Što je rootkit? Kako rade rootkiti? Objašnjenje rootkita.

What Is Rootkit How Do Rootkits Work



Ovaj članak objašnjava što je rootkit virus, kako rootkit funkcionira i vrste rootkita u sustavu Windows - rootkit kernela i korisničkog načina rada. Objašnjenje Bootkita protiv Rootkita.

Rootkit je vrsta softvera koji napadaču omogućuje preuzimanje kontrole nad žrtvinim računalom. Rootkit se može koristiti za daljinsko upravljanje žrtvinim strojem, krađu osjetljivih podataka ili čak pokretanje napada na druga računala. Rootkite je teško otkriti i ukloniti i često zahtijevaju posebne alate i stručnost. Kako rade rootkiti? Rootkitovi rade iskorištavanjem ranjivosti u operativnom sustavu ili softveru. Jednom kada je rootkit instaliran, može se koristiti za pristup žrtvinom stroju. Rootkiti se mogu koristiti za daljinsko upravljanje žrtvinim strojem, krađu osjetljivih podataka ili čak pokretanje napada na druga računala. Rootkite je teško otkriti i ukloniti i često zahtijevaju posebne alate i stručnost. Koje su opasnosti rootkita? Rootkiti se mogu koristiti za daljinsko upravljanje žrtvinim strojem, krađu osjetljivih podataka ili čak pokretanje napada na druga računala. Rootkite je teško otkriti i ukloniti i često zahtijevaju posebne alate i stručnost. Kako se mogu zaštititi od rootkita? Postoji nekoliko stvari koje možete učiniti da se zaštitite od rootkita. Najprije ažurirajte svoj operativni sustav i softver. To će pomoći u zatvaranju svih ranjivosti koje rootkitovi mogu iskoristiti. Drugo, koristite renomirani antivirusni i anti-malware program. Ovi programi mogu pomoći u otkrivanju i uklanjanju rootkita. Konačno, budite oprezni s web stranicama koje posjećujete i privicima e-pošte koje otvarate. Rootkitovi se mogu širiti putem zlonamjernih privitaka e-pošte ili zaraženih web stranica.



Iako je moguće sakriti zlonamjerni softver na način koji će zavarati čak i tradicionalne antivirusne/antišpijunske proizvode, većina zlonamjernih programa već koristi rootkite za skrivanje duboko unutar vašeg Windows računala... i oni postaju sve opasniji! U Rootkit DL3 - jedan od najnaprednijih rootkitova ikada viđenih na svijetu. Rootkit je bio stabilan i mogao je zaraziti 32-bitne Windows operativne sustave; iako su za instalaciju infekcije u sustav bila potrebna administratorska prava. Ali TDL3 je sada ažuriran i sada može zaraziti čak i 64-bitne verzije sustava Windows !







Što je rootkit

virus





Rootkit virus je skriven vrstu zlonamjernog softvera koji je osmišljen kako bi sakrio postojanje određenih procesa ili programa na vašem računalu od uobičajenih metoda otkrivanja kako bi njemu ili drugom zlonamjernom procesu dao privilegirani pristup vašem računalu.



Rootkits za Windows obično se koristi za skrivanje zlonamjernog softvera, poput antivirusnog programa. Koriste ga u zlonamjerne svrhe virusi, crvi, backdoor i spyware. Virus u kombinaciji s rootkitom proizvodi takozvane potpuno skrivene viruse. Rootkiti su zastupljeniji u području špijunskog softvera, a sve ih više koriste i pisci virusa.

Trenutno su to nova vrsta super špijunskog softvera koji učinkovito skriva i izravno utječe na jezgru operativnog sustava. Koriste se za skrivanje prisutnosti zlonamjernog objekta na vašem računalu, kao što su trojanci ili keyloggeri. Ako prijetnja koristi rootkit tehnologiju za skrivanje, vrlo je teško pronaći zlonamjerni softver na vašem računalu.

Rootkiti sami po sebi nisu opasni. Njihova jedina svrha je sakriti softver i tragove ostavljene na operativnom sustavu. Bilo da se radi o običnom softveru ili zlonamjernom softveru.



Postoje tri glavne vrste rootkita. Prva vrsta, Kernel rootkitovi »Obično dodaju vlastiti kod u kernel dio operativnog sustava, dok druga vrsta,« Rutkitovi korisničkog načina rada »Posebno dizajniran za normalan rad Windowsa tijekom pokretanja sustava ili uveden u sustav pomoću takozvane 'kapaljke'. Treća vrsta je MBR rootkit ili bootkit .

Kada ustanovite da se vaš AntiVirus & AntiSpyware ruši, možda ćete trebati pomoć dobar Anti-Rootkit uslužni program . Rootkit Revaler iz Microsoft Sysinternals je napredni uslužni program za otkrivanje rootkita. Njegov izlaz navodi nedosljednosti API-ja registra i datotečnog sustava koje mogu ukazivati ​​na prisutnost rootkita korisničkog ili kernelskog načina rada.

