Какво е Rootkit? Как работят руткитите? Руткитс обясни.

Въпреки че е възможно да се скрие зловредният софтуер по начин, който да заблуди дори традиционните антивирусни / антишпионски продукти, повечето зловредни програми вече използват руткитове, за да се скрият дълбоко на вашия компютър с Windows ... и стават все по-опасни! Руткитът DL3 е един от най-модерните руткити, виждани някога в дивата природа. Руткитът беше стабилен и можеше да зарази 32 битови операционни системи Windows; въпреки че са необходими администраторски права за инсталиране на заразата в системата. Но TDL3 вече е актуализиран и вече е в състояние да зарази дори 64-битови версии Windows!

Какво е Rootkit

Rootkit вирус е стелт тип злонамерен софтуер, който е предназначен да скрие съществуването на определени процеси или програми на вашия компютър от редовни методи за откриване, така че да позволи на него или друг злонамерен процес привилегирован достъп до вашия компютър.

Руткити за Windows обикновено се използват за скриване на злонамерен софтуер, например от антивирусна програма. Използва се за злонамерени цели от вируси, червеи, бекдори и шпионски софтуер. Вирус, комбиниран с руткит, произвежда това, което е известно като пълни стелт вируси. Руткитите са по-често срещани в областта на шпионския софтуер и сега все по-често се използват и от авторите на вируси.

Сега те са нововъзникващ тип Super Spyware, който се крие ефективно и въздейства директно върху ядрото на операционната система. Те се използват за скриване на присъствието на злонамерен обект като троянски коне или кейлогъри на вашия компютър. Ако една заплаха използва руткит технология за скриване, е много трудно да се намери зловредният софтуер на вашия компютър.

Руткитите сами по себе си не са опасни. Единствената им цел е да скрият софтуера и следите, останали в операционната система. Дали това е нормален софтуер или злонамерени програми.

По принцип има три различни типа руткит. Първият тип, „Руткит на ядрото”Обикновено добавят собствен код към части от ядрото на операционната система, докато вторият вид,„Потребителски режим”Са специално насочени към Windows, за да стартират нормално по време на стартиране на системата или инжектирани в системата от така наречения„ Dropper ”. Третият тип е MBR Rootkits или Bootkits.

Когато откриете, че вашият AntiVirus & AntiSpyware се проваля, може да се наложи да се възползвате от помощта на добра помощна програма Anti-Rootkit. RootkitRevealer от Microsoft Sysinternals е усъвършенствана помощна програма за откриване на руткит. Изходът му изброява несъответствия в API на регистъра и файловата система, които могат да показват наличието на руткит в потребителски режим или режим на ядро.

Отчет за заплаха на Центъра за защита от зловреден софтуер на Microsoft за руткитове

Центърът за защита от зловреден софтуер на Microsoft предостави на разположение за изтегляне своя доклад за заплахи за руткитове. Докладът изследва един от най-коварните видове злонамерен софтуер, заплашващ организации и лица днес - руткитът. Докладът изследва как атакуващите използват руткитите и как функционират руткитите на засегнатите компютри. Ето една същност на доклада, започвайки от това, което са Rootkits - за начинаещи.

Руткит е набор от инструменти, които нападателят или създателят на зловреден софтуер използва, за да получи контрол над всяка изложена / незащитена система, която иначе обикновено е запазена за системен администратор. През последните години терминът „ROOTKIT“ или „ROOTKIT FUNCTIONALITY“ е заменен от MALWARE - програма, създадена да има нежелани ефекти върху здрав компютър. Основната функция на зловредния софтуер е да изтегля тайно ценни данни и други ресурси от компютъра на потребителя и да ги предоставя на нападателя, като по този начин му дава пълен контрол над компрометирания компютър. Освен това те са трудни за откриване и премахване и могат да останат скрити за продължителни периоди, може би години, ако останат незабелязани.

