Mikä on Rootkit? Kuinka Rootkitit toimivat? Rootkitit selittivät.

Vaikka haittaohjelmat on mahdollista piilottaa tavalla, joka huijaa jopa perinteiset virustentorjunta- / vakoiluohjelmien torjuntaohjelmat, useimmat haittaohjelmat käyttävät jo rootkit-tiedostoja piiloutumaan syvälle Windows-tietokoneellesi ... ja ne ovat vaarallisempia! DL3-juuripaketti on yksi kehittyneimmistä juuripaketeista, mitä koskaan on nähty luonnossa. Rootkit oli vakaa ja voi tartuttaa 32-bittiset Windows-käyttöjärjestelmät; vaikka järjestelmänvalvojan oikeudet tarvitsivat tartunnan asentamiseksi järjestelmään. Mutta TDL3 on nyt päivitetty ja pystyy nyt tartuttamaan jopa 64-bittiset versiot Windows!

Mikä on Rootkit

Rootkit-virus on varkain tyyppinen haittaohjelma, joka on suunniteltu piilottamaan tietyt tietokoneessasi olevat prosessit tai ohjelmat tavallisilta tunnistusmenetelmiltä, ​​jotta sille tai muulle haitalliselle prosessille voidaan antaa etuoikeus käyttää tietokonetta.

Rootkitit Windowsille käytetään yleensä piilottamaan haittaohjelmia esimerkiksi virustentorjuntaohjelmalta. Virukset, matot, takaovet ja vakoiluohjelmat käyttävät sitä haitallisiin tarkoituksiin. Virus yhdistettynä rootkitiin tuottaa ns. Full stealth -viruksia. Rootkitit ovat yleisempiä vakoiluohjelmakentällä, ja myös virustekijät käyttävät niitä nyt yleisemmin.

Ne ovat nyt nouseva Super Spyware -tyyppi, joka piilottaa tehokkaasti ja vaikuttaa suoraan käyttöjärjestelmän ytimeen. Niitä käytetään piilottamaan tietokoneellasi haitalliset esineet, kuten troijalaiset tai näppäinlukijat. Jos uhka piilottaa rootkit-tekniikkaa, on erittäin vaikea löytää haittaohjelma tietokoneeltasi.

Rootkitit eivät sinänsä ole vaarallisia. Niiden ainoa tarkoitus on piilottaa ohjelmistot ja käyttöjärjestelmään jääneet jäljet. Onko kyseessä tavallinen ohjelmisto vai haittaohjelma.

Rootkit on periaatteessa kolme erilaista tyyppiä. Ensimmäinen tyyppi, “Ytimen juurikit"Lisäävät yleensä oman koodinsa käyttöjärjestelmän ytimen osiin, kun taas toinen tyyppi,"Käyttäjätilan rootkitit”On tarkoitettu erityisesti Windowsille käynnistymään normaalisti järjestelmän käynnistyksen yhteydessä tai injektoimaan järjestelmään ns.” ​​Dropper ”. Kolmas tyyppi on MBR-juuripaketit tai käynnistyspaketit.

Kun huomaat, että virustorjunta ja haittaohjelmien poisto epäonnistuu, sinun on ehkä käytettävä a hyvä Anti-Rootkit-apuohjelma. RootkitRevealer mistä Microsoft Sysinternals on kehittynyt rootkit-tunnistusapuohjelma. Sen tulosteessa on luettelo rekisteri- ja tiedostojärjestelmän sovellusliittymän ristiriidoista, jotka saattavat viitata käyttäjätilan tai ytintilan rootkitin esiintymiseen.

Microsoftin haittaohjelmakeskuksen uhkaraportti rootkitistä

Microsoftin haittaohjelmien torjuntakeskus on ladannut Rootkit-paketteja koskevan uhkaraportin ladattavaksi. Raportissa tarkastellaan yhtä salakavalampia haittaohjelmia uhkaavia organisaatioita ja yksilöitä nykyään - rootkit. Raportissa tarkastellaan, miten hyökkääjät käyttävät rootkit-paketteja ja miten rootkit-ohjelmat toimivat kyseisissä tietokoneissa. Tässä on yhteenveto raportista, alkaen Rootkit-paketeista - aloittelijoille.

Rootkit on joukko työkaluja, joita hyökkääjä tai haittaohjelmien luoja käyttää hallitakseen kaikkia altistettuja / suojaamattomia järjestelmiä, jotka muuten varataan yleensä järjestelmänvalvojalle. Viime vuosina termi 'ROOTKIT' tai 'ROOTKIT FUNCTIONALITY' on korvattu MALWARE-ohjelmalla, joka on suunniteltu tuottamaan haitallisia vaikutuksia terveelliseen tietokoneeseen. Haittaohjelman tärkein tehtävä on poistaa arvokkaita tietoja ja muita resursseja käyttäjän tietokoneesta salaa ja toimittaa ne hyökkääjälle, mikä antaa hänelle täydellisen hallinnan vaarantuneesta tietokoneesta. Lisäksi niitä on vaikea havaita ja poistaa ja ne voivat jäädä piiloon pitkiä aikoja, mahdollisesti vuosia, jos ne jäävät huomaamatta.

Joten luonnollisesti vaarantuneen tietokoneen oireet on peitettävä ja otettava huomioon ennen kuin tulos osoittautuu kohtalokkaaksi. Etenkin hyökkäyksen paljastamiseksi olisi toteutettava tiukempia turvatoimenpiteitä. Mutta kuten mainittiin, kun nämä rootkit / haittaohjelmat on asennettu, sen varkainominaisuudet vaikeuttavat sen ja sen mahdollisesti lataamien komponenttien poistamista. Tästä syystä Microsoft on luonut ROOTKITS-raportin.

16-sivuinen raportti kuvaa, kuinka hyökkääjä käyttää rootkit-paketteja ja miten nämä rootkit-ohjelmat toimivat kyseisissä tietokoneissa.

Raportin ainoa tarkoitus on tunnistaa ja tutkia tarkasti monia organisaatioita, erityisesti tietokoneen käyttäjiä, uhkaavia haittaohjelmia. Siinä mainitaan myös joitain yleisiä haittaohjelmaperheitä ja tuodaan esiin menetelmä, jonka hyökkääjät käyttävät asentamaan nämä juuripaketit omiin itsekkäisiin tarkoituksiinsa terveellisiin järjestelmiin. Raportin loppuosasta löydät asiantuntijoita, jotka antavat joitain suosituksia käyttäjien auttamiseksi lieventämään rootkit-ohjelmien aiheuttamaa uhkaa.

Rootkit-pakettien tyypit

On monia paikkoja, joissa haittaohjelmat voivat asentaa itsensä käyttöjärjestelmään. Joten pääosin rootkit-tyyppi määräytyy sen sijainnin perusteella, jossa se suorittaa toteutuspolun kumoamisen. Tämä sisältää:

1. Käyttäjätilan juuripaketit
2. Ytintilan juuripaketit
3. MBR Rootkit / bootkit

Ytintilan rootkit-kompromissin mahdollista vaikutusta kuvataan alla olevalla näyttökuvalla.

Kolmas tyyppi, muokkaa pääkäynnistystietuetta saadaksesi järjestelmän hallinnan ja aloittaaksesi prosessin mahdollisimman varhaisen alkamisjakson3. Se piilottaa tiedostot, rekisterimuutokset, todisteet verkkoyhteyksistä sekä muut mahdolliset indikaattorit, jotka voivat osoittaa sen läsnäolon.

Huomattavat haittaohjelmaperheet, jotka käyttävät Rootkit-toiminnallisuutta

• Win32 / Sinowal13 - Monikomponenttinen haittaohjelmaperhe, joka yrittää varastaa arkaluontoisia tietoja, kuten käyttäjänimiä ja salasanoja eri järjestelmille. Tähän sisältyy yritys yrittää varastaa todennustietoja useille FTP-, HTTP- ja sähköpostitileille sekä verkkopankkiin ja muihin rahoitustapahtumiin käytettävät tunnistetiedot.
• Win32 / Cutwail15 - Troijalainen, joka lataa ja suorittaa mielivaltaisia ​​tiedostoja. Ladatut tiedostot voidaan suorittaa levyltä tai injektoida suoraan muihin prosesseihin. Vaikka ladattujen tiedostojen toiminnallisuus vaihtelee, Cutwail lataa yleensä muita roskapostia lähettäviä komponentteja. Se käyttää kernel-mode rootkit -asennusta ja asentaa useita laiteohjaimia piilottaakseen komponenttinsa kyseisiltä käyttäjiltä.
• Win32 / Rustock - Monikomponenttinen rootkit-yhteensopiva takaoven troijalainen perhe kehitettiin alun perin auttamaan roskapostin jakamisessa botnet. Botnetti on suuri hyökkääjän hallitsema verkko vaarantuneista tietokoneista.

Suojaus juuripaketteja vastaan

Rootkit-ohjelmien asennuksen estäminen on tehokkain tapa välttää rootkit-tartunnat. Tätä varten on investoitava suojaustekniikoihin, kuten virustorjunta- ja palomuurituotteisiin. Tällaisten tuotteiden tulisi noudattaa kattavaa lähestymistapaa suojaukseen käyttämällä perinteistä allekirjoitukseen perustuvaa tunnistusta, heuristista tunnistusta, dynaamista ja reagoivaa allekirjoituskykyä ja käyttäytymisen seurantaa.

Kaikki nämä allekirjoitussarjat tulisi pitää ajan tasalla käyttämällä automaattista päivitysmekanismia. Microsoftin virustentorjuntaratkaisut sisältävät useita tekniikoita, jotka on suunniteltu erityisesti rootkit-ohjelmien lieventämiseksi, mukaan lukien live-ytimen käyttäytymisen seuranta, joka havaitsee ja raportoi yrityksistä muuttaa järjestelmän ydintä, ja suora tiedostojärjestelmän jäsentäminen, joka helpottaa piilotettujen ohjainten tunnistamista ja poistamista.

Jos järjestelmä havaitaan vaarantuneen, lisätyökalu, jonka avulla voit käynnistää tunnetun hyvän tai luotettavan ympäristön, voi osoittautua hyödylliseksi, koska se voi ehdottaa joitain asianmukaisia ​​korjaustoimenpiteitä.

Tällaisissa olosuhteissa,

1. Standalone System Sweeper -työkalu (osa Microsoftin diagnostiikka- ja palautustyökalusarjaa (DaRT)
2. Windows Defender Offline voi olla hyödyllinen.

Lisätietoja voit ladata PDF-raportin Microsoft Download Centeristä.