Mis on Rootkit? Kuidas Rootkitid töötavad? Rootkits selgitas.

Kuigi on võimalik varjata pahavara nii, et see petaks isegi traditsioonilisi viirusetõrje- / nuhkvaratõrjetooteid, kasutavad enamus pahavaraprogramme juba juurkomplekte, et peita end Windowsi arvutisse ..! DL3 juurkomplekt on üks kõige arenenumaid juurkomplekte, mida looduses kunagi nähtud on. Rootkit oli stabiilne ja võis nakatada 32-bitiseid Windowsi operatsioonisüsteeme; kuigi nakkuse installimiseks süsteemi oli vaja administraatori õigusi. Kuid TDL3 on nüüd uuendatud ja on nüüd võimeline nakatama isegi Windowsi 64-bitised versioonid!

Mis on Rootkit

Rootkit-viirus on varjatud pahavara tüüp, mis on loodud teatud protsesside või programmide olemasolu arvutis peitmiseks tavaliste tuvastamismeetodite eest, et võimaldada sellel või mõnel muul pahatahtlikul protsessil privilegeeritud juurdepääsu teie arvutile.

Rootkitid Windowsi jaoks kasutatakse tavaliselt pahatahtliku tarkvara peitmiseks näiteks viirusetõrjeprogrammi eest. Pahatahtlikel eesmärkidel kasutavad seda viirused, ussid, tagauksed ja nuhkvara. Viirus koos juurkomplektiga tekitab nn täielikke varjatud viirusi. Rootkitid on levinumad nuhkvara valdkonnas ja nüüd on neid ka viiruste autorid üha sagedamini kasutanud.

Need on nüüd arenev supernuhkvara tüüp, mis varjab tõhusalt ja mõjutab otseselt operatsioonisüsteemi tuuma. Neid kasutatakse teie arvutis pahavaraliste objektide, näiteks troojalaste või klaviatuurilogijate varjamiseks. Kui oht kasutab varjamiseks rootkit-tehnoloogiat, on arvutis pahavara väga raske leida.

Rootkitid iseenesest ei ole ohtlikud. Nende ainus eesmärk on varjata tarkvara ja operatsioonisüsteemist maha jäänud jäljed. Kas see on tavaline tarkvara või pahavara programmid.

Rootkitit on põhimõtteliselt kolme erinevat tüüpi. Esimene tüüp,Tuuma juurkomplektid"Lisavad tavaliselt oma koodi operatsioonisüsteemi tuuma osadele, samas kui teine ​​liik"Kasutajarežiimi juurkomplektid”On spetsiaalselt Windowsi jaoks mõeldud süsteemi käivitamise ajal tavapäraseks käivitamiseks või nn Dropperi kaudu süsteemi süstimiseks. Kolmas tüüp on MBR-i juurkomplektid või alglaadimiskomplektid.

Kui leiate, et viirusetõrje ja nuhkvaratõrje ebaõnnestub, peate võib-olla kasutama a hea juurkomplektivastane utiliit. RootkitRevealer saidilt Microsoft Sysinternals on täiustatud juurkomplekti tuvastamise utiliit. Selle väljundis on loetletud registri ja failisüsteemi API lahknevused, mis võivad viidata kasutajarežiimi või kernelirežiimi juurkomplekti olemasolule.

Microsofti pahavara kaitsekeskuse ohtude aruanne juurkomplektide kohta

Microsofti pahavarakaitsekeskus on allalaadimiseks kättesaadavaks teinud oma Rootkitite ohuraporti. Aruandes uuritakse üht salakavalamat organisatsiooni ja üksikisikut ähvardavat pahavara tüüpi - juurkomplekti. Aruandes uuritakse, kuidas ründajad juurkomplekte kasutavad ja kuidas juurkomplektid mõjutatud arvutites toimivad. Siin on aruande põhisisu, alustades juurkomplektidest - algajatele.

Rootkit on tööriistakomplekt, mida ründaja või pahavara looja kasutab kontrolli saavutamiseks paljastatud / turvamata süsteemi üle, mis muidu on reserveeritud süsteemiadministraatorile. Viimastel aastatel on mõiste „ROOTKIT” või „ROOTKIT FUNCTIONALITY” asendatud terminiga MALWARE - programm, mille eesmärk on avaldada tervislikule arvutile soovimatuid mõjusid. Pahavara peamine ülesanne on kasutaja arvutist väärtuslike andmete ja muude ressursside salaja välja toomine ning ründajale edastamine, andes seeläbi täieliku kontrolli rikutud arvuti üle. Pealegi on neid keeruline tuvastada ja eemaldada ning märkamatuks jäädes võivad need varjatud olla pikaks ajaks, võib-olla ka aastateks.

Nii et loomulikult tuleb ohustatud arvuti sümptomid varjata ja arvesse võtta, enne kui tulemus osutub surmavaks. Eelkõige tuleks rünnaku paljastamiseks rakendada rangemaid turvameetmeid. Kuid nagu mainitud, teeb nende juurkomplektide / pahavara installimise järel selle varjamisvõimalused selle ja selle allalaaditavate komponentide eemaldamise keeruliseks. Sel põhjusel on Microsoft loonud aruande ROOTKITS-i kohta.

16-leheküljelises aruandes antakse ülevaade sellest, kuidas ründaja juurkomplekte kasutab ja kuidas need juurkomplektid mõjutatud arvutites toimivad.

Aruande ainus eesmärk on tuvastada ja põhjalikult uurida paljusid organisatsioone, eriti arvutikasutajaid, ohustavat tugevat pahavara. Samuti mainitakse mõnda levinud pahavara perekonda ja tuuakse päevavalgele meetod, mida ründajad kasutavad juurkomplektide installimiseks oma isekatel eesmärkidel tervislikesse süsteemidesse. Aruande ülejäänud osast leiate eksperdid, kes annavad mõned soovitused, mis aitavad kasutajatel juurkomplektidest tulenevat ohtu leevendada.

Rootkitite tüübid

Paljudes kohtades saab pahavara ennast opsüsteemi installida. Niisiis, enamasti määrab juurkomplekti tüüp selle asukoht, kus ta täideviimise tee õõnestab. See sisaldab:

1. Kasutajarežiimi juurkomplektid
2. Kerneli režiimi juurkomplektid
3. MBR juurkomplektid / algkomplektid

Tuumarežiimi juurkomplekti kompromissi võimalikku mõju illustreeritakse allpool oleva ekraanipildi abil.

Kolmandat tüüpi, muutke alglaadimise kirjet, et süsteem üle kontrolli saada ja alustage alglaadimisjärjestuse varaseima punkti laadimist3. See peidab nii failid, registrimuudatused, tõendid võrguühenduste kohta kui ka muud võimalikud näitajad, mis võivad viidata selle olemasolule.

Märkimisväärsed pahavara perekonnad, mis kasutavad Rootkiti funktsionaalsust

• Win32 / Sinowal13 - mitmekomponendiline pahavara perekond, mis üritab varastada tundlikke andmeid, näiteks kasutajanimesid ja paroole erinevatele süsteemidele. See hõlmab mitmesuguste FTP, HTTP ja e-posti kontode autentimisandmete varastamise katset, samuti veebipanga ja muude finantstehingute jaoks kasutatavaid mandaate.
• Win32 / Cutwail15 - Troojalane, kes laadib alla ja täidab suvalisi faile. Allalaaditud faile võib käivitada kettalt või sisestada otse muudesse protsessidesse. Kui allalaaditud failide funktsionaalsus on erinev, laadib Cutwail tavaliselt alla muud rämpsposti saatvad komponendid. See kasutab kernelmoodiga juurkomplekti ja installib mitu komponenti draiverit, et varjata selle komponente mõjutatud kasutajate eest.
• Win32 / Rustock - Mitmekomponendiline rootkit-toega troojalaste perekond töötati algselt välja rämpsposti levitamise hõlbustamiseks botnet. Robotivõrk on suur ründajate juhitav rikutud arvutite võrk.

Kaitse rootkitide eest

Juurkomplektide installimise vältimine on kõige tõhusam meetod juurkomplektidega nakatumise vältimiseks. Selleks on vaja investeerida kaitsetehnoloogiatesse nagu viirusetõrje ja tulemüüri tooted. Sellised tooted peaksid kaitsmisel kasutama terviklikku lähenemist, kasutades traditsioonilist allkirjapõhist tuvastamist, heuristilist tuvastamist, dünaamilist ja reageerivat allkirjavõimet ning käitumise jälgimist.

Kõiki neid allkirjade komplekte tuleks automaatse värskendusmehhanismi abil ajakohastada. Microsofti viirusetõrjelahendused hõlmavad mitmeid spetsiaalselt juurkomplektide leevendamiseks mõeldud tehnoloogiaid, sealhulgas reaalajas toimuva tuuma käitumise jälgimine, mis tuvastab mõjutatud süsteemi tuuma muutmise katsed ja annab neist teada, ning otsene failisüsteemi parsimine, mis hõlbustab varjatud draiverite tuvastamist ja eemaldamist.

Kui leitakse, et süsteem on rikutud, võib osutuda kasulikuks täiendav tööriist, mis võimaldab teil käivitada teadaoleva hea või usaldusväärse keskkonna, kuna see võib soovitada asjakohaseid parandusmeetmeid.

Sellistel asjaoludel,

1. Eraldiseisva tööriista tööriist (osa Microsofti diagnostika ja taastamise tööriistakomplektist (DaRT)
2. Windows Defender Offline võib olla kasulik.

Lisateabe saamiseks saate PDF-aruande alla laadida Microsofti allalaadimiskeskusest.