Raport o zagrożeniach Microsoft Malware Protection Center na rootkitach

Program Microsoft Malware Protection Center udostępnił do pobrania swój Raport o zagrożeniach na rootkitach. Raport analizuje jeden z bardziej podstępnych typów złośliwych programów zagrażających organizacjom i osobom dzisiaj - rootkita. Raport analizuje, w jaki sposób osoby atakujące używają rootkitów i jak działają rootkity na zainfekowanych komputerach. Oto sedno raportu, zaczynając od Rootkitów - dla początkujących.

Rootkit to zestaw narzędzi używanych przez intruza lub twórcę złośliwego oprogramowania w celu uzyskania kontroli nad każdym odkrytym / niezabezpieczonym systemem, który w przeciwnym razie jest zwykle zarezerwowane dla administratora systemu. W ostatnich latach termin "ROOTKIT" lub "ROOTKIT FUNCTIONALITY" został zastąpiony przez MALWARE - program mający niepożądany wpływ na zdrowy komputer. Podstawową funkcją złośliwego oprogramowania jest pobieranie poufnych danych i innych zasobów z komputera użytkownika, a następnie przekazywanie go atakującemu, co zapewnia mu pełną kontrolę nad zaatakowanym komputerem. Co więcej, są one trudne do wykrycia i usunięcia i mogą pozostać ukryte przez dłuższy czas, być może nawet przez lata, jeśli nie zostaną zauważone.

Naturalnie, objawy skompromitowanego komputera muszą zostać zamaskowane i wzięte pod uwagę, zanim wynik okaże się śmiertelny. W szczególności, należy podjąć bardziej rygorystyczne środki bezpieczeństwa, aby wykryć atak. Jednak, jak wspomniano, po zainstalowaniu tych rootkitów / złośliwego oprogramowania, jego funkcje stealth utrudniają usunięcie go i jego składników, które może pobrać. Z tego powodu firma Microsoft utworzyła raport na temat ROOTKITS.

Raport o zagrożeniach z programu Microsoft Malware Protection Center na rootkitach

16-stronicowy raport opisuje, w jaki sposób atakujący używa rootkitów i jak te rootkity działają na zagrożonych komputerach.

Jedyny Celem raportu jest zidentyfikowanie i dokładne zbadanie silnego szkodliwego oprogramowania zagrażającego wielu organizacjom, w szczególności użytkownikom komputerów. Wymienia także niektóre z popularnych rodzin złośliwego oprogramowania i ujawnia metodę, którą atakujący używają do instalowania tych rootkitów dla własnych celów samolubnych na zdrowych systemach. W dalszej części raportu znajdą eksperci przedstawiający zalecenia, które pomogą użytkownikom zmniejszyć zagrożenie powodowane przez rootkity.

Rodzaje rootkitów

Istnieje wiele miejsc, w których złośliwe oprogramowanie może zainstalować się w systemie operacyjnym. Tak więc, najczęściej typ rootkita jest określony przez jego lokalizację, w której wykonuje swoją subwersję ścieżki wykonania. Obejmuje to:

1. Rootkity trybu użytkownika
2. Rootkity trybu jądra
3. Rootkity MBR / bootkity

Możliwy efekt kompromisu rootkita w trybie jądra ilustruje zrzut ekranu poniżej.

Trzeci typ, zmodyfikuj Master Boot Record, aby uzyskać kontrolę nad systemem i rozpocząć proces ładowania najwcześniejszego możliwego punktu w sekwencji rozruchowej3. Ukrywa pliki, modyfikacje rejestru, dowody połączeń sieciowych oraz inne możliwe wskaźniki, które mogą wskazywać na ich obecność.

Zauważalne Rodziny złośliwego oprogramowania, które używają funkcji Rootkit

Win32 / Sinowal 13 - Wieloskładnikowa rodzina szkodliwe oprogramowanie, które próbuje wykraść poufne dane, takie jak nazwy użytkowników i hasła dla różnych systemów. Obejmuje to próbę kradzieży danych uwierzytelniających dla różnych kont FTP, HTTP i e-mail, a także danych uwierzytelniających używanych w bankowości internetowej i innych transakcjach finansowych.

Win32 / Cutwail 15 - Trojan, który pobiera i wykonuje dowolne operacje akta. Pobrane pliki mogą być wykonywane z dysku lub wstrzykiwane bezpośrednio do innych procesów. Choć funkcjonalność pobranych plików jest zmienna, Cutwail zwykle pobiera inne składniki, które wysyłają spam.

Używa rootkita w trybie jądra i instaluje kilka sterowników urządzeń, aby ukryć swoje składniki przed zagrożonymi użytkownikami.

Win32 / Rustock - wieloskładnikowa rodzina trojanów backdoor z obsługą rootkitów opracowana początkowo w celu ułatwienia dystrybucji "spamu" za pośrednictwem botnetu. Botnet to duża sieć zainfekowanych komputerów z atakami.

Ochrona przed rootkitami

Zapobieganie infekcji rootkitami jest najbardziej skuteczną metodą zapobiegania instalacjom rootkitów. W tym celu konieczne jest zainwestowanie w technologie ochronne, takie jak produkty antywirusowe i zapory ogniowe. Takie produkty powinny uwzględniać kompleksowe podejście do ochrony poprzez tradycyjne wykrywanie oparte na sygnaturach, detekcję heurystyczną, dynamiczne i responsywne funkcje podpisu oraz monitorowanie zachowania.

Wszystkie te zestawy sygnatur powinny być aktualizowane przy użyciu zautomatyzowanego mechanizmu aktualizacji. Rozwiązania antywirusowe firmy Microsoft obejmują szereg technologii opracowanych specjalnie w celu łagodzenia rootkitów, w tym monitorowanie zachowania na żywo jądra, które wykrywa i zgłasza próby modyfikacji jądra systemu, którego dotyczy luka, oraz bezpośrednie analizowanie systemu plików, które ułatwia identyfikację i usuwanie ukrytych sterowników.

Jeśli zostanie wykryty usterka systemu, może okazać się przydatne dodatkowe narzędzie, które pozwala na uruchomienie do znanego dobrego lub zaufanego środowiska, ponieważ może sugerować odpowiednie środki zaradcze.

W takich okolicznościach

1. Narzędzie Samodzielna zamiatarka systemu (część Zestawu narzędzi Microsoft Diagnostics and Recovery (DaRT)
2. Program Windows Defender w trybie offline może być przydatny.

Aby uzyskać więcej informacji, możesz pobrać raport PDF z witryny Microsoft Download Center.