Microsoft Malware Protection Center har gjort tilgjengelig for nedlasting sin Hot Report on Rootkits. Rapporten undersøker en av de mer lumske typer malware truende organisasjoner og enkeltpersoner i dag - rootkit. Rapporten undersøker hvordan angriperne bruker rootkits, og hvordan rootkits fungerer på berørte datamaskiner. Her er en del av rapporten, og starter med hva som er Rootkits - for nybegynnere.
rootkit er et sett med verktøy som en angriper eller en malware-opphavsmann bruker til å få kontroll over et utsatt / usikret system som ellers normalt er reservert for en systemadministrator. I de senere år har termen "ROOTKIT" eller "ROOTKIT FUNCTIONALITY" blitt erstattet av MALWARE - et program designet for å få uønskede effekter på sunn datamaskin. Malware's hovedfunksjon er å trekke verdifulle data og andre ressurser fra en brukers datamaskin i hemmelighet og gi den til angriperen, og gir dermed full kontroll over den kompromitterte datamaskinen. Dessuten er de vanskelige å oppdage og fjerne og kan forbli skjult i lengre perioder, muligens år, hvis de ikke er blitt lagt merke til.
Så naturlig må symptomene på en kompromittert datamaskin maskeres og tas i betraktning før utfallet viser seg dødelig. Spesielt bør strengere sikkerhetstiltak treffes for å avdekke angrepet. Men, som nevnt, når disse rootkits / malware er installert, gjør det vanskelig å fjerne det og dets komponenter som det kan laste ned. Av denne grunn har Microsoft opprettet en rapport på ROOTKITS.
Microsoft Malware Protection Center Threat Report på Rootkits
16-siders rapporten beskriver hvordan en angriper bruker rootkits og hvordan disse rootkits-funksjonene på berørte datamaskiner fungerer.
Typer av rootkits
Det er mange steder der malware kan installere seg i et operativsystem. Så, for det meste, er typen av rootkit bestemt av sin plassering hvor den utfører sin subversion av eksekveringsbanen. Dette inkluderer:
- Brukermodus Rootkits
- Kernelmodus Rootkits
- MBR Rootkits / bootkits
Den mulige effekten av et kjernemodus rootkit-kompromiss er illustrert via et skjermbilde nedenfor.
Merkbare malwarefamilier som bruker Rootkit-funksjonalitet
Win32 / Sinowal13 - En multi-komponent familie av skadelig programvare som forsøker å stjele sensitive data som brukernavn og passord for forskjellige systemer. Dette inkluderer forsøk på å stjele autentiseringsdetaljer for en rekke FTP-, HTTP- og e-postkontoer, samt referanser som brukes til nettbank og andre finansielle transaksjoner.
Win32 / Cutwail15 - En trojan som laster ned og utfører vilkårlig filer. De nedlastede filene kan utføres fra disk eller injiseres direkte i andre prosesser. Mens funksjonaliteten til de nedlastede filene er variabel, laster Cutwail vanligvis ned andre komponenter som sender spam.
Den bruker en rootkit-kjernemodus og installerer flere enhetsdrivere for å skjule komponentene fra berørte brukere.
Win32 / Rustock - En flerkomponentfamilie av rootkit-aktiverte bakdør-trojanere som først ble utviklet for å hjelpe til med distribusjon av "spam" -mail gjennom en botnet. Et botnet er et stort angriperstyrt nettverk av kompromitterte datamaskiner.
Beskyttelse mot rootkits
Forhindre installering av rootkits er den mest effektive metoden for å unngå infeksjon med rootkits. For dette er det nødvendig å investere i beskyttende teknologier som anti-virus og brannmurprodukter. Slike produkter bør ta en helhetlig tilnærming til beskyttelse ved å bruke tradisjonell signaturbasert deteksjon, heuristisk deteksjon, dynamisk og responsiv signaturkapasitet og oppførselskontroll.
Alle disse signatursettene skal holdes oppdatert ved hjelp av en automatisert oppdateringsmekanisme. Microsoft antivirusløsninger inkluderer en rekke teknologier utviklet spesielt for å redusere rootkits, inkludert overvåkning av kjerneoppførsel som oppdager og rapporterer om forsøk på å modifisere et berørt systemkjerne, og direkte filsystemsparsing som muliggjør identifisering og fjerning av skjulte drivere.
Hvis et system er funnet kompromittert, kan et tilleggsverktøy som gir deg mulighet til å starte opp med et kjent godt eller pålitelig miljø, være nyttig, da det kan foreslå noen hensiktsmessige løsninger.
Under slike omstendigheter,
- Verktøyet Standalone System Sweeper (del av Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline kan være nyttig.
For mer informasjon, kan du laste ned PDF-rapporten fra Microsoft Download Center.
Relaterte innlegg:
- Liste over gratis Rootkit Remover programvare for Windows
- Last ned McAfee Rootkit Remover for Windows
- Bitdefender Rootkit Remover for Windows utgitt
- Slik sikrer du Windows 10 Boot-prosessen
- Hva er Rootkit? Hvordan fungerer Rootkits? Rootkits forklart.