Program Microsoft Malware Protection Center zpřístupnil ke stažení zprávu o hrozbách na Rootkitech. Zpráva zkoumá jeden z více zákeřných typů škodlivého softwaru ohrožujících organizace a jednotlivce dnes - rootkit. Zpráva zkoumá, jak útočníci používají rootkity a jak rootkity fungují na postižených počítačích. Zde je podstata zprávy, počínaje tím, co jsou Rootkity - pro začátečníky.

Rootkit je sada nástrojů, které útočník nebo tvůrce malwaru používají k získání kontroly nad jakýmkoli vystaveným nebo nezabezpečeným systémem, který jinak je zpravidla vyhrazen správci systému. V posledních letech byl termín "ROOTKIT" nebo "ROOTKIT FUNCTIONALITY" nahrazen programem MALWARE - program, který má mít nežádoucí účinky na zdravý počítač. Hlavním úkolem malwaru je tajné odebírání cenných dat a dalších zdrojů z počítače uživatele tajně a poskytnutí útočníkovi, čímž mu poskytuje úplnou kontrolu nad kompromitovaným počítačem. Navíc je obtížné je odhalit a odstranit a mohou zůstat skryty po delší dobu, možná roky, pokud nebudou zapomenuty.

Takže přirozeně musí být symptomy kompromitovaného počítače maskovány a vzaty v úvahu dříve, než se výsledek ukáže jako smrtelný. Zvláště by měla být přijata přísnější bezpečnostní opatření k odhalení útoku. Jak již bylo zmíněno, jakmile jsou tyto rootkity / malware nainstalovány, jeho schopnosti skrývat znesnadňují odstranění a součásti, které by mohly stáhnout. Z tohoto důvodu společnost Microsoft vytvořila zprávu o ROOTKITS.

Zpráva o hrozbě aplikace Microsoft Malware Protection Threat on Rootkits

Zpráva o 16 stránkách popisuje, jak útočník používá rootkity a jak tyto rootkity fungují v postižených počítačích.

Jediným účelem zprávy je identifikovat a důkladně prověřit silný malware, který ohrožuje mnoho organizací, zejména uživatelů počítačů. To také zmíní některé z převládajících malware rodiny a přináší do světla metodu, kterou útočníci používají k instalaci těchto rootkitů pro své vlastní sobecké účely na zdravých systémech. Ve zbývající části zprávy najdete odborníky, kteří učinili několik doporučení, aby uživatelům pomohli zmírnit hrozbu z rootkitů.

Druhy rootkitů

Existuje mnoho míst, kde se malware může nainstalovat do operačního systému. Takže většina typu rootkitu je určena jeho polohou, kde provádí subverzi způsobu provádění. To zahrnuje:

  1. Rootkity uživatelského režimu
  2. Kernelový režim Rootkity
  3. MBR Rootkity / bootkity

Možný efekt kompromisu v režimu rootkit v jádře je zobrazen níže.

Třetí typ upravte hlavní spouštěcí záznam, abyste získali kontrolu nad systémem a spustili proces načítání co nejrychlejšího bodu v zaváděcí sekvenci3. Skrývá soubory, změny registru, důkazy síťových připojení a další možné indikátory, které mohou naznačovat jeho přítomnost.

Pozoruhodné rodiny Malware, které používají funkci Rootkit

Win32 / Sinowal13 - vícesložková skupina malwaru, která se pokouší ukrást citlivá data, například uživatelská jména a hesla pro různé systémy. Patří sem pokus o ukrást podrobnosti o ověření pro různé FTP, HTTP a e-mailové účty, stejně jako pověření použitá pro online bankovnictví a jiné finanční transakce.

Win32 / Cutwail15 - Trojan, který stahuje a spouští libovolné soubory. Stažené soubory mohou být spuštěny z disku nebo přímo do jiných procesů. Zatímco funkčnost stažených souborů je proměnlivá, Cutwail obvykle stáhne další komponenty, které posílají spam.

Používá rootkit v režimu jádra a nainstaluje několik ovladačů zařízení, aby skryli své součásti od dotčených uživatelů.

Win32 / Rustock - Vícekomponentní rodina trojských koní typu backdoor s podporou rootkitu původně vyvinula, aby pomohla šíření e-mailu "spam" prostřednictvím botnet. Botnet je velká síť ohrožených počítačů řízená útočníky.

Ochrana proti rootkitům

Zabránění instalace rootkitů je nejúčinnější metodou, jak zabránit infekci pomocí rootkitů. Za tímto účelem je třeba investovat do ochranných technologií, jako jsou například antivirové a firewallové produkty. Takové produkty by měly využívat komplexní přístup k ochraně pomocí tradiční detekce založené na podpisu, heuristické detekce, dynamické a citlivé schopnosti podpisu a sledování chování.

Všechny tyto podpisové sady by měly být aktualizovány pomocí mechanizmu automatické aktualizace. Antivirové řešení společnosti Microsoft obsahují řadu technologií navržených speciálně pro zmírnění rootkitů, včetně monitorování chování v režimu jádra, které detekuje a hlásí pokusy o úpravu jádra dotčeného systému a přímý analyzování souborů, což usnadňuje identifikaci a odstranění skrytých ovladačů.

Pokud je systém považován za ohrožený, pak může být užitečný další nástroj, který vám umožní zavést do známého dobrého nebo důvěryhodného prostředí, neboť může naznačovat některá vhodná opatření k nápravě.

Za takových okolností,

  1. Nástroj samostatného zametacího systému (součást nástroje Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Windows Defender Offline může být užitečný.

Další informace získáte v přehledu souborů PDF ve službě Stažení softwaru.

Související příspěvky:

  • Seznam zdarma Rootkit Remover software pro Windows
  • Stáhněte si McAfee Rootkit Remover pro Windows
  • Bitdefender Rootkit Remover for Windows je uvolněn
  • Jak zabezpečit proces zavádění systému Windows 10
  • Co je Rootkit? Jak fungují Rootkits? Rootkity vysvětlil.

Nejlepší Tipy:
Komentář: