Co je Rootkit? Jak fungují rootkity? Rootkity vysvětleny.

I když je možné skrýt malware způsobem, který ošálí i tradiční antivirové / antispywarové produkty, většina malwarových programů již používá rootkity ke skrytí v počítači se systémem Windows ... a jsou stále nebezpečnější! DL3 rootkit je jedním z nejpokročilejších rootkitů, jaké kdy byly ve volné přírodě pozorovány. Rootkit byl stabilní a mohl infikovat 32bitové operační systémy Windows; i když k instalaci infekce do systému byla nutná práva správce. TDL3 byl ale nyní aktualizován a je nyní schopen infikovat dokonce i 64bitové verze Windows!

Co je Rootkit

Virus Rootkit je tajný typ malwaru, který je navržen tak, aby skryl existenci určitých procesů nebo programů ve vašem počítači před běžnými detekčními metodami, aby mu nebo jinému škodlivému procesu umožnil privilegovaný přístup k vašemu počítači.

Rootkity pro Windows se obvykle používají ke skrytí škodlivého softwaru, například před antivirovým programem. Používá se ke škodlivým účelům viry, červy, zadními vrátky a spywarem. Virus v kombinaci s rootkitem produkuje takzvané plné tajné viry. Rootkity jsou běžnější v oblasti spywaru a nyní je také častěji používají autoři virů.

Nyní jsou nově se objevujícím typem super spywaru, který se účinně skrývá a přímo ovlivňuje jádro operačního systému. Používají se ke skrytí přítomnosti škodlivého objektu, jako jsou trojské koně nebo keyloggery ve vašem počítači. Pokud hrozba skrývá technologii rootkit, je velmi těžké najít malware v počítači.

Rootkity samy o sobě nejsou nebezpečné. Jejich jediným účelem je skrýt software a stopy zanechané v operačním systému. Ať už se jedná o normální softwarové nebo malwarové programy.

V zásadě existují tři různé typy rootkitu. První typ, „Rootkity jádra„Obvykle přidávají svůj vlastní kód do částí jádra operačního systému, zatímco druhý druh,„Rootkity v uživatelském režimu„Jsou speciálně zaměřeny na Windows, aby se normálně spouštěly během spouštění systému, nebo jsou do systému injektovány tzv.„ Kapátkem “. Třetí typ je MBR Rootkity nebo Bootkity.

Pokud zjistíte, že vaše antivirové a antispywarové programy selhávají, budete možná muset pomoci dobrý Anti-Rootkit Utility. RootkitRevealer z Microsoft Sysinternals je pokročilý nástroj pro detekci rootkitů. Jeho výstup uvádí nesrovnalosti registru a souborového systému API, které mohou naznačovat přítomnost rootkitu v uživatelském režimu nebo v režimu jádra.

Zpráva o ohrožení Microsoft Malware Protection Center na rootkitech

Microsoft Malware Protection Center zpřístupnil ke stažení svoji Zprávu o ohrožení na rootkitech. Zpráva zkoumá jeden ze zákeřnějších typů malwaru, který dnes ohrožuje organizace i jednotlivce - rootkit. Zpráva zkoumá, jak útočníci používají rootkity a jak fungují rootkity v postižených počítačích. Zde je podstata zprávy, počínaje Rootkity - pro začátečníky.

Rootkit je sada nástrojů, které útočník nebo tvůrce malwaru používá k získání kontroly nad jakýmkoli vystaveným / nezajištěným systémem, který je jinak obvykle vyhrazen pro správce systému. V posledních letech byl termín „ROOTKIT“ nebo „ROOTKIT FUNCTIONALITY“ nahrazen MALWARE - programem, který má nežádoucí účinky na zdravý počítač. Hlavní funkcí malwaru je tajně stahovat cenná data a další zdroje z počítače uživatele a poskytovat je útočníkovi, čímž mu poskytuje úplnou kontrolu nad napadeným počítačem. Navíc je obtížné je odhalit a odstranit a mohou zůstat skryté po delší dobu, možná roky, pokud zůstanou bez povšimnutí.

Je tedy přirozené, že je třeba zamaskovat příznaky napadeného počítače a vzít je v úvahu, než se výsledek ukáže být fatálním. K odhalení útoku by měla být přijata zejména přísnější bezpečnostní opatření. Ale jak již bylo zmíněno, jakmile jsou tyto rootkity / malware nainstalovány, jeho tajné funkce znesnadňují jeho odstranění a jeho součástí, které by si mohl stáhnout. Z tohoto důvodu společnost Microsoft vytvořila zprávu o ROOTKITS.

Zpráva o 16 stranách popisuje, jak útočník používá rootkity a jak tyto rootkity fungují v postižených počítačích.

Jediným účelem zprávy je identifikovat a pečlivě prozkoumat silný malware ohrožující mnoho organizací, zejména uživatelů počítačů. Zmiňuje také některé z převládajících rodin malwaru a přináší do světla metodu, kterou útočníci používají k instalaci těchto rootkitů pro své sobecké účely na zdravé systémy. Ve zbývající části zprávy najdete odborníky, kteří dělají některá doporučení, která uživatelům pomohou zmírnit hrozbu rootkitů.

Typy rootkitů

Existuje mnoho míst, kde se malware může sám nainstalovat do operačního systému. Takže většinou je typ rootkitu určen jeho umístěním, kde provádí subverzi exekuční cesty. To zahrnuje:

1. Rootkity uživatelského režimu
2. Rootkity režimu jádra
3. MBR Rootkity / bootkity

Možný efekt kompromisu rootkitu v režimu jádra je ilustrován na obrazovce níže.

Třetí typ, upravte hlavní spouštěcí záznam, abyste získali kontrolu nad systémem a zahájili proces načítání nejbližšího možného bodu v zaváděcí sekvenci3. Skrývá soubory, úpravy registru, důkazy o síťových připojeních a další možné indikátory, které mohou naznačovat jeho přítomnost.

Pozoruhodné rodiny malwaru, které používají funkce Rootkit

• Win32 / Sinowal13 - Vícekomponentní rodina malwaru, která se snaží ukrást citlivá data, jako jsou uživatelská jména a hesla pro různé systémy. To zahrnuje pokus o krádež podrobností ověřování pro různé FTP, HTTP a e-mailové účty, jakož i pověření použitá pro online bankovnictví a další finanční transakce.
• Win32 / Cutwail15 - Trojský kůň, který stahuje a spouští libovolné soubory. Stažené soubory mohou být spuštěny z disku nebo vloženy přímo do jiných procesů. Zatímco funkčnost stažených souborů je variabilní, Cutwail obvykle stahuje další komponenty, které odesílají spam. Používá rootkit v režimu jádra a nainstaluje několik ovladačů zařízení, aby skryl své součásti před ovlivněnými uživateli.
• Win32 / Rustock - Vícekomponentní rodina trojských koní backdoor s povoleným rootkitem byla původně vyvinuta na pomoc při distribuci „nevyžádané pošty“ prostřednictvím botnet. Botnet je velká síť napadených počítačů ovládaná útočníky.

Ochrana proti rootkitům

Nejúčinnějším způsobem, jak se vyhnout infekci rootkity, je prevence instalace rootkitů. Za tímto účelem je nutné investovat do ochranných technologií, jako jsou antivirové produkty a produkty brány firewall. Takové produkty by měly zaujmout komplexní přístup k ochraně pomocí tradiční detekce založené na signaturách, heuristické detekce, dynamické a responzivní schopnosti podpisů a monitorování chování.

Všechny tyto sady podpisů by měly být aktualizovány pomocí automatizovaného aktualizačního mechanismu. Antivirová řešení společnosti Microsoft zahrnují řadu technologií navržených speciálně pro zmírnění rootkitů, včetně monitorování chování živého jádra, které detekuje a hlásí pokusy o úpravu jádra postiženého systému, a přímé analýzy systému souborů, která usnadňuje identifikaci a odstranění skrytých ovladačů.

Pokud je systém shledán ohroženým, může se ukázat užitečným další nástroj, který vám umožní zavést do známého dobrého nebo důvěryhodného prostředí, protože může navrhnout některá vhodná nápravná opatření.

Za takových okolností,

1. Nástroj Samostatný systémový zametač (součást sady Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline může být užitečný.

Další informace si můžete stáhnout ve formátu PDF z Microsoft Download Center.