Mi a Rootkit? Hogyan működnek a Rootkitek? Rootkits elmagyarázta.

Bár lehetséges elrejteni a rosszindulatú programokat úgy, hogy még a hagyományos víruskereső / kémprogram-elhárító termékek is megbolonduljanak, a legtöbb rosszindulatú program már használ rootkiteket, hogy mélyen elrejtse a Windows PC-jén ... és egyre veszélyesebbek! A DL3 rootkit az egyik legfejlettebb rootkit, amelyet valaha a vadonban láttak. A rootkit stabil volt, és megfertőzhette a 32 bites Windows operációs rendszereket; bár rendszergazdai jogokra volt szükség a fertőzés rendszerbe telepítéséhez. De a TDL3 most frissült, és most képes fertőzni akár 64 bites Windows verziók!

Mi a Rootkit

A Rootkit vírus egy lopakodó típusú rosszindulatú program, amelynek célja, hogy elrejtse bizonyos folyamatok vagy programok létezését a számítógépen a rendszeres észlelési módszerek elől, annak érdekében, hogy lehetővé tegye annak vagy más rosszindulatú folyamatnak a számítógéphez való privilegizált hozzáférést.

Rootkitek Windows-hoz általában rosszindulatú szoftverek elrejtésére szolgálnak, például egy víruskereső program elől. Rosszindulatú célokra használják vírusok, férgek, hátsó ajtók és kémprogramok. A rootkit-lel kombinált vírus úgynevezett teljes lopakodó vírusokat termel. A rootkitek gyakoribbak a kémprogramok terén, és mára a vírus szerzők is egyre gyakrabban használják őket.

Mostanra a Super Spyware egy feltörekvő típusa, amely hatékonyan elrejti és közvetlenül befolyásolja az operációs rendszer kerneljét. Ezeket arra használják, hogy elrejtsék a számítógépen található rosszindulatú tárgyakat, például trójaiakat vagy billentyűzárakat. Ha egy fenyegetés rootkit technológiát használ elrejtésére, nagyon nehéz megtalálni a rosszindulatú programot a számítógépén.

A rootkitek önmagukban nem veszélyesek. Egyetlen céljuk a szoftverek és az operációs rendszerben hátrahagyott nyomok elrejtése. Legyen szó normális szoftverről vagy rosszindulatú programról.

Alapvetően három különböző típusú Rootkit létezik. Az első típus, aKernel RootkitekÁltalában hozzáadják saját kódjukat az operációs rendszer magjaihoz, míg a második típus, azFelhasználói módú rootkitek”Kifejezetten a Windows számára készültek, hogy rendesen elinduljanak a rendszer indításakor, vagy egy úgynevezett„ Dropper ”segítségével fecskendezzék be a rendszerbe. A harmadik típus az MBR rootkitek vagy bootkitek.

Ha hibát észlel az AntiVirus és AntiSpyware programban, előfordulhat, hogy a jó Anti-Rootkit segédprogram. RootkitRevealer from Microsoft Sysinternals egy fejlett rootkit észlelő segédprogram. Kimenete felsorolja a nyilvántartás és a fájlrendszer API eltéréseit, amelyek jelezhetik a felhasználói mód vagy a kernelmódú rootkit jelenlétét.

A Microsoft Malware Protection Center fenyegetési jelentése a rootkitekről

A Microsoft Malware Protection Center letölthetővé tette a rootkitekről szóló fenyegetési jelentését. A jelentés megvizsgálja az egyik alattomosabb típusú rosszindulatú programot fenyegető szervezeteket és egyéneket - a rootkitet. A jelentés azt vizsgálja, hogy a támadók hogyan használják a rootkiteket, és hogyan működnek a rootkitek az érintett számítógépeken. Itt van a jelentés lényege, kezdve azzal, hogy mi a Rootkit - a kezdő számára.

Rootkit egy olyan eszközkészlet, amelyet egy támadó vagy egy rosszindulatú program-készítő használ, hogy irányítást szerezzen minden olyan kitett / nem védett rendszer felett, amelyet egyébként a rendszergazda tart fenn. Az elmúlt években a „ROOTKIT” vagy a „ROOTKIT FUNCTIONALITY” kifejezést felváltotta a MALWARE - egy program, amelynek célja az egészségtelen számítógépen tapasztalható nemkívánatos hatások. A rosszindulatú program elsődleges feladata az, hogy értékes adatokat és egyéb erőforrásokat titokban kivonjon a felhasználó számítógépéből és átadja a támadónak, ezáltal teljes ellenőrzést biztosítva neki a sérült számítógép felett. Sőt, ezeket nehéz felismerni és eltávolítani, és ha észrevétlenek maradnak, akkor hosszabb ideig, esetleg éveken át rejtve maradhatnak.

