Centrum ochrany pred škodlivým softvérom spoločnosti Microsoft sprístupnilo na stiahnutie svoju správu o hrozbách pre rootkity. Správa skúma jeden z viacerých zákerných typov malware, ktorý ohrozuje organizácie a jednotlivcov dnes - rootkit. Správa skúma, ako útočníci používajú rootkity a ako rootkity fungujú na postihnutých počítačoch. Tu je obsah správy, počínajúc tým, čo sú Rootkity - pre začiatočníkov.
Rootkit je súbor nástrojov, ktorý útočník alebo tvorca škodlivého softvéru používa na získanie kontroly nad akýmkoľvek vystaveným / nezabezpečeným systémom, ktorý inak je spravidla vyhradený správcovi systému. V posledných rokoch bol termín "ROOTKIT" alebo "ROOTKIT FUNCTIONALITY" nahradený programom MALWARE - program, ktorý má nežiaduce účinky na zdravý počítač. Hlavnou funkciou škodlivého softvéru je tajné odoberanie cenných údajov a ďalších zdrojov z počítača používateľa a poskytnutie útočníkovi, čo mu dáva úplnú kontrolu nad kompromitovaným počítačom. Navyše je ťažké ich odhaliť a odstrániť a môžu zostať skryté dlhší čas, možno aj roky, ak zostanú bez povšimnutia.
Prirodzene, symptómy kompromitovaného počítača musia byť maskované a brané do úvahy skôr, ako sa výsledok stane smrteľným. Najmä prísnejšie bezpečnostné opatrenia by mali byť prijaté na odhalenie útoku. Ale ako sme už spomenuli, akonáhle sú tieto rootkity / malware inštalované, jeho stealth schopnosti sťažujú jeho odstránenie a jeho komponenty, ktoré by si mohol stiahnuť. Z tohto dôvodu spoločnosť Microsoft vytvorila správu o ROOTKITS.
Správa o hrozbe programu Microsoft Malware Protection Center na rootkitoch
Správa o 16 stránkach popisuje, ako útočník používa rootkity a ako tieto rootkity fungujú na postihnutých počítačoch.
Druhy rootkitov
Existuje mnoho miest, kde sa malware môže nainštalovať do operačného systému. Takže väčšinou je typ rootkitu určený jeho polohou, kde vykonáva subverziu na ceste k vykonaniu. Toto zahŕňa:
- Rootkity používateľského režimu
- Kernel Mode Rootkits
- MBR Rootkity / bootkity
Možný účinok kompromisu koreňového jadra v režime jadra je znázornený nižšie.
Pozoruhodné rodiny malware, ktoré používajú funkciu Rootkit
Win32 / Sinowal13 - Viackomponentná skupina škodlivého softvéru, ktorá sa pokúša ukradnúť citlivé údaje, ako sú napríklad používateľské mená a heslá pre rôzne systémy. Patrí sem aj pokus o ukradnutie podrobností o autentifikácii pre rôzne FTP, HTTP a e-mailové účty, ako aj poverenie používané pre on-line bankovníctvo a iné finančné transakcie.
Win32 / Cutwail15 - Trojan, ktorý sťahuje a spúšťa ľubovoľné súbory. Stiahnuté súbory môžu byť vykonané z disku alebo priamo vstreknuté do iných procesov. Zatiaľ čo funkčnosť stiahnutých súborov je premenlivá, Cutwail zvyčajne preberá ďalšie komponenty, ktoré posielajú spam.
Používa rootkit v režime jadra a nainštaluje niekoľko ovládačov zariadení na skrytie svojich komponentov od postihnutých používateľov.
Win32 / Rustock - Viackomponentná skupina rootkitov podporovaných trójskych trójskych koní pôvodne vyvinula na pomoc pri distribúcii e-mailov "spam" prostredníctvom botnet, Botnet je rozsiahla sieť napadnutých počítačov, riadená útočníkmi.
Ochrana proti rootkitom
Zabránenie inštalácii rootkitov je najefektívnejšou metódou na zabránenie infikovania rootkitmi. Preto je potrebné investovať do ochranných technológií, ako sú napríklad antivírusové a firewallové produkty. Takéto produkty by mali využívať komplexný prístup k ochrane pomocou tradičnej detekcie založenej na podpisoch, heuristickej detekcie, schopnosti dynamického a citlivého podpisu a monitorovania správania.
Všetky tieto podpisové súbory by mali byť aktualizované pomocou mechanizmu automatického aktualizovania. antivírusových riešení spoločnosti Microsoft zahŕňa rad technológií navrhnutých špeciálne pre zmiernenie rootkity, vrátane živého monitorovania jadra správania, ktorý detekuje a správy o pokusoch o zmenu jadra postihnutého systému a priama systému súborov rozobrať, ktorý uľahčuje identifikáciu a odstránenie skrytých vodičov.
Ak sa zistí, že systém je kompromitovaný, potom môže byť užitočný ďalší nástroj, ktorý vám umožní zaviesť do známeho dobrého alebo dôveryhodného prostredia, pretože môže naznačovať niektoré vhodné nápravné opatrenia.
Za takýchto okolností,
- Samostatný nástroj na zametanie systému (súčasť súpravy nástrojov Microsoft Diagnostics and Recovery Tools (DaRT)
- Služba Windows Defender Offline môže byť užitočná.
Ďalšie informácie si môžete stiahnuť zo stránky Stredisko pre prevzatie softvéru spoločnosti Microsoft.
Súvisiace príspevky:
- Zoznam Voľný Rootkit Remover softvér pre Windows
- Stiahnite si McAfee Rootkit Remover for Windows
- Bitdefender Rootkit Remover for Windows bol prepustený
- Ako zabezpečiť proces spustenia systému Windows 10
- Čo je Rootkit? Ako fungujú Rootkits? Vysvetlili rootkity.
