Mikä on Rootkit? Miten rootkitit toimivat? Rootkits selitti.

Vaikka on mahdollista piilottaa haittaohjelmat tavalla, joka huijaa jopa perinteiset virusten-/vakoiluohjelmien torjuntatuotteet, useimmat haittaohjelmat käyttävät jo rootkit-paketteja piiloutuakseen syvälle Windows - tietokoneellesi… ja ne ovat tulossa vaarallisempia! DL3 - rootkit on yksi edistyneimmistä luonnossa koskaan nähdyistä rootkit-ohjelmista. Rootkit oli vakaa ja saattoi saastuttaa 32-bittiset Windows - käyttöjärjestelmät; vaikka tarvittiin järjestelmänvalvojan oikeuksia tartunnan asentamiseen järjestelmään. Mutta TDL3 on nyt päivitetty ja voi nyt saastuttaa jopa 64-bittiset Windows-versiot(even 64-bit versions  Windows) !

Mikä on Rootkit

virus

Rootkit-virus on salakavala haittaohjelma  , joka on suunniteltu piilottamaan tietokoneesi tiettyjen prosessien tai ohjelmien olemassaolo tavallisilta havaitsemismenetelmiltä, ​​jotta se tai muu haittaohjelma pääsisi tietokoneellesi etuoikeutetusti.

Rootkit for Windowsia(Rootkits for Windows) käytetään yleensä haittaohjelmien piilottamiseen esimerkiksi virustorjuntaohjelmalta. Virukset, madot, takaovet ja vakoiluohjelmat käyttävät sitä haitallisiin tarkoituksiin. Virus yhdistettynä rootkitiin tuottaa niin sanottuja täysin varkain viruksia. Rootkitit ovat yleisempiä vakoiluohjelmien alalla, ja ne ovat nyt yleistyneet myös virustentekijöiden käytössä.

Ne ovat nyt nouseva Super Spyware -tyyppi, joka piilottaa tehokkaasti ja vaikuttaa suoraan käyttöjärjestelmän ytimeen. Niitä käytetään piilottamaan haitallisten objektien, kuten troijalaisten tai näppäinloggerien, esiintyminen tietokoneellasi. Jos uhka piilottaa rootkit-teknologian avulla, haittaohjelmia on erittäin vaikea löytää tietokoneeltasi.

Rootkitit eivät sinänsä ole vaarallisia. Niiden ainoa tarkoitus on piilottaa ohjelmistot ja käyttöjärjestelmään jääneet jäljet. Olipa kyseessä tavallinen ohjelmisto tai haittaohjelma.

Pohjimmiltaan on olemassa kolme erilaista Rootkit -tyyppiä . Ensimmäinen tyyppi, " Kernel Rootkit(Kernel Rootkits) " lisää yleensä oman koodinsa käyttöjärjestelmän ytimen osiin, kun taas toinen tyyppi, " User-mode Rootkit(User-mode Rootkits) " on erityisesti kohdistettu Windowsille(Windows) käynnistymään normaalisti järjestelmän käynnistyksen aikana. tai ruiskutetaan järjestelmään niin kutsutulla "tippareilla". Kolmas tyyppi on MBR Rootkit tai Bootkit(MBR Rootkits or Bootkits) .

Kun huomaat, että virustentorjunta(AntiVirus) ja vakoiluohjelmien(AntiSpyware) torjunta epäonnistuvat, saatat joutua käyttämään hyvää Anti-Rootkit-apuohjelmaa(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . Microsoft Sysinternalsin (Microsoft Sysinternals)RootkitRevealer on edistynyt rootkit-tunnistusapuohjelma. Sen tulos luettelee rekisterin(Registry) ja tiedostojärjestelmän sovellusliittymän(API) eroavaisuudet, jotka voivat viitata käyttäjä- tai ydintilan rootkitin olemassaoloon.

