Zpráva o hrozbě Microsoft Malware Protection Center na Rootkite

Microsoft Malware Protection Center zpřístupnil ke stažení jeho zprávu o hrozbách na rootkitů. Zpráva zkoumá jeden z více zákeřných typů škodlivého softwaru ohrožujících organizace a jednotlivce dnes - rootkit. Zpráva zkoumá, jak útočníci používají rootkity a jak rootkity fungují na postižených počítačích. Zde je shrnutí zprávy, počínaje Rootkitem - pro začátečníky.

Rootkit je sada nástrojů, které útočník nebo malware tvůrce používá k získání kontroly nad jakýmkoli vystaveným / nezabezpečeným systémem, který jinak obvykle rezervováno pro správce systému. V posledních letech byl termín "ROOTKIT" nebo "ROOTKIT FUNCTIONALITY" nahrazen programem MALWARE - program, který má mít nežádoucí účinky na zdravý počítač. Hlavním úkolem malwaru je tajné odebírání cenných dat a dalších zdrojů z počítače uživatele tajně a poskytnutí útočníkovi, čímž mu poskytuje úplnou kontrolu nad kompromitovaným počítačem. Kromě toho je obtížné je odhalovat a odstraňovat a mohou zůstat skryty po delší dobu, možná roky, kdyby nebyly zapomenuty.

Takže přirozeně musí být symptomy kompromitovaného počítače maskovány a vzaty v úvahu dříve, než se výsledek ukáže jako smrtelný. Zvláště by měla být přijata přísnější bezpečnostní opatření k odhalení útoku. Jak již bylo zmíněno, jakmile jsou tyto rootkity / malware nainstalovány, jeho schopnosti skrývat znesnadňují odstranění a součásti, které by mohly stáhnout. Z tohoto důvodu společnost Microsoft vytvořila zprávu o rootech.

Zpráva o hrozbě Microsoft Malware Protection Center na Rootkitech

Zpráva o 16 stránkách popisuje, jak útočník používá rootkity a jak tyto rootkity fungují v postižených počítačích. cílem zprávy je identifikovat a důkladně prověřit silný malware, který ohrožuje mnoho organizací, zejména uživatelů počítačů. To také zmíní některé z převládajících malware rodiny a přináší do světla metodu, kterou útočníci používají k instalaci těchto rootkitů pro své vlastní sobecké účely na zdravých systémech. Ve zbytku zprávy najdete odborníky, kteří učinili několik doporučení, aby uživatelům pomohli zmírnit hrozbu z rootkitů.

Typy rootkitů

Existuje mnoho míst, kde se malware může nainstalovat do operačního systému. Takže většina typu rootkitu je určena jeho polohou, kde provádí subverzi způsobu provádění. To zahrnuje:

Rootkity uživatelského režimu

1. Rootkity režimu jádra
2. MBR Rootkits / bootkits
3. Možný efekt kompromisu jádra režimu rootkit je zobrazen níže.

upravte hlavní spouštěcí záznam, abyste získali kontrolu nad systémem a spustili proces načítání co nejrychlejšího bodu v zaváděcí sekvenci3. Skrývá soubory, změny registru, důkazy síťových připojení a další možné indikátory, které mohou naznačovat jeho přítomnost.

Pozoruhodné rodiny malwaru, které používají funkci Rootkit

Win32 / Sinowal

13 - malware, který se pokouší ukrást citlivé údaje, jako jsou uživatelská jména a hesla pro různé systémy. Jedná se o pokus o ukrácení podrobností o autentizaci pro různé FTP, HTTP a e-mailové účty, stejně jako pověření použitá pro online bankovnictví a jiné finanční transakce. Win32 / Cutwail

15 - Trojan, který stahuje a provádí libovolné soubory. Stažené soubory mohou být spuštěny z disku nebo přímo do jiných procesů. Zatímco funkčnost stažených souborů je proměnná, Cutwail obvykle stáhne další součásti, které posílají spam. Používá rootkit v režimu jádra a nainstaluje několik ovladačů zařízení, aby skryli své součásti od dotčených uživatelů.

Win32 / Rustock

- Vícekomponentní rodina trojských koní typu backdoor s povolenou funkcí rootkit původně vyvinutá na pomoc šíření e-mailu "spamem" prostřednictvím botnetu. Botnet je velká síť napadnutých počítačů, která kontroluje útočníci. Ochrana proti rootkitům

Zabránění instalování rootkitů je nejúčinnější metodou, jak zabránit infekci rootkity. Za tímto účelem je třeba investovat do ochranných technologií, jako jsou například antivirové a firewallové produkty. Takové produkty by měly využívat komplexní přístup k ochraně pomocí tradiční detekce založené na podpisu, heuristické detekce, dynamické a citlivé schopnosti podpisu a sledování chování.

Všechny tyto podpisové soubory by měly být aktualizovány pomocí mechanizmu automatické aktualizace. Řešení antivirové technologie společnosti Microsoft zahrnují řadu technologií navržených speciálně pro zmírnění rootkitů, včetně sledování chování v režimu živého jádra, které detekuje a hlásí pokusy o úpravu jádra dotčeného systému a přímou analýzu systému souborů, která usnadňuje identifikaci a odstranění skrytých ovladačů.

Pokud je systém považován za ohrožený, může se ukázat užitečný další nástroj, který umožňuje zavádění do známého dobrého nebo důvěryhodného prostředí, neboť může navrhnout vhodné nápravné opatření.

Za těchto okolností

Nástroj samostatného zametacího systému může být užitečná součást sady nástrojů Microsoft Diagnostics and Recovery Toolkit (DaRT)

1. Windows Defender Offline.
2. Další informace získáte ke stažení ve formátu PDF ve službě Stažení softwaru.