Така че естествено, симптомите на компрометиран компютър трябва да бъдат маскирани и взети под внимание, преди резултатът да се окаже фатален. По-специално, трябва да се вземат по-строги мерки за сигурност за разкриване на атаката. Но, както беше споменато, след като тези руткитове / зловреден софтуер са инсталирани, неговите стелт възможности затрудняват премахването му и неговите компоненти, които той може да изтегли. Поради тази причина Microsoft създаде отчет за ROOTKITS.

Докладът от 16 страници описва как атакуващият използва руткитове и как тези руткитове функционират на засегнатите компютри.

Единствената цел на доклада е да идентифицира и разгледа внимателно мощен зловреден софтуер, заплашващ много организации, в частност потребителите на компютри. Той също така споменава някои от преобладаващите семейства зловреден софтуер и извежда на бял свят метода, който атакуващите използват, за да инсталират тези руткитове за свои користни цели на здрави системи. В останалата част на доклада ще намерите експерти, които дават някои препоръки, за да помогнат на потребителите да смекчат заплахата от руткитите.

Видове руткити

Има много места, където зловредният софтуер може да се инсталира в операционна система. И така, най-вече типът руткит се определя от местоположението му, където той извършва своето подриване на пътя за изпълнение. Това включва:

1. Потребителски режим
2. Руткити в режим на ядро
3. MBR руткити / стартови комплекти

Възможният ефект от компрометирането на руткит в режим на ядро ​​е илюстриран чрез снимка на екрана по-долу.

Третият тип, модифицирайте Master Boot Record, за да получите контрол над системата и да започнете процеса на зареждане на възможно най-ранната точка в последователността на зареждане3. Той скрива файлове, модификации на системния регистър, доказателства за мрежови връзки, както и други възможни индикатори, които могат да показват неговото присъствие.

Известни семейства зловреден софтуер, които използват функционалността на Rootkit

• Win32 / Sinowal13 - Многокомпонентно семейство зловреден софтуер, което се опитва да открадне чувствителни данни като потребителски имена и пароли за различни системи. Това включва опит за кражба на подробности за удостоверяване за различни FTP, HTTP и имейл акаунти, както и идентификационни данни, използвани за онлайн банкиране и други финансови транзакции.
• Win32 / Cutwail15 - Троянски кон, който изтегля и изпълнява произволни файлове. Изтеглените файлове могат да бъдат изпълнени от диск или инжектирани директно в други процеси. Докато функционалността на изтеглените файлове е променлива, Cutwail обикновено изтегля други компоненти, които изпращат спам. Той използва руткит в режим на ядро ​​и инсталира няколко драйвера на устройства, за да скрие компонентите му от засегнатите потребители.
• Win32 / Rustock - Многокомпонентно семейство троянски кодове с поддръжка на rootkit, първоначално разработени, за да подпомогнат разпространението на „спам“ имейл чрез ботнет. Ботнетът е голяма контролирана от нападателя мрежа от компрометирани компютри.

Защита срещу руткитове

Предотвратяването на инсталирането на руткитове е най-ефективният метод за избягване на инфекция от руткитове. За това е необходимо да се инвестира в защитни технологии като антивирусни и защитни стени. Такива продукти трябва да възприемат цялостен подход към защитата, като използват традиционно базирано на подпис откриване, евристично откриване, динамични и отзивчиви възможности за подпис и мониторинг на поведението.

Всички тези подписи трябва да се актуализират с помощта на автоматизиран механизъм за актуализация. Антивирусните решения на Microsoft включват редица технологии, създадени специално за смекчаване на руткитове, включително наблюдение на поведението на ядрото, което открива и докладва за опити за модифициране на ядрото на засегнатата система, и директно анализиране на файлова система, което улеснява идентифицирането и премахването на скритите драйвери.

Ако системата бъде намерена компрометирана, допълнителен инструмент, който ви позволява да стартирате до известна добра или надеждна среда, може да се окаже полезен, тъй като може да предложи някои подходящи мерки за отстраняване.

При такива обстоятелства,

1. Инструментът за самостоятелно почистване на системата (част от набора от инструменти за диагностика и възстановяване на Microsoft (DaRT)
2. Офлайн защитникът на Windows може да е полезен.

За повече информация можете да изтеглите отчета за PDF от Центъра за изтегляния на Microsoft.