Microsoftin haittaohjelmien suojauskeskuksen(Microsoft Malware Protection Center Threat Report) uhkaraportti  rootkit -ohjelmista(Rootkits)

Microsoft Malware Protection Center on asettanut ladattavaksi sen Threat Report on Rootkits . Raportissa tarkastellaan yhtä salakavalimpia organisaatioita ja yksilöitä uhkaavia haittaohjelmia nykyään – rootkitiä. Raportissa tarkastellaan, kuinka hyökkääjät käyttävät rootkit-paketteja ja kuinka rootkit toimivat kyseisissä tietokoneissa. Tässä on raportin pääsisältö, alkaen siitä, mitkä ovat rootkitit(Rootkits) – aloittelijoille.

Rootkit on joukko työkaluja, joita hyökkääjä tai haittaohjelmien luoja käyttää hallitakseen kaikkia paljaita/suojaamattomia järjestelmiä, jotka muuten on yleensä varattu järjestelmänvalvojalle. Viime vuosina termi 'ROOTKIT' tai 'ROOTKIT FUNCTIONALITY' on korvattu MALWARE- ohjelmalla(MALWARE –) , joka on suunniteltu aiheuttamaan ei-toivottuja vaikutuksia terveeseen tietokoneeseen. Haittaohjelmien päätehtävä on poistaa arvokkaita tietoja ja muita resursseja käyttäjän tietokoneelta salaa ja toimittaa ne hyökkääjälle, jolloin hän voi täysin hallita vaarantunutta tietokonetta. Lisäksi niitä on vaikea havaita ja poistaa, ja ne voivat pysyä piilossa pitkiä aikoja, mahdollisesti vuosia, jos niitä ei huomaa.

Joten luonnollisesti vaarantuneen tietokoneen oireet täytyy peittää ja ottaa huomioon, ennen kuin lopputulos osoittautuu kohtalokkaaksi. Erityisesti tiukempiin turvatoimiin tulisi ryhtyä hyökkäyksen paljastamiseksi. Mutta kuten mainittiin, kun nämä rootkitit/haittaohjelmat on asennettu, sen varkain ominaisuudet tekevät sen ja sen mahdollisesti ladattavien komponenttien poistamisen vaikeaksi. Tästä syystä Microsoft on luonut raportin ROOTKITSista(ROOTKITS) .

16-sivuisessa raportissa kerrotaan, kuinka hyökkääjä käyttää rootkit-paketteja ja kuinka nämä rootkit toimivat tietokoneissa, joita tämä koskee.

Raportin ainoa tarkoitus on tunnistaa ja tutkia tarkasti monia organisaatioita, erityisesti tietokoneen käyttäjiä, uhkaavia voimakkaita haittaohjelmia. Siinä mainitaan myös joitain yleisiä haittaohjelmaperheitä ja tuodaan esiin menetelmä, jolla hyökkääjät asentavat nämä rootkitit omiin itsekkäisiin tarkoituksiinsa terveisiin järjestelmiin. Raportin loppuosassa asiantuntijat antavat suosituksia, joiden avulla käyttäjät voivat lieventää rootkit-uhkia.

Rootkit-tyypit

On monia paikkoja, joissa haittaohjelmat voivat asentaa itsensä käyttöjärjestelmään. Joten enimmäkseen rootkit-tyyppi määräytyy sen sijainnin mukaan, jossa se suorittaa suorituspolun kumouksen. Tämä sisältää:

  1. Käyttäjätilan rootkitit
  2. Ydintilan rootkitit
  3. MBR Rootkit/bootkit

Ydintilan rootkit-kompromissin mahdollinen vaikutus on kuvattu alla olevassa kuvakaappauksessa.

Kolmas tyyppi, muokkaa pääkäynnistystietuetta(Master Boot Record) saadaksesi järjestelmän hallintaan ja käynnistääksesi latausprosessin varhaisimman mahdollisen pisteen käynnistyssekvenssissä3. Se piilottaa tiedostot, rekisterimuutokset, todisteet verkkoyhteyksistä sekä muita mahdollisia indikaattoreita, jotka voivat osoittaa sen olemassaolon.