Tehát természetesen a veszélyeztetett számítógép tüneteit el kell takarni és figyelembe kell venni, mielőtt az eredmény végzetesnek bizonyulna. Különösen szigorúbb biztonsági intézkedéseket kell hozni a támadás feltárására. De amint említettük, miután ezek a rootkitek / rosszindulatú programok telepítve vannak, lopakodó képességei megnehezítik eltávolításukat és az esetleg letölthető összetevőket. Ezért a Microsoft jelentést készített a ROOTKITS-ról.

A 16 oldalas jelentés felvázolja, hogy a támadó miként használja a rootkiteket, és hogyan működnek ezek a rootkitek az érintett számítógépeken.

A jelentés egyetlen célja a sok szervezetet, különösen a számítógép-használókat fenyegető potenciális rosszindulatú programok azonosítása és alapos vizsgálata. Megemlít néhány elterjedt rosszindulatú program-családot, és megvilágítja azt a módszert, amelyet a támadók használnak ezeknek a rootkiteknek az önző céljaikra való, egészséges rendszerekre történő telepítésére. A jelentés fennmaradó részében szakértőket talál, amelyek néhány javaslatot tesznek a felhasználóknak a rootkitek által okozott fenyegetések mérsékléséhez.

A rootkitek típusai

Sok helyen a rosszindulatú programok telepíthetik magukat az operációs rendszerbe. Tehát leginkább a rootkit típusát az a hely határozza meg, ahol a végrehajtási út felforgatását végzi. Ebbe beletartozik:

1. Felhasználói módú rootkitek
2. Kernel módú rootkitek
3. MBR Rootkit / bootkit

A kernel módú rootkit kompromisszum lehetséges hatásait az alábbi képernyőkép mutatja.

A harmadik típus: módosítsa a Master Boot Record-ot, hogy megszerezhesse a rendszer irányítását, és megkezdje a rendszerindítás lehető legkorábbi pontjának betöltését3. Elrejti a fájlokat, a nyilvántartás módosításait, a hálózati kapcsolatok bizonyítékait, valamint egyéb lehetséges mutatókat, amelyek jelezhetik jelenlétét.

Figyelemre méltó rosszindulatú programok családok, amelyek a Rootkit funkciókat használják

• Win32 / Sinowal13 - Többkomponensű rosszindulatú programcsalád, amely érzékeny adatokat, például felhasználói neveket és jelszavakat próbál ellopni különböző rendszerek számára. Ez magában foglalja a különböző FTP, HTTP és e-mail fiókok hitelesítési részleteinek, valamint az online banki és egyéb pénzügyi tranzakciókhoz használt hitelesítő adatok lopásának megkísérlését.
• Win32 / Cutwail15 - Trójai program, amely tetszőleges fájlokat tölt le és futtat. A letöltött fájlok futtathatóak lemezről, vagy közvetlenül más folyamatokba is befecskendezhetők. Míg a letöltött fájlok funkcionalitása változó, a Cutwail általában más, spameket küldő összetevőket tölt le. Kernel módú rootkit-et használ, és több eszközillesztőt telepít, hogy elrejtse összetevőit az érintett felhasználók elől.
• Win32 / Rustock - A rootkit-kompatibilis hátsó trójaiak többkomponensű családja eredetileg a „spam” e-mailek terjesztésének támogatására lett kifejlesztve botnet. A botnet egy nagy, támadó által vezérelt, veszélyeztetett számítógépek hálózata.

Védelem a rootkitek ellen

A rootkitek telepítésének megakadályozása a leghatékonyabb módszer a rootkitek általi fertőzés elkerülésére. Ehhez olyan védelmi technológiákba kell beruházni, mint például a vírusirtók és a tűzfal termékek. Az ilyen termékeknek átfogó megközelítést kell alkalmazniuk a védelemről a hagyományos aláírás-alapú észlelés, a heurisztikus észlelés, a dinamikus és reagáló aláírás-képesség és a viselkedés figyelemmel kísérésével.

Mindezeket az aláíráskészleteket naprakészen kell tartani egy automatikus frissítési mechanizmus segítségével. A Microsoft víruskereső megoldásai számos olyan technológiát tartalmaznak, amelyeket kifejezetten a rootkitek csökkentésére terveztek, ideértve az élő rendszermag viselkedés-figyelését, amely észleli az érintett rendszer kerneljének módosítási kísérleteit és jelentést készít azokról, valamint a közvetlen fájlrendszer-elemzést, amely megkönnyíti a rejtett illesztőprogramok azonosítását és eltávolítását.

Ha egy rendszert sérülten találnak, akkor hasznos lehet egy további eszköz, amely lehetővé teszi az ismert jó vagy megbízható környezetbe való indítást, mivel megfelelő helyreállítási intézkedéseket javasolhat.

Ilyen körülmények között,

1. Az önálló rendszerseprő eszköz (a Microsoft diagnosztikai és helyreállítási eszközkészletének (DaRT) része
2. Hasznos lehet a Windows Defender Offline.

További információkért töltse le a PDF-jelentést a Microsoft Letöltő központjából.