Центърът за защита от злонамерен софтуер на Microsoft е предоставил за изтегляне своя Доклад за заплахата за Rootkits. В доклада се разглежда един от най-коварните видове зловреден софтуер, заплашващ организации и хора днес - rootkit. Докладът изследва начина, по който атакуващите използват rootkits и как функционират rootkits на засегнатите компютри. Тук е същината на доклада, като се започне с това, което са Rootkits - за начинаещия.
Rootkit е набор от инструменти, които атакуващият или създателят на злонамерен софтуер използва, за да придобие контрол върху всяка изложена / необезпечена система, която иначе обикновено е запазена за системен администратор. През последните години терминът "ROOTKIT" или "ROOTKIT FUNCTIONALITY" е заменен от MALWARE - програма, предназначена да има нежелани ефекти върху здравословен компютър. Основната функция на злонамерения софтуер е да изтегли ценно данни и други ресурси от компютъра на потребителя тайно и да го предостави на атакуващия, като по този начин му даде пълен контрол над компрометирания компютър. Освен това те са трудни за откриване и отстраняване и могат да останат скрити за продължителни периоди, вероятно години, ако останат незабелязани.
Така естествено, симптомите на компрометирания компютър трябва да бъдат маскирани и взети под внимание, преди резултатът да се окаже фатален. По-специално, трябва да се предприемат по-строги мерки за сигурност, за да се разкрие атаката. Но, както беше споменато, след като тези rootkits / злонамерен софтуер са инсталирани, неговият стелт способности затрудняват премахването на него и неговите компоненти, които той може да изтегли. Поради тази причина, Microsoft е създал отчет за ROOTKITS.
Доклад за заплаха за центъра за защита от злонамерен софтуер на Microsoft за rootkits
Докладът от 16 страници очертава начина, по който атакуващият използва rootkits и как тези rootkits функционират на засегнатите компютри.
Видове на rootkits
Има много места, където злонамереният софтуер може да се инсталира в операционна система. Така че, най-вече типът на rootkit се определя от местоположението му, където той извършва подривна реализация на пътя на изпълнение. Това включва:
- Потребителски режим Rootkits
- Режим на ядрото Rootkits
- MBR Rootkits / bootkits
Възможният ефект от компромиса на rootkit в режим на ядро е илюстриран чрез екран-изстрел по-долу.
Забележителни семейства злонамерени програми, които използват функционалността на Rootkit
Win32 / Sinowal13 - Многокомпонентна фамилия злонамерен софтуер, която се опитва да открадне чувствителни данни като потребителски имена и пароли за различни системи. Това включва опит за открадване на подробности за удостоверяване за различни FTP, HTTP и имейл акаунти, както и акредитиви, използвани за онлайн банкиране и други финансови транзакции.
Win32 / Cutwail15 - Троянски файл, който изтегля и изпълнява произволни файлове. Изтеглените файлове могат да се изпълняват от диск или да се вкарват директно в други процеси. Докато функционалността на изтеглените файлове е променлива, Cutwail обикновено изтегля други компоненти, които изпращат спам.
Той използва rootkit в ядрото и инсталира няколко драйвера за устройства, за да скрие компонентите си от засегнатите потребители.
Win32 / Rustock - Многокомпонентна фамилия от троянски коне, защитени с rootkit, първоначално разработени, за да подпомогнат разпространението на "спам" имейл чрез ботнет, Ботнет е голяма мрежа от компрометирани компютри, управлявана от хакери.
Защита срещу руткитове
Предотвратяването на инсталирането на rootkits е най-ефективният метод за избягване на инфекция от rootkits. За целта е необходимо да се инвестират в защитни технологии като антивирусни и защитни стени. Такива продукти трябва да възприемат всеобхватен подход към защитата, като използват традиционно откриване, евристично откриване, динамичен и отзивчив способ за подпис и наблюдение на поведението.
Всички тези подписки трябва да се актуализират, като се използва автоматизиран механизъм за актуализиране. Microsoft антивирусни решения включват редица технологии, предназначени специално за смекчаване на руткитове, включително мониторинг на живо ядрото поведение, която открива и доклади за опитите за намаляване на ядрото засегнатата система, както и директен файлова система разбор, който улеснява установяването и отстраняването на скрити водачи.
Ако системата бъде намерена компрометирана, тогава допълнителен инструмент, който ви позволява да заредите на известна добра или надеждна среда, може да се окаже полезен, тъй като може да предложи някои подходящи мерки за отстраняване.
При такива обстоятелства,
- Инструментът Самостоятелен системен метач (част от Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Офлайн може да е полезен.
За повече информация можете да изтеглите PDF файла от Центъра за изтегляне на Microsoft.
Подобни публикации:
- Списък на безплатен софтуер Rootkit Remover за Windows
- Изтегляне на McAfee Rootkit Remover за Windows
- BitDefender Rootkit Remover за Windows пуснат
- Как да защитите процеса на стартиране на Windows 10
- Какво е Rootkit? Как работят Rootkits? Обясни коренът.
