Skip to main content

Izvješće o prijetnjama tvrtke Microsoft za zaštitu od zlonamjernog softvera o korijenima

Izvješće o prijetnjama tvrtke Microsoft za zaštitu od zlonamjernog softvera o korijenima

Geoffrey Carr

Microsoftova zaštita od zlonamjernih programa omogućila je preuzimanje Izvješća o prijetnjama o korijenima. Izvješće istražuje jedan od više podmuklih vrsta organizacija i pojedinaca koji prijete programu malwarea - rootkit. Izvješće ispituje kako napadači koriste rootkite i kako funkcioniraju rootkiti na pogođenim računalima. Evo izvora izvješća, počevši od onoga što su Rootkits - za početnike.

Korijen je skup alata koje napadač ili programer zlonamjernog softvera koristi za stjecanje kontrole nad svim izloženim / neosiguranim sustavima koji inače inače rezerviraju administratora sustava. Posljednjih godina pojam 'ROOTKIT' ili 'FUNKCIONALNOST ROOTKITA' zamijenjen je MALWARE - programom koji ima neželjene učinke na zdravo računalo. Glavna funkcija zlonamjernog softvera je potajno povlačenje vrijednih podataka i drugih resursa s računala korisnika i pružiti ga napadaču, čime mu daje potpunu kontrolu nad ugroženim računalom. Štoviše, teško ih je otkriti i ukloniti te mogu ostati skriveni dulje, možda godinama, ako se neprimijećaju.

Dakle, prirodno, simptomi ugroženog računala moraju biti maskirani i uzeti u obzir prije nego što ishod pokaže kobno. Osobito treba poduzeti strože sigurnosne mjere kako bi se otkrio napad. No, kao što je spomenuto, kada se instaliraju ti rootkiti / zlonamjerni softver, njegove stealth sposobnosti otežavaju uklanjanje i komponente koje bi mogli preuzeti. Zbog toga je Microsoft stvorio izvješće o ROOTKITS-u.

Izvješće o prijetnjama tvrtke Microsoft za zaštitu od zlonamjernog softvera o korijenima

Izvješće s 16 stranica prikazuje kako napadač koristi rootkite i kako funkcioniraju rootkiti na pogođenim računalima.

Jedina svrha izvješća je prepoznati i ispitati jake potencijalne zlonamjerne programe koji prijete mnogim organizacijama, osobito korisnicima računala. Također spominje neke od najčešćih malware obitelji i donijeti u svjetlu metoda napadača koristiti za instalaciju tih rootkita za svoje sebične svrhe na zdrave sustave. U preostalom dijelu izvješća naći ćete stručnjake koji daju neke preporuke kako bi pomogli korisnicima da ublaže prijetnju rootkitima.

Vrste korijena

Postoji mnogo mjesta na kojima se zlonamjerni softver može instalirati u operativni sustav. Dakle, uglavnom je vrsta rootkita određena njezinim mjestom gdje obavlja svoju subverziju puta izvršenja. Ovo uključuje:

  1. Korisnički način rada Rootkits
  2. Rootkits kernel modu
  3. MBR Rootkits / bootkits

Mogući učinak ugroženosti rootkit kernel modusa ilustriran je na slici u nastavku.

Treći tip, izmijenite Master Boot Record kako biste stekli kontrolu nad sustavom i započeli postupak učitavanja što je prije moguće točke u slijedu podizanja sustava3. Skriva datoteke, izmjene registra, dokaze o mrežnim vezama, kao i druge moguće pokazatelje koji mogu ukazati na njegovu prisutnost.

Značajne zlonamjerne obitelji koje koriste funkcionalnost Rootkit

Win32 / Sinowal13 - višekomponentna obitelj zlonamjernih programa koja pokušava ukrasti osjetljive podatke kao što su korisnička imena i lozinke za različite sustave. To uključuje i pokušaj ukrasti pojedinosti o autentifikaciji za različite FTP, HTTP i e-mail račune, kao i vjerodajnice koje se koriste za online bankarstvo i druge financijske transakcije.

Win32 / Cutwail15 - Trojanski koji preuzima i izvršava proizvoljne datoteke. Preuzete datoteke mogu se izvesti s diska ili ubacivati ​​izravno u druge procese. Dok je funkcionalnost preuzete datoteke promjenjiva, Cutwail obično preuzima druge komponente koje šalju neželjenu poštu.

Koristi rootkit kernel modu i instalira nekoliko upravljačkih programa za uređaje da bi sakrili svoje komponente od pogođenih korisnika.

Win32 / Rustock - višekomponentna obitelj rootkit-omogućena backdoor Trojans u početku razvijen za pomoć u raspodjeli "spam" e-pošte kroz botnet, Botnet je velika mreža kompromitiranih računala kontroliranih od strane napadača.

Zaštita od rootkita

Sprječavanje instalacije rootkita je najučinkovitija metoda za izbjegavanje infekcije rootkitima. Za to je potrebno uložiti u zaštitne tehnologije kao što su protuvirusni i vatrozidni proizvodi. Takvi proizvodi trebaju poduzeti sveobuhvatan pristup zaštiti korištenjem tradicionalnih detekcija temeljenih na potpisu, heurističkom otkrivanju, dinamičnom i brzom sposobnošću potpisa i praćenju ponašanja.

Svi ti skupovi potpisa trebaju biti ažurni pomoću automatskog mehanizma ažuriranja. Microsoftova antivirusna rješenja uključuju niz tehnologija posebno dizajniranih za ublažavanje rootkita, uključujući praćenje ponašanja jezgri kernela koji otkriva i izvještava o pokušajima izmjene kernela pogođenog sustava i izravnog analiziranja datotečnog sustava koji olakšava prepoznavanje i uklanjanje skrivenih upravljačkih programa.

Ako je sustav pronađen ugrožen onda dodatni alat koji vam omogućuje da dignete do poznatog dobrog ili pouzdanog okruženja može se pokazati korisnim jer može predložiti neke odgovarajuće mjere sanacije.

U takvim okolnostima,

  1. Alat za samostalan sustav zamaha (dio programa Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Windows Defender Offline može biti korisno.

Za više informacija možete preuzeti PDF izvješće iz Microsoftovog centra za preuzimanje.

Vezane objave:

  • Popis Free Rootkit Remover softver za Windows
  • Preuzmite McAfee Rootkit Remover za Windows
  • Otpušten Bitdefender Rootkit Remover za Windows
  • Kako osigurati postupak pokretanja sustava Windows 10
  • Što je Rootkit? Kako funkcioniraju Rootkits? Rootkits objasnio.

Link
Plus
Send
Send
Pin