Izvješće Microsoftovog centra za zaštitu od zlonamjernog softvera o prijetnjama rootkita

Microsoftov centar za zaštitu od zlonamjernog softvera učinio je dostupnim za preuzimanje Izvješće o prijetnji Rootkita. Izvješće se bavi jednim od najpodmuklijih tipova zlonamjernog softvera koji danas prijeti organizacijama i pojedincima, rootkitom. Izvješće istražuje kako napadači koriste rootkite i kako rootkiti rade na pogođenim računalima. Evo suštine izvješća, počevši od onoga što su rootkitovi - za početnike.

rootkit je skup alata koje napadač ili kreator zlonamjernog softvera koristi kako bi preuzeo kontrolu nad bilo kojim nesigurnim/nezaštićenim sustavom, što je inače obično rezervirano za administratora sustava. Posljednjih godina termin 'ROOTKIT' ili 'ROOTKIT FUNKCIONALNOST' zamijenjen je MALWARE-om, programom dizajniranim da ima neželjeni učinak na funkcionalno računalo. Glavna funkcija malwarea je potajno izvući vrijedne podatke i druge resurse s računala korisnika i dati ih napadaču, čime mu daje potpunu kontrolu nad kompromitiranim računalom. Štoviše, teško ih je otkriti i ukloniti, a mogu ostati skriveni dugo vremena, možda godinama, ako se ostave nezamijećeni.

Dakle, naravno, simptomi hakiranog računala moraju se maskirati i uzeti u obzir prije nego rezultat bude koban. Posebice treba poduzeti strože sigurnosne mjere za otkrivanje napada. Ali kao što je spomenuto, nakon što se ovi rootkitovi/malware instaliraju, njihove skrivene mogućnosti otežavaju njegovo uklanjanje i njegove komponente koje mogu preuzeti. Iz tog je razloga Microsoft izradio izvješće ROOTKITS.

Izvješće na 16 stranica opisuje kako napadač koristi rootkite i kako ti rootkiti rade na pogođenim računalima.

Jedina svrha izvješća je identificirati i temeljito istražiti potencijalno opasan malware koji prijeti mnogim organizacijama, posebice korisnicima računala. Također spominje neke od uobičajenih obitelji zlonamjernog softvera i naglašava metodu koju napadači koriste za instaliranje ovih rootkita u svoje sebične svrhe na zdravim sustavima. U ostatku izvješća naći ćete stručnjake koji daju neke preporuke za pomoć korisnicima u ublažavanju prijetnje koju predstavljaju rootkiti.

Vrste rootkita

Postoji mnogo mjesta gdje se zlonamjerni softver može instalirati u operativni sustav. Dakle, u osnovi je tip rootkita određen njegovom lokacijom na kojoj izvodi subverziju putanje izvršavanja. Uključuje:

  1. Rutkitovi korisničkog načina rada
  2. Rutkitovi načina rada jezgre
  3. MBR rootkitovi / bootkitovi

Moguće posljedice krekiranja rootkita u načinu kernela prikazane su na snimci zaslona u nastavku.

donja traka za pomicanje nedostaje krom

Treći tip, modificirajte glavni zapis o pokretanju kako biste preuzeli kontrolu nad sustavom i pokrenuli proces pokretanja od najranije moguće točke u nizu pokretanja3. Skriva datoteke, promjene registra, dokaze mrežnih veza i druge moguće pokazatelje koji mogu ukazivati ​​na njegovu prisutnost.

Poznate obitelji zlonamjernog softvera koje koriste značajke rootkita

  • Win32 / Sinowal 13 - Višekomponentna obitelj zlonamjernog softvera koji pokušava ukrasti osjetljive podatke kao što su korisnička imena i lozinke za različite sustave. To uključuje pokušaje krađe podataka za provjeru autentičnosti za različite FTP, HTTP i račune e-pošte, kao i vjerodajnice koje se koriste za internetsko bankarstvo i druge financijske transakcije.
  • Win32 / Cutwail 15 - Trojanac koji preuzima i pokreće proizvoljne datoteke. Preuzete datoteke mogu se pokrenuti s diska ili umetnuti izravno u druge procese. Dok se funkcionalnost preuzimanja razlikuje, Cutwail obično preuzima druge komponente za spam. Koristi rootkit načina rada jezgre i instalira nekoliko upravljačkih programa uređaja kako bi sakrio svoje komponente od pogođenih korisnika.
  • Win32 / Rustock - Višekomponentna obitelj backdoor trojanaca s podrškom za rootkit, izvorno dizajnirana za pomoć u širenju neželjene e-pošte botnet . Botnet je velika mreža hakiranih računala kojima upravlja napadač.

Rootkit zaštita

Sprječavanje instaliranja rootkita je najučinkovitiji način za izbjegavanje infekcija rootkitom. Da biste to učinili, morate uložiti u sigurnosne tehnologije kao što su antivirusi i vatrozidi. Takvi bi proizvodi trebali imati sveobuhvatan pristup zaštiti korištenjem tradicionalnog otkrivanja temeljenog na potpisu, heurističkog otkrivanja, dinamičkih i responzivnih mogućnosti potpisa i praćenja ponašanja.

Sve ove skupove potpisa treba ažurirati pomoću mehanizma za automatsko ažuriranje. Microsoftova antivirusna rješenja uključuju brojne tehnologije osmišljene posebno za zaštitu od rootkita, uključujući praćenje ponašanja jezgre u stvarnom vremenu, koje otkriva i prijavljuje pokušaje izmjene jezgre ranjivog sustava, te izravnu analizu datotečnog sustava, što olakšava identifikaciju i uklanjanje. skriveni vozači.

Ako se utvrdi da je sustav ugrožen, može biti koristan dodatni alat za pokretanje u poznato dobro ili pouzdano okruženje, jer može predložiti neke odgovarajuće korektivne radnje.

U takvim okolnostima

  1. Offline System Checker (dio Microsoft Diagnostics and Recovery Toolkit (DaRT))
  2. Windows Defender Offline može biti od pomoći.
Preuzmite alat za popravak računala kako biste brzo pronašli i automatski popravili pogreške sustava Windows

Za više informacija možete preuzeti izvješće u PDF formatu s web stranice Microsoftov centar za preuzimanje.

Popularni Postovi