Microsofts observasjon på Rootkits detaljert i sin hot rapport
Microsoft Malware Protection Center har gjort tilgjengelig for nedlasting sin Hot Report on Rootkits. Rapporten undersøker en av de mer lumske typer malware truende organisasjoner og enkeltpersoner i dag - rootkit. Rapporten undersøker hvordan angripere bruker rootkits, og hvordan rootkits fungerer på berørte datamaskiner. Her er en del av rapporten, og starter med hva som er Rootkits - for nybegynnere.
rootkit er et sett med verktøy som en angriper eller en malware-opphavsmann bruker til å få kontroll over et utsatt / usikret system som ellers normalt er reservert for en systemadministrator. I de senere år har termen "ROOTKIT" eller "ROOTKIT FUNCTIONALITY" blitt erstattet av MALWARE - et program designet for å få uønskede effekter på en sunn datamaskin. Malware's hovedfunksjon er å trekke verdifulle data og andre ressurser fra en brukers datamaskin i hemmelighet og gi den til angriperen, og gir dermed full kontroll over den kompromitterte datamaskinen. Dessuten er de vanskelige å oppdage og fjerne og kan forbli skjult i lengre perioder, muligens år, hvis de ikke er blitt lagt merke til.
Så naturlig må symptomene på en kompromittert datamaskin maskeres og tas i betraktning før utfallet viser seg dødelig. Spesielt bør strengere sikkerhetstiltak treffes for å avdekke angrepet. Men, som nevnt, når disse rootkits / malware er installert, gjør det vanskelig å fjerne den og dens komponenter som den kan laste ned. Av denne grunn har Microsoft opprettet en rapport på ROOTKITS.
Microsoft Malware Protection Center Threat Report på Rootkits
16-siders rapporten beskriver hvordan en angriper bruker rootkits og hvordan disse rootkits-funksjonene på berørte datamaskiner fungerer.
Rapportens eneste formål er å identifisere og nøye undersøke potent malware som truer mange organisasjoner, særlig datamaskinbrukere. Det nevner også noen av de utbredt malwarefamiliene og bringer inn i lyset metoden angriperne bruker til å installere disse rootkitsene for sine egne egoistiske formål på sunne systemer. I resten av rapporten finner du eksperter som gjør noen anbefalinger for å hjelpe brukerne til å redusere trusselen fra rootkits.
Typer av Rootkits
Det er mange steder hvor en malware kan installere seg i et operativsystem. Så, for det meste, er typen av rootkit bestemt av sin plassering hvor den utfører sin subversion av eksekveringsbanen. Dette inkluderer:
- Brukermodus Rootkits
- Kjernemodus Rootkits
- MBR Rootkits / bootkits
Den mulige effekten av et kjernemodus rootkit-kompromiss er illustrert via et skjermbilde nedenfor.
Den tredje typen, endre Master Boot Record for å få kontroll over systemet og starte prosessen med å laste inn det tidligste punktet i oppstartssekvensen3. Den skjuler filer, register endringer, bevis på nettverkstilkoblinger, samt andre mulige indikatorer som kan indikere dens tilstedeværelse.
Merkbare malwarefamilier som bruker Rootkit-funksjonalitet
Win32 / Sinowal13 - En multi-komponent familie av skadelig programvare som forsøker å stjele sensitive data som brukernavn og passord for forskjellige systemer. Dette inkluderer forsøk på å stjele autentiseringsdetaljer for en rekke FTP-, HTTP- og e-postkontoer, samt legitimasjon brukt til nettbank og andre finansielle transaksjoner..
Win32 / Cutwail15 - En trojan som laster ned og utfører vilkårlig filer. De nedlastede filene kan utføres fra disk eller injiseres direkte i andre prosesser. Mens funksjonaliteten til de nedlastede filene er variabel, laster Cutwail vanligvis ned andre komponenter som sender spam.
Den bruker en rootkit i kjernemodus og installerer flere enhetsdrivere for å skjule komponentene fra berørte brukere.
Win32 / Rustock - En flerkomponent-familie av rootkit-aktiverte bakdør-trojanere utviklet seg for å hjelpe til med distribusjon av "spam" -mail gjennom en botnet. En botnet er et stort angriperstyrt nettverk av kompromitterte datamaskiner.
Beskyttelse mot rootkits
Forhindre installering av rootkits er den mest effektive metoden for å unngå infeksjon med rootkits. For dette er det nødvendig å investere i beskyttende teknologier som anti-virus og brannmurprodukter. Slike produkter skal ta en helhetlig tilnærming til beskyttelse ved å bruke tradisjonell signaturbasert deteksjon, heuristisk deteksjon, dynamisk og responsiv signaturkapasitet og oppfølging av oppførsel.
Alle disse signatursettene skal holdes oppdatert ved hjelp av en automatisert oppdateringsmekanisme. Microsoft antivirusløsninger inkluderer en rekke teknologier som er utviklet spesielt for å redusere rootkits, inkludert overvåking av kjerneoppførsel som oppdager og rapporterer om forsøk på å modifisere et berørt systemkjerne og direkte filsystemsparsing som muliggjør identifisering og fjerning av skjulte drivere.
Hvis et system er funnet kompromittert, kan et tilleggsverktøy som gir deg muligheten til å starte opp i et kjent godt eller pålitelig miljø, vise seg nyttig, da det kan foreslå noen hensiktsmessige tiltak.
Under slike omstendigheter,
- Verktøyet Standalone System Sweeper (del av Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline kan være nyttig.