Microsoft Malware Protection Center har stillet til rådighed for at downloade sin hot rapport om rootkits. Rapporten undersøger en af ​​de mere lumske typer af malware truende organisationer og enkeltpersoner i dag - rootkit. Rapporten undersøger, hvordan angriberne bruger rootkits, og hvordan rootkits fungerer på berørte computere. Her er et kernen i rapporten, begyndende med hvad er Rootkits - for begynderen.

rootkit er et sæt værktøjer, som en angriber eller en malware-skaber bruger til at få kontrol over et udsat / usikret system, som ellers normalt er forbeholdt en systemadministrator. I de senere år er udtrykket 'ROOTKIT' eller 'ROOTKIT FUNCTIONALITY' blevet erstattet af MALWARE - et program designet til at have uønskede virkninger på sund computer. Malware's primære funktion er at hente værdifulde data og andre ressourcer fra en brugers computer i hemmelighed og give det til angriberen, hvorved han får fuld kontrol over den kompromitterede computer. Desuden er de vanskelige at opdage og fjerne og kan forblive skjult i længere perioder, muligvis år, hvis de er gået ubemærket.

Så naturligvis skal symptomerne på en kompromitteret computer maskeres og tages i betragtning, før resultatet viser sig dødelig. Især bør strengere sikkerhedsforanstaltninger træffes for at afdække angrebet. Men som nævnt, når disse rootkits / malware er installeret, gør dens stealth-funktioner det svært at fjerne det og dets komponenter, som det kan downloade. Derfor har Microsoft oprettet en rapport om ROOTKITS.

Microsoft Malware Protection Center Threat Report om Rootkits

16-siders rapport beskriver, hvordan en angriber bruger rootkits og hvordan disse rootkits fungerer på berørte computere.

Rapportens eneste formål er at identificere og nøje undersøge potent malware, der truer mange organisationer, især computerbrugere. Det nævner også nogle af de fremherskende malwarefamilier og indbringer i lyset metoden, som angriberne bruger til at installere disse rootkits for deres egen egoistiske formål på sunde systemer. I den resterende del af rapporten finder du eksperter, der laver nogle anbefalinger for at hjælpe brugerne med at afbøde truslen fra rootkits.

Typer af Rootkits

Der er mange steder, hvor en malware kan installere sig i et operativsystem. Så