rämpsposti saatvad komponendid.

See kasutab kerneli režiimi rootkitt ja installib mitmeid seadme draivereid, et varjata selle komponente kahjustatud kasutajatelt.

Win32 / Rustock - mitmedkomponentne rootkit-enabled backdoor troojalaste perekond, mille algselt töötati välja e-posti rämpsposti levitamiseks bot. Botnet on suur ründaja poolt kontrollitav arvutis levinud võrk.

Kaitse rootkittide eest

Rootkitside paigaldamise ennetamine on kõige tõhusam viis rootkittide nakatumise vältimiseks. Selleks on vaja investeerida kaitsetehnoloogiatesse, nagu viirusetõrje ja tulemüüri tooted.Sellised tooted peaksid kaitsele kõikehõlmava lähenemisviisi kasutama, kasutades traditsioonilist signatuuril põhinevat avastamist, heuristiliselt avastamist, dünaamilist ja reageerimisvõimelist allkirjavõimet ja käitumise jälgimist.

Kõiki neid allkirjade komplekte tuleks ajakohastada automatiseeritud ajakohastamise mehhanismi abil. Microsofti viirusetõrje lahendused sisaldavad mitmeid rootkittide leevendamiseks loodud tehnoloogiaid, sealhulgas elusat tuumikäitumise seiret, mis tuvastab ja annab aru katsetest mõjutatud süsteemi kerneli muutmiseks ja otsest failisüsteemi parsimist, mis hõlbustab peidetud draiverite tuvastamist ja eemaldamist.

Kui süsteem on leitud kahjustatud, võib osutuda kasulikuks täiendav tööriist, mis võimaldab teil käivituda teadaoleva heale või usaldusväärsele keskkonnale, kuna see võib osutuda vajalikuks mõni sobivaid tervendamismeetmeid.

Sellistel asjaoludel

  1. Independent System Sweeperi tööriist (Microsofti diagnostika ja taastamise tööriistakomplekti osa (DaRT)
  2. Windows Defender Offline võib olla kasulik.

Lisateabe saamiseks võite alla laadida PDF-aruande Microsofti allalaadimiskeskusest.

Seonduvad postitused:

  • Free Rootkit Remover tarkvara Windowsile
  • Laadige McAfee Rootkiti eemaldaja Windowsile alla
  • Bitdefender Rootkit Remover for Windows vabastatud
  • Windows 10 käivitamisprotsessi turvalisus
  • Mis on Rootkit? Kuidas Rootkit toimib? Rootkits selgitas.

Link
Plus
Send
Send
Pin