Skip to main content

Microsoft Malware Protection Center Threat Report på Rootkits

Microsoft Malware Protection Center Threat Report på Rootkits

Geoffrey Carr

Microsoft Malware Protection Center har gjort tilgjengelig for nedlasting sin Hot Report on Rootkits. Rapporten undersøker en av de mer lumske typer malware truende organisasjoner og enkeltpersoner i dag - rootkit. Rapporten undersøker hvordan angriperne bruker rootkits, og hvordan rootkits fungerer på berørte datamaskiner. Her er en del av rapporten, og starter med hva som er Rootkits - for nybegynnere.

rootkit er et sett med verktøy som en angriper eller en malware-opphavsmann bruker til å få kontroll over et utsatt / usikret system som ellers normalt er reservert for en systemadministrator. I de senere år har termen "ROOTKIT" eller "ROOTKIT FUNCTIONALITY" blitt erstattet av MALWARE - et program designet for å få uønskede effekter på sunn datamaskin. Malware's hovedfunksjon er å trekke verdifulle data og andre ressurser fra en brukers datamaskin i hemmelighet og gi den til angriperen, og gir dermed full kontroll over den kompromitterte datamaskinen. Dessuten er de vanskelige å oppdage og fjerne og kan forbli skjult i lengre perioder, muligens år, hvis de ikke er blitt lagt merke til.

Så naturlig må symptomene på en kompromittert datamaskin maskeres og tas i betraktning før utfallet viser seg dødelig. Spesielt bør strengere sikkerhetstiltak treffes for å avdekke angrepet. Men, som nevnt, når disse rootkits / malware er installert, gjør det vanskelig å fjerne det og dets komponenter som det kan laste ned. Av denne grunn har Microsoft opprettet en rapport på ROOTKITS.

Microsoft Malware Protection Center Threat Report på Rootkits

16-siders rapporten beskriver hvordan en angriper bruker rootkits og hvordan disse rootkits-funksjonene på berørte datamaskiner fungerer.

Rapportens eneste formål er å identifisere og nøye undersøke kraftig skadelig programvare som truer mange organisasjoner, særlig datamaskinbrukere. Det nevner også noen av de utbredt malwarefamiliene og bringer inn i lyset metoden angriperne bruker for å installere disse rootkitsene for sine egne egoistiske formål på sunne systemer. I resten av rapporten finner du eksperter som gjør noen anbefalinger for å hjelpe brukerne til å redusere trusselen fra rootkits.

Typer av rootkits

Det er mange steder der malware kan installere seg i et operativsystem. Så, for det meste, er typen av rootkit bestemt av sin plassering hvor den utfører sin subversion av eksekveringsbanen. Dette inkluderer:

  1. Brukermodus Rootkits
  2. Kernelmodus Rootkits
  3. MBR Rootkits / bootkits

Den mulige effekten av et kjernemodus rootkit-kompromiss er illustrert via et skjermbilde nedenfor.

Den tredje typen, endre Master Boot Record for å få kontroll over systemet og starte prosessen med å laste inn det tidligste punktet i oppstartsekvensen3. Den skjuler filer, registrasjonsendringer, bevis på nettverksforbindelser, samt andre mulige indikatorer som kan indikere dens tilstedeværelse.

Merkbare malwarefamilier som bruker Rootkit-funksjonalitet

Win32 / Sinowal13 - En multi-komponent familie av skadelig programvare som forsøker å stjele sensitive data som brukernavn og passord for forskjellige systemer. Dette inkluderer forsøk på å stjele autentiseringsdetaljer for en rekke FTP-, HTTP- og e-postkontoer, samt referanser som brukes til nettbank og andre finansielle transaksjoner.

Win32 / Cutwail15 - En trojan som laster ned og utfører vilkårlig filer. De nedlastede filene kan utføres fra disk eller injiseres direkte i andre prosesser. Mens funksjonaliteten til de nedlastede filene er variabel, laster Cutwail vanligvis ned andre komponenter som sender spam.

Den bruker en rootkit-kjernemodus og installerer flere enhetsdrivere for å skjule komponentene fra berørte brukere.

Win32 / Rustock - En flerkomponentfamilie av rootkit-aktiverte bakdør-trojanere som først ble utviklet for å hjelpe til med distribusjon av "spam" -mail gjennom en botnet. Et botnet er et stort angriperstyrt nettverk av kompromitterte datamaskiner.

Beskyttelse mot rootkits

Forhindre installering av rootkits er den mest effektive metoden for å unngå infeksjon med rootkits. For dette er det nødvendig å investere i beskyttende teknologier som anti-virus og brannmurprodukter. Slike produkter bør ta en helhetlig tilnærming til beskyttelse ved å bruke tradisjonell signaturbasert deteksjon, heuristisk deteksjon, dynamisk og responsiv signaturkapasitet og oppførselskontroll.

Alle disse signatursettene skal holdes oppdatert ved hjelp av en automatisert oppdateringsmekanisme. Microsoft antivirusløsninger inkluderer en rekke teknologier utviklet spesielt for å redusere rootkits, inkludert overvåkning av kjerneoppførsel som oppdager og rapporterer om forsøk på å modifisere et berørt systemkjerne, og direkte filsystemsparsing som muliggjør identifisering og fjerning av skjulte drivere.

Hvis et system er funnet kompromittert, kan et tilleggsverktøy som gir deg mulighet til å starte opp med et kjent godt eller pålitelig miljø, være nyttig, da det kan foreslå noen hensiktsmessige løsninger.

Under slike omstendigheter,

  1. Verktøyet Standalone System Sweeper (del av Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Windows Defender Offline kan være nyttig.

For mer informasjon, kan du laste ned PDF-rapporten fra Microsoft Download Center.

Relaterte innlegg:

  • Liste over gratis Rootkit Remover programvare for Windows
  • Last ned McAfee Rootkit Remover for Windows
  • Bitdefender Rootkit Remover for Windows utgitt
  • Slik sikrer du Windows 10 Boot-prosessen
  • Hva er Rootkit? Hvordan fungerer Rootkits? Rootkits forklart.

Link
Plus
Send
Send
Pin