Kas yra „Rootkit“? Kaip veikia „Rootkits“? Rootkitai paaiškino.

Nors įmanoma paslėpti kenkėjišką programą, kad apgauti net tradicinius antivirusinius / šnipinėjimo produktus, dauguma kenkėjiškų programų jau naudoja šakninius rinkinius, kad paslėptų giliai „Windows“ kompiuteryje ... ir jie tampa vis pavojingesni! „DL3“ šakninis rinkinys yra vienas pažangiausių, kada nors matytų laukinėje gamtoje. Rootkit buvo stabilus ir galėjo užkrėsti 32 bitų „Windows“ operacines sistemas; nors norint įdiegti infekciją sistemoje reikėjo administratoriaus teisių. Bet TDL3 dabar atnaujintas ir dabar gali užkrėsti net 64 bitų „Windows“ versijos!

Kas yra „Rootkit“

„Rootkit“ virusas yra slaptas kenkėjiškų programų tipas, skirtas paslėpti tam tikrų procesų ar programų egzistavimą jūsų kompiuteryje nuo įprastų aptikimo metodų, kad būtų suteikta privilegijuota prieiga prie jūsų kompiuterio ar kito kenkėjiško proceso.

„Rootkits“, skirtos „Windows“ paprastai naudojami paslėpti kenkėjišką programinę įrangą, pavyzdžiui, nuo antivirusinės programos. Kenkėjiškiems tikslams jį naudoja virusai, kirminai, užpakalinės durys ir šnipinėjimo programos. Virusas kartu su „rootkit“ sukuria vadinamuosius visiškai slaptus virusus. Šakninių programų srityje šakninės rinkmenos yra labiau paplitusios, ir dabar jas vis dažniau naudoja ir virusų autoriai.

Dabar tai naujai sukurtas „super spyware“ tipas, kuris efektyviai slepia ir tiesiogiai veikia operacinės sistemos branduolį. Jie naudojami norint paslėpti kenkėjiškų objektų, tokių kaip Trojos arkliai ar klaviatūros įrašai, buvimą jūsų kompiuteryje. Jei grėsmė naudoja paslėpti „rootkit“ technologiją, labai sunku rasti kenkėjišką programą savo kompiuteryje.

Šaknies rinkiniai savaime nėra pavojingi. Jų vienintelis tikslas yra paslėpti programinę įrangą ir operacinėje sistemoje paliktus pėdsakus. Nesvarbu, ar tai įprasta programinė įranga, ar kenkėjiškos programos.

Iš esmės yra trys skirtingi „Rootkit“ tipai. Pirmasis tipas „Branduolio šakniniai rinkiniai„Paprastai prideda savo kodą prie operacinės sistemos pagrindinės dalies, o antroji rūšis„Vartotojo režimo šakniniai rinkiniai“Yra specialiai skirti„ Windows “, kad galėtų normaliai paleisti sistemos paleidimo metu, arba į sistemą įpurškiami vadinamojo„ lašintuvo “. Trečias tipas yra MBR „Rootkit“ arba „Bootkits“.

Kai nustatote, kad jūsų antivirusinė ir šnipinėjimo programa neveikia, gali tekti pasinaudoti geras „Anti-Rootkit“ įrankis. „RootkitRealealer“ iš „Microsoft Sysinternals“ yra pažangus rootkit aptikimo įrankis. Jo išvestyje pateikiami registro ir failų sistemos API neatitikimai, kurie gali reikšti, kad yra vartotojo arba branduolio režimo rootkit.

„Microsoft“ kenkėjiškų programų apsaugos centro „Rootkit“ grėsmių ataskaita

„Microsoft“ kenkėjiškų programų apsaugos centras galėjo atsisiųsti „Rootkit“ grėsmių ataskaitą. Ataskaitoje nagrinėjamas vienas klastingiausių organizmams ir asmenims grėsmingų kenkėjiškų programų tipų - rootkit. Ataskaitoje nagrinėjama, kaip užpuolikai naudoja rootkit ir kaip rootkit veikia paveiktuose kompiuteriuose. Čia yra ataskaitos esmė, pradedant nuo to, kas yra „Rootkits“ - pradedantiesiems.

„Rootkit“ yra įrankių rinkinys, kurį užpuolikas ar kenkėjiškų programų kūrėjas naudoja, norėdamas kontroliuoti bet kurią veikiamą / neapsaugotą sistemą, kuri paprastai yra rezervuota sistemos administratoriui. Pastaraisiais metais terminas „ROOTKIT“ arba „ROOTKIT FUNCTIONALITY“ buvo pakeistas į „MALWARE“ - programą, sukurtą nepageidaujamam poveikiui sveikam kompiuteriui. Pagrindinė kenkėjiškų programų funkcija yra slapta išimti iš vartotojo kompiuterio vertingus duomenis ir kitus išteklius ir pateikti juos užpuolikui, tokiu būdu suteikiant jam visišką kontrolę pažeistame kompiuteryje. Be to, juos sunku aptikti ir pašalinti ir jie gali likti paslėpti ilgesnį laiką, galbūt metus, jei nepastebi.

