Čo je Rootkit? Ako fungujú rootkity? Vysvetlené rootkity.

Hoci je možné skryť malvér spôsobom, ktorý oklame aj tradičné antivírusové/antispywarové produkty, väčšina malvérových programov už používa rootkity na ukrytie hlboko vo vašom počítači so systémom Windows(Windows) ... a sú čoraz nebezpečnejšie! Rootkit DL3(DL3) je jedným z najpokročilejších rootkitov, aké boli kedy vo voľnej prírode videné. Rootkit bol stabilný a mohol infikovať 32-bitové operačné systémy Windows ; hoci na inštaláciu infekcie do systému boli potrebné administrátorské práva. Ale TDL3 bol teraz aktualizovaný a je teraz schopný infikovať aj 64-bitové verzie Windows(even 64-bit versions  Windows) !

Čo je Rootkit

vírus

Vírus Rootkit je skrytý typ malvéru  , ktorý je navrhnutý tak, aby skryl existenciu určitých procesov alebo programov vo vašom počítači pred bežnými metódami detekcie, aby jemu alebo inému škodlivému procesu umožnil privilegovaný prístup k vášmu počítaču.

Rootkity pre Windows(Rootkits for Windows) sa zvyčajne používajú na skrytie škodlivého softvéru, napríklad pred antivírusovým programom. Na škodlivé účely ho používajú vírusy, červy, zadné vrátka a spyware. Vírus v kombinácii s rootkitom produkuje to, čo je známe ako úplné stealth vírusy. Rootkity sú bežnejšie v oblasti spywaru a teraz ich čoraz častejšie používajú aj autori vírusov.

Teraz sú novým typom super spywaru(Super Spyware) , ktorý sa efektívne skrýva a priamo ovplyvňuje jadro operačného systému. Používajú sa na skrytie prítomnosti škodlivého objektu, ako sú trójske kone alebo keyloggery vo vašom počítači. Ak hrozba používa na skrytie technológiu rootkit, je veľmi ťažké nájsť malvér vo vašom počítači.

Rootkity samy o sebe nie sú nebezpečné. Ich jediným účelom je skryť softvér a stopy zanechané v operačnom systéme. Či už ide o bežný softvér alebo malvérové ​​programy.

V zásade existujú tri rôzne typy rootkitov(Rootkit) . Prvý typ, „ koreňové sady jadra(Kernel Rootkits) “, zvyčajne pridávajú svoj vlastný kód do častí jadra operačného systému, zatiaľ čo druhý typ, „ rootkity používateľského režimu(User-mode Rootkits) “ sú špeciálne zamerané na Windows , aby sa normálne spúšťali počas štartovania systému, alebo sa vstrekne do systému takzvaným „kvapkadlom“. Tretím typom sú MBR Rootkits alebo Bootkits(MBR Rootkits or Bootkits) .

Keď zistíte, že váš AntiVirus & AntiSpyware zlyháva, možno budete musieť využiť pomoc dobrého nástroja Anti-Rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer od spoločnosti Microsoft Sysinternals(Microsoft Sysinternals) je pokročilý nástroj na detekciu rootkitov. Jeho výstup uvádza nezrovnalosti API registra(Registry) a súborového systému , ktoré môžu naznačovať prítomnosť rootkitu v užívateľskom režime alebo v režime jadra.

Hlásenie(Microsoft Malware Protection Center Threat Report) o  hrozbách centra Microsoft Malware Protection Center pre rootkity(Rootkits)

Microsoft Malware Protection Center sprístupnilo na stiahnutie svoju správu(Threat Report) o hrozbách pre rootkity(Rootkits) . Správa skúma jeden z najzákernejších typov škodlivého softvéru, ktorý dnes ohrozuje organizácie a jednotlivcov – rootkit. Správa skúma, ako útočníci používajú rootkity a ako rootkity fungujú na postihnutých počítačoch. Tu je zhrnutie správy, počnúc tým, čo sú rootkity(Rootkits) – pre začiatočníkov.

Rootkit je sada nástrojov, ktoré útočník alebo tvorca škodlivého softvéru používa na získanie kontroly nad akýmkoľvek odhaleným/nezabezpečeným systémom, ktorý je inak zvyčajne vyhradený pre správcu systému. V posledných rokoch bol termín „ROOTKIT“ alebo „FUNKČNOSŤ ROOTKITU“ nahradený pojmom MALWARE – program navrhnutý tak, aby mal nežiaduce účinky na zdravý počítač. Hlavnou funkciou škodlivého softvéru je tajne stiahnuť cenné údaje a iné zdroje z počítača používateľa a poskytnúť ich útočníkovi, čím mu poskytne úplnú kontrolu nad napadnutým počítačom. Navyše je ťažké ich odhaliť a odstrániť a môžu zostať skryté po dlhú dobu, možno roky, ak si ich nikto nevšimne.

Prirodzene, príznaky napadnutého počítača je potrebné zamaskovať a vziať do úvahy skôr, ako sa výsledok stane smrteľným. Na odhalenie útoku by sa mali prijať najmä prísnejšie bezpečnostné opatrenia. Ale, ako už bolo spomenuté, akonáhle sú tieto rootkity/malvér nainštalované, jeho tajné schopnosti sťažujú jeho odstránenie a jeho súčasti, ktoré by si mohol stiahnuť. Z tohto dôvodu spoločnosť Microsoft(Microsoft) vytvorila správu o ROOTKITOCH(ROOTKITS) .

