Čo je Rootkit? Ako fungujú rootkity? Rootkity vysvetlené.

Aj keď je možné skryť škodlivý softvér takým spôsobom, ktorý oklame aj tradičné antivírusové a antispywarové produkty, väčšina škodlivých programov už používa rootkity na hlboké skrytie vo vašom počítači so systémom Windows ... a sú čoraz nebezpečnejšie! DL3 rootkit je jedným z najpokročilejších rootkitov, aké ste kedy videli vo voľnej prírode. Rootkit bol stabilný a mohol infikovať 32-bitové operačné systémy Windows; na inštaláciu infekcie do systému boli potrebné práva správcu. Ale TDL3 bol teraz aktualizovaný a je teraz schopný infikovať dokonca aj 64-bitové verzie Windows!

Čo je Rootkit

Vírus Rootkit je tajný typ škodlivého softvéru, ktorý je navrhnutý tak, aby skryl existenciu určitých procesov alebo programov vo vašom počítači pred bežnými metódami detekcie, aby umožnil tomuto alebo inému škodlivému procesu privilegovaný prístup k vášmu počítaču.

Rootkity pre Windows sa zvyčajne používajú na skrytie škodlivého softvéru, napríklad pred antivírusovým programom. Na škodlivé účely ho používajú vírusy, červy, zadné vrátka a spyware. Vírus v kombinácii s rootkitom produkuje takzvané úplné vírusy. Rootkity sú bežnejšie v oblasti spyware a v súčasnosti ich čoraz častejšie využívajú aj autori vírusov.

Teraz sú novým typom super spywaru, ktorý sa efektívne skrýva a priamo ovplyvňuje jadro operačného systému. Používajú sa na skrytie prítomnosti škodlivého objektu vo vašom počítači, ako sú trójske kone alebo keyloggery. Ak hrozba skrýva technológiu rootkit, je veľmi ťažké nájsť malware v počítači.

Rootkity samy o sebe nie sú nebezpečné. Ich jediným účelom je skryť softvér a stopy, ktoré v operačnom systéme zostali. Či už ide o bežný softvérový alebo malwarový program.

V zásade existujú tri rôzne typy rootkitov. Prvý typ, „Rootkity jadra„Zvyčajne pridávajú svoj vlastný kód do častí jadra operačného systému, zatiaľ čo druhý typ,„Rootkity v užívateľskom režime”Sú špeciálne zamerané na Windows, aby sa normálne spustili počas spustenia systému, alebo sú injektované do systému takzvaným„ kvapkadlom “. Tretí typ je MBR Rootkity alebo Bootkity.

Ak zistíte, že váš antivírusový a antispywarový softvér zlyháva, budete pravdepodobne musieť pomôcť dobrý program Anti-Rootkit. RootkitRevealer z Microsoft Sysinternals je pokročilý nástroj na detekciu rootkitov. Na jeho výstupe sú uvedené nezrovnalosti v registroch a súborovom systéme API, ktoré môžu naznačovať prítomnosť rootkitu v používateľskom režime alebo v režime jadra.

Správa o hrozbe programu Microsoft Malware Protection Center na rootkitoch

Microsoft Malware Protection Center sprístupnil na stiahnutie svoju správu o hrozbe pre rootkity. Správa skúma jeden z najzákernejších typov škodlivého softvéru, ktorý dnes ohrozuje organizácie a jednotlivcov - rootkit. Správa skúma, ako útočníci používajú rootkity a ako fungujú rootkity v postihnutých počítačoch. Tu je podstata správy, počnúc tým, čo sú Rootkity - pre začiatočníkov.

Rootkit je sada nástrojov, ktoré útočník alebo tvorca škodlivého softvéru používa na získanie kontroly nad akýmkoľvek odkrytým / nezabezpečeným systémom, ktorý je inak zvyčajne vyhradený pre správcu systému. V posledných rokoch sa výraz „ROOTKIT“ alebo „ROOTKIT FUNCTIONALITY“ nahradil výrazom MALWARE - program, ktorý má nežiaduce účinky na zdravý počítač. Hlavnou funkciou malvéru je tajné získavanie cenných údajov a iných zdrojov z počítača používateľa a ich poskytnutie útočníkovi, čím sa získa úplná kontrola nad napadnutým počítačom. Okrem toho je ťažké ich odhaliť a odstrániť a ak zostanú nepovšimnuté, môžu zostať skryté dlhšie, možno roky.

Predtým, ako sa výsledok stane osudným, je potrebné prirodzene zamaskovať a zvážiť príznaky narušeného počítača. Mali by sa prijať najmä prísnejšie bezpečnostné opatrenia na odhalenie útoku. Ale ako už bolo spomenuté, po nainštalovaní týchto rootkitov / škodlivého softvéru jeho tajné schopnosti sťažujú jeho odstránenie a jeho súčasti, ktoré by si mohol stiahnuť. Z tohto dôvodu spoločnosť Microsoft vytvorila správu o ROOTKITS.

16-stranová správa popisuje, ako útočník používa rootkity a ako tieto rootkity fungujú na postihnutých počítačoch.

Jediným účelom správy je identifikovať a podrobne preskúmať silný malware, ktorý ohrozuje mnoho organizácií, najmä používateľov počítačov. Spomína tiež niektoré z prevládajúcich skupín malvéru a prináša do svetla metódu, ktorú útočníci používajú na inštaláciu týchto rootkitov pre svoje vlastné sebecké účely na zdravých systémoch. Vo zvyšku správy nájdete odborníkov, ktorí uvádzajú niektoré odporúčania, ktoré majú používateľom pomôcť zmierniť hrozbu rootkitov.

Typy rootkitov

Existuje mnoho miest, kde sa malware môže sám nainštalovať do operačného systému. Väčšinou je teda typ rootkitu určený podľa jeho umiestnenia, kde vykonáva subverziu exekučnej cesty. Toto zahŕňa:

1. Rootkity používateľského režimu
2. Rootkity režimu jadra
3. MBR Rootkity / bootkity

Možný efekt kompromisu rootkitu v režime jadra je znázornený na nasledujúcom obrázku.

Tretí typ, upravte hlavný bootovací záznam, aby ste získali kontrolu nad systémom a spustili proces načítania čo najskoršieho bodu v bootovacej sekvencii3. Skrýva súbory, úpravy registrov, dôkazy o sieťových pripojeniach ako aj ďalšie možné indikátory, ktoré môžu naznačovať jeho prítomnosť.

Pozoruhodné skupiny malvéru, ktoré používajú funkciu Rootkit

• Win32 / Sinowal13 - Viaczložková skupina malvéru, ktorá sa pokúša ukradnúť citlivé údaje, ako sú používateľské mená a heslá pre rôzne systémy. Patrí sem pokus o krádež podrobností autentifikácie pre rôzne účty FTP, HTTP a e-mailové adresy, ako aj poverenia používané pre online bankovníctvo a ďalšie finančné transakcie.
• Win32 / Cutwail15 - Trójsky kôň, ktorý sťahuje a spúšťa ľubovoľné súbory. Stiahnuté súbory môžu byť spustené z disku alebo vložené priamo do iných procesov. Aj keď je funkčnosť stiahnutých súborov variabilná, Cutwail zvyčajne sťahuje ďalšie komponenty, ktoré odosielajú spam. Používa rootkit v režime jadra a inštaluje niekoľko ovládačov zariadení na skrytie jeho komponentov pred postihnutými používateľmi.
• Win32 / Rustock - Viaczložková rodina trójskych koní typu backdoor s povoleným rootkitom, ktorá bola pôvodne vyvinutá na pomoc pri distribúcii „spamu“ prostredníctvom botnet. Botnet je veľká sieť napadnutých počítačov ovládaná útočníkom.

Ochrana proti rootkitom

Najefektívnejšou metódou na zabránenie infikovaniu rootkitmi je zabránenie inštalácii rootkitov. Z tohto dôvodu je potrebné investovať do ochranných technológií, ako sú antivírusové produkty a produkty brány firewall. Takéto produkty by mali zaujať komplexný prístup k ochrane pomocou tradičnej detekcie založenej na signatúrach, heuristickej detekcie, dynamickej a pohotovej schopnosti podpisov a monitorovania správania.

Všetky tieto sady podpisov by sa mali aktualizovať pomocou mechanizmu automatickej aktualizácie. Antivírusové riešenia spoločnosti Microsoft zahŕňajú množstvo technológií navrhnutých špeciálne na zmiernenie rootkitov, vrátane monitorovania správania živého jadra, ktoré detekuje a hlási pokusy o úpravu jadra ovplyvneného systému, a priamej analýzy súborového systému, ktorá uľahčuje identifikáciu a odstránenie skrytých ovládačov.

Ak sa zistí, že je systém napadnutý, potom sa môže osvedčiť ďalší nástroj, ktorý vám umožní zavedenie do známeho dobrého alebo dôveryhodného prostredia, pretože môže navrhnúť vhodné nápravné opatrenia.

Za takýchto okolností,

1. Nástroj Samostatný systémový zametač (súčasť súpravy nástrojov Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Program Windows Defender Offline môže byť užitočný.

Ak chcete získať viac informácií, môžete si stiahnuť správu PDF z Microsoft Download Center.