Taigi natūralu, kad pažeisto kompiuterio simptomai turi būti užmaskuoti ir į juos atsižvelgti, kol rezultatas nepasiteisins. Visų pirma, norint nustatyti ataką, reikėtų imtis griežtesnių saugumo priemonių. Tačiau, kaip minėta, įdiegus šiuos šakninius paketus / kenkėjiškas programas, dėl slaptųjų funkcijų sunku pašalinti jį ir komponentus, kuriuos ji gali atsisiųsti. Dėl šios priežasties „Microsoft“ sukūrė ataskaitą apie ROOTKITS.

16 puslapių ataskaitoje aprašoma, kaip užpuolikas naudoja šakninius rinkinius ir kaip šie šakniniai rinkiniai veikia paveiktuose kompiuteriuose.

Vienintelis šios ataskaitos tikslas yra nustatyti ir atidžiai išnagrinėti stiprią kenkėjišką programą, keliančią grėsmę daugeliui organizacijų, ypač kompiuterių vartotojams. Jame taip pat paminėtos kai kurios paplitusios kenkėjiškų programų šeimos ir išryškinamas metodas, kurį užpuolikai naudoja įdiegdami šiuos šakninius paketus savanaudiškais tikslais sveikose sistemose. Likusioje ataskaitos dalyje rasite ekspertų, pateikiančių keletą rekomendacijų, kaip padėti vartotojams sušvelninti rootkitų keliamą grėsmę.

Rootkit rinkinių tipai

Yra daug vietų, kur kenkėjiškos programos gali įsidiegti į operacinę sistemą. Taigi, dažniausiai rootkit tipą lemia jo vieta, kur jis vykdo vykdymo kelią. Tai įtraukia:

1. „User Mode Rootkits“
2. Branduolio režimo šakniniai rinkiniai
3. MBR šakniniai rinkiniai / įkrovos rinkiniai

Galimas branduolio režimo „rootkit“ kompromiso poveikis parodytas žemiau esančioje ekrano kopijoje.

Trečias tipas - pakeiskite pagrindinį įkrovos įrašą, kad gautumėte sistemos kontrolę ir pradėtumėte kuo ankstesnį įkrovos sekos tašką3. Jame slepiami failai, registro pakeitimai, tinklo ryšio įrodymai ir kiti galimi rodikliai, galintys parodyti jo buvimą.

Žymios kenkėjiškų programų šeimos, naudojančios „Rootkit“ funkcionalumą

• Win32 / Sinowal13 - daugiakomponentė kenkėjiškų programų šeima, bandanti pavogti neskelbtinus duomenis, tokius kaip skirtingų sistemų vartotojo vardai ir slaptažodžiai. Tai apima bandymą pavogti įvairių FTP, HTTP ir el. Pašto abonementų autentifikavimo informaciją, taip pat prisijungimo duomenis, naudojamus internetinei bankininkystei ir kitoms finansinėms operacijoms atlikti.
• „Win32“ / „Cutwail“15 - Trojos arklys, atsisiunčiantis ir vykdantis savavališkus failus. Atsisiųstus failus galima paleisti iš disko arba įterpti tiesiai į kitus procesus. Nors atsisiųstų failų funkcionalumas yra kintamas, „Cutwail“ dažniausiai atsisiunčia kitus šlamštą siunčiančius komponentus. Jis naudoja branduolio režimo „rootkit“ ir įdiegia keletą įrenginių tvarkyklių, kad paslėptų savo komponentus nuo paveiktų vartotojų.
• „Win32“ / „Rustock“ - Daugiakomponentė „rootkit“ palaikančių „trojanų“ šeima iš pradžių buvo sukurta padėti platinti „šlamšto“ el botnet. „Botnet“ yra didelis užpuolikų valdomas pažeistų kompiuterių tinklas.

Apsauga nuo šakninių rinkinių

Užkirsti kelią šakninių rinkinių diegimui yra efektyviausias būdas išvengti rootkitų užkrėtimo. Tam būtina investuoti į tokias apsaugos technologijas kaip antivirusiniai ir užkardos produktai. Tokie produktai turėtų laikytis visapusiško požiūrio į apsaugą, taikydami tradicinį parašais pagrįstą aptikimą, euristinį aptikimą, dinamišką ir reaguojančią parašo galimybę bei elgesio stebėjimą.

Visi šie parašų rinkiniai turėtų būti nuolat atnaujinami naudojant automatinio atnaujinimo mechanizmą. „Microsoft“ antivirusiniai sprendimai apima daugybę technologijų, sukurtų specialiai rootkitams sušvelninti, įskaitant tiesioginio branduolio elgesio stebėjimą, kuris aptinka bandymus modifikuoti paveiktos sistemos branduolį ir praneša apie jį, bei tiesioginį failų sistemos analizavimą, kuris palengvina paslėptų tvarkyklių identifikavimą ir pašalinimą.

Jei nustatoma, kad sistema yra pažeista, papildomas įrankis, leidžiantis paleisti žinomą gerą ar patikimą aplinką, gali būti naudingas, nes jis gali pasiūlyti keletą tinkamų taisymo priemonių.

Esant tokioms aplinkybėms,

1. „Standalone System Sweeper“ įrankis („Microsoft“ diagnostikos ir atkūrimo įrankių rinkinio („DaRT“) dalis
2. „Windows Defender Offline“ gali būti naudinga.

Norėdami gauti daugiau informacijos, galite atsisiųsti PDF ataskaitą iš „Microsoft“ atsisiuntimo centro.