16-stranová správa popisuje, ako útočník používa rootkity a ako tieto rootkity fungujú na postihnutých počítačoch.

Jediným účelom správy je identifikovať a dôkladne preskúmať silný malvér ohrozujúci mnohé organizácie, najmä používateľov počítačov. Zmieňuje sa tiež o niektorých rozšírených rodinách škodlivého softvéru a prináša na svetlo spôsob, akým útočníci inštalujú tieto rootkity pre svoje sebecké účely do zdravých systémov. Vo zvyšku správy nájdete odborníkov, ktorí poskytujú niekoľko odporúčaní, ktoré používateľom pomôžu zmierniť hrozbu zo strany rootkitov.

Typy rootkitov

Existuje mnoho miest, kde sa malvér môže nainštalovať do operačného systému. Typ rootkitu je teda väčšinou určený jeho umiestnením, kde vykonáva subverziu vykonávacej cesty. Toto zahŕňa:

  1. Rootkity užívateľského režimu
  2. Rootkity režimu jadra
  3. Rootkity/bootkity MBR

Možný účinok kompromisu rootkitu v režime jadra je znázornený na obrázku nižšie.

Tretí typ, upravte hlavný zavádzací záznam(Master Boot Record) , aby ste získali kontrolu nad systémom a spustili proces načítania v najskoršom možnom bode spúšťacej sekvencie3. Skryje súbory, úpravy registrov, evidenciu sieťových pripojení ako aj ďalšie možné indikátory, ktoré môžu naznačovať jej prítomnosť.

Významné rodiny malvéru(Malware) , ktoré používajú funkcie rootkitu(Rootkit)

  • Win32/Sinowal 13 – Viaczložková rodina škodlivého softvéru, ktorý sa pokúša ukradnúť citlivé údaje, ako sú používateľské mená a heslá pre rôzne systémy. To zahŕňa pokusy o ukradnutie autentifikačných údajov pre rôzne FTP , HTTP a e-mailové účty, ako aj poverenia používané pre online bankovníctvo a iné finančné transakcie.
  • Win32/Cutwail 15 – Trojan , ktorý sťahuje a spúšťa ľubovoľné súbory. Stiahnuté súbory môžu byť spustené z disku alebo priamo vložené do iných procesov. Zatiaľ čo funkčnosť sťahovaných súborov je variabilná, Cutwail zvyčajne sťahuje ďalšie komponenty, ktoré posielajú spam. Používa rootkit v režime jadra a nainštaluje niekoľko ovládačov zariadení, aby skryl svoje komponenty pred dotknutými používateľmi.
  • Win32/Rustock  – Viaczložková rodina backdoor trójskych koní(Trojans) s podporou rootkitov pôvodne vyvinutá na pomoc pri distribúcii „spamu“ e-mailov prostredníctvom botnetu(botnet) . Botnet je veľká sieť napadnutých počítačov kontrolovaná útočníkmi.

Ochrana pred rootkitmi

Zabránenie inštalácii rootkitov je najúčinnejšou metódou, ako sa vyhnúť infekcii rootkitmi. Na to je potrebné investovať do ochranných technológií, ako sú antivírusové a firewallové produkty. Takéto produkty by mali mať komplexný prístup k ochrane pomocou tradičnej detekcie založenej na podpisoch, heuristickej detekcie, dynamickej a responzívnej schopnosti podpisu a monitorovania správania.

Všetky tieto sady podpisov by sa mali aktualizovať pomocou mechanizmu automatickej aktualizácie. Antivírusové riešenia od spoločnosti Microsoft(Microsoft) zahŕňajú množstvo technológií navrhnutých špeciálne na zmiernenie výskytu rootkitov, vrátane živého monitorovania správania jadra, ktoré zisťuje a hlási pokusy o úpravu jadra postihnutého systému, a priamej analýzy súborového systému, ktorá uľahčuje identifikáciu a odstránenie skrytých ovládačov.

Ak sa zistí, že systém je ohrozený, môže sa ukázať ako užitočný ďalší nástroj, ktorý vám umožní zaviesť systém do známeho dobrého alebo dôveryhodného prostredia, pretože môže navrhnúť niektoré vhodné nápravné opatrenia.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Za takýchto okolností

  1. Nástroj Standalone System Sweeper (súčasť súpravy nástrojov Microsoft Diagnostics and Recovery Tools(Recovery Toolset) ( DaRT )
  2. Užitočný môže byť Windows Defender Offline .

Ak chcete získať ďalšie informácie, môžete si stiahnuť správu vo formáte PDF(PDF) z centra sťahovania softvéru spoločnosti Microsoft.(Microsoft Download Center.)



About the author

Som vývojár freeware softvéru a zástanca Windows Vista/7. Napísal som niekoľko stoviek článkov na rôzne témy súvisiace s operačným systémom vrátane tipov a trikov, návodov na opravy a osvedčených postupov. Prostredníctvom svojej spoločnosti Help Desk Services ponúkam aj poradenské služby súvisiace s kanceláriou. Veľmi dobre rozumiem tomu, ako Office 365 funguje, jeho funkcie a ako ich najefektívnejšie používať.



Related posts