Microsoft ļaunprātīgas programmatūras aizsardzības centrs ir lejupielādējis savu draudu pārskatu par rootkits. Ziņojumā tiek apskatīts viens no vairāk apdullinošiem ļaundabīgo programmu veidiem apdraudošajām organizācijām un privātpersonām šodien - rootkit. Ziņojumā tiek apskatīts, kā uzbrucēji izmanto rootkitus un kā rootkit darbojas ietekmētajos datoros. Šeit ir ziņojuma būtība, sākot ar to, kas ir Rootkits - iesācējiem.
Rootkit ir rīku kopums, ko uzbrucējs vai ļaunprātīgas programmatūras veidotājs izmanto, lai iegūtu kontroli pār jebkādu pakļautu / nenodrošinātu sistēmu, kas citādi parasti tiek rezervēta sistēmas administratoram. Pēdējos gados termins "ROOTKIT" vai "ROOTKIT FUNCTIONALITY" ir aizstāts ar MALWARE - programma, kas paredzēta nevēlamām sekām uz veselīgu datoru. Ļaunprātīgas programmatūras galvenā funkcija ir slepeni izņemt vērtīgus datus un citus resursus no lietotāja datora un nodot to uzbrucējam, tādējādi dodot viņam pilnīgu kontroli pār apdraudēto datoru. Turklāt tās ir grūti atklāt un noņemt un ilgstoši, iespējams, gadus, ja tās nav pamanījušas, tās var paslēpties.
Tāpēc, protams, apdraudētā datora simptomi ir jānoslēpj un jāņem vērā, pirms iznākums ir letāls. Jo īpaši jāuzsāk stingrāki drošības pasākumi, lai atklātu uzbrukumu. Bet, kā jau minēts, tiklīdz šie rootkiti / ļaunprātīgā programmatūra ir instalēti, tās maskēšanās iespējas apgrūtina tā un tās komponentu, ko tā var lejupielādēt, noņemt. Šī iemesla dēļ Microsoft ir izveidojusi pārskatu par ROOTKITS.
Microsoft ļaunprātīgas programmatūras aizsardzības centra draudu pārskats par rootkitēm
16 lapu pārskats parāda, kā uzbrucējs izmanto rootkitus un kā šie rootkiti darbojas ietekmētajos datoros.
Rootkitu veidi
Ir daudz vietas, kur ļaundabīga programmatūra var instalēt operētājsistēmu. Tātad, lielākoties rootkita veidu nosaka tā atrašanās vieta, kur tā izpilda izpildes ceļu sagrozīšanu. Tas iekļauj:
- Lietotāja režīms Rootkits
- Kodola režīma rootkits
- MBR Rootkits / bootkits
Kodola režīma rootkit kompromisa iespējamais efekts ir attēlots tālāk sniegtajā ekrānuzņēmumā.
Izcelsmes ļaundabīgo programmu ģimenes, kas izmanto Rootkit funkcionalitāti
Win32 / Sinowal13 - Daudzkomponentu ļaunprogrammatūru grupa, kas mēģina nozagt sensitīvus datus, piemēram, dažādu sistēmu lietotājvārdus un paroles. Tas ietver mēģinājumu nozagt vairāku FTP, HTTP un e-pasta kontu autentifikācijas datus, kā arī akreditācijas datus, kas tiek izmantoti tiešsaistes banku un citu finanšu darījumu veikšanai.
Win32 / Cutwail15 - Trojas zirgs, kas lejupielādē un izpilda patvaļīgus failus. Lejupielādētie faili var tikt izpildīti no diska vai tieši ievadīti citos procesos. Lai gan lejupielādēto failu funkcionalitāte ir mainīga, Cutwail parasti lejupielādē citas surogātpasta sūtīšanas sastāvdaļas.
Tā izmanto kernel režīmu rootkit un instalē vairākus ierīces draiverus, lai paslēptu tā komponentus no ietekmētajiem lietotājiem.
Win32 / Rustock - daudzkomponentu ģenētika ar rootkitu iespējotu backdoor trojans sākotnēji izstrādāta, lai palīdzētu izplatīt "surogātpasts" e-pastu, izmantojot botnet. Botets ir liels uzbrucēju kontrolēts tīkls ar apdraudētajiem datoriem.
Aizsardzība pret rootkit
Novērstot rootkitu uzstādīšanu, ir visefektīvākā metode, lai izvairītos no inficēšanās ar rootkitiem. Šim nolūkam ir jāiegulda aizsardzības tehnoloģijās, piemēram, pretvīrusu un ugunsmūra izstrādājumos. Šādiem produktiem būtu jāpiemēro visaptveroša pieeja aizsardzībai, izmantojot parasto parakstu atklāšanu, heiristikas noteikšanu, dinamisku un atsaucīgu parakstu spēju un uzvedības uzraudzību.
Visi šie parakstu komplekti ir jāatjaunina, izmantojot automātisku atjaunināšanas mehānismu. Microsoft antivīrusu risinājumi ietver vairākas tehnoloģijas, kas īpaši paredzētas rootkitu mazināšanai, ieskaitot dzīvu kodola uzvedības uzraudzību, kas atklāj un ziņo par mēģinājumiem modificēt ietekmētās sistēmas kodolu, un tiešu failu sistēmu parsēšanu, kas atvieglo slēpto draiveru identificēšanu un noņemšanu.
Ja sistēma tiek atrasta kompromitēta, tad var būt noderīgs papildu rīks, kas ļauj boot uz zināmu labu vai uzticamu vidi, jo tas var ieteikt dažus piemērotus sanācijas pasākumus.
Šādos apstākļos
- Automātiska sistēmas tīrīšanas rīks (Microsoft diagnostikas un atkopšanas rīku komplekta daļa (DaRT)
- Windows Defender Offline var būt noderīgs.
Lai iegūtu vairāk informācijas, varat lejupielādēt PDF atskaiti no Microsoft lejupielādes centra.
Saistītie raksti:
- Bezmaksas Rootkit noņemšanas programmatūras saraksts Windows
- Lejupielādēt McAfee Rootkit Remover priekš Windows
- Bitdefender Rootkit Remover for Windows atbrīvo
- Kā nodrošināt Windows 10 palaišanas procesu
- Kas ir Rootkit? Kā Rootkits darbojas? Rootkits paskaidroja.