Merkittävät haittaohjelmaperheet(Malware) , jotka käyttävät Rootkit- toimintoa

  • Win32/Sinowal 13 – Monikomponenttinen haittaohjelmaperhe, joka yrittää varastaa arkaluontoisia tietoja, kuten eri järjestelmien käyttäjätunnuksia ja salasanoja. Tämä sisältää yrityksen varastaa useiden FTP- , HTTP- ja sähköpostitilien todennustietoja sekä verkkopankki- ja muita rahoitustapahtumia käytettyjä valtuustietoja.
  • Win32/Cutwail 15 – Troijalainen(Trojan) , joka lataa ja suorittaa mielivaltaisia ​​tiedostoja. Ladatut tiedostot voidaan suorittaa levyltä tai ruiskuttaa suoraan muihin prosesseihin. Vaikka ladattujen tiedostojen toiminnallisuus vaihtelee, Cutwail yleensä lataa muita roskapostia lähettäviä komponentteja. Se käyttää ydintilan rootkit-pakettia ja asentaa useita laiteohjaimia piilottaakseen sen komponentit käyttäjiltä, ​​joita asia koskee.
  • Win32/Rustock  – Monikomponenttinen perhe rootkit-yhteensopivia takaoven troijalaisia(Trojans) , jotka alun perin kehitettiin auttamaan "roskapostin" jakelussa botnet -verkon kautta . Bottiverkko on laaja hyökkääjien hallitsema vaarantuneiden tietokoneiden verkko.

Suojaus rootkittejä vastaan

Rootkittien asennuksen estäminen on tehokkain tapa välttää rootkit-tartunnat. Tätä varten on investoitava suojatekniikoihin, kuten virustorjunta- ja palomuurituotteisiin. Tällaisissa tuotteissa olisi otettava kattava lähestymistapa suojaukseen käyttämällä perinteistä allekirjoitukseen perustuvaa havaitsemista, heuristista havaitsemista, dynaamista ja reagoivaa allekirjoituskykyä ja käyttäytymisen seurantaa.

Kaikki nämä allekirjoitusjoukot tulee pitää ajan tasalla automaattisen päivitysmekanismin avulla. Microsoftin(Microsoft) virustorjuntaratkaisut sisältävät useita tekniikoita, jotka on suunniteltu erityisesti vähentämään rootkit-ohjelmia, mukaan lukien reaaliaikainen ytimen käyttäytymisen valvonta, joka havaitsee ja raportoi yrityksistä muokata järjestelmän ydintä, ja suora tiedostojärjestelmän jäsennys, joka helpottaa piilotettujen ohjainten tunnistamista ja poistamista.

Jos järjestelmä havaitaan vaarantuneen, lisätyökalu, jonka avulla voit käynnistää tunnetun hyvän tai luotettavan ympäristön, voi osoittautua hyödylliseksi, koska se voi ehdottaa asianmukaisia ​​korjaustoimenpiteitä.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Tällaisissa olosuhteissa

  1. Itsenäinen System Sweeper(Standalone System Sweeper) -työkalu (osa Microsoft Diagnostics and Recovery Toolset ( DaRT ) -työkalusarjaa )
  2. Windows Defender Offline voi olla hyödyllinen.

Saat lisätietoja lataamalla PDF - raportin Microsoft Download Centeristä.(Microsoft Download Center.)



Olivia Mella

About the author

Olen laitteisto- ja ohjelmistokehityksen asiantuntija. Minulla on kokemusta työskentelystä sekä Applen tuotteiden (ios) että Googlen Android-alustojen kanssa. Olen myös vahva Edge computing -tekniikan puolestapuhuja, joka on verkko- ja mobiiliteknologian uusin trendi. Taitoni näillä alueilla tekevät minusta ihanteellisen nopeiden, turvallisten ja tehokkaiden sovellusten kehittämiseen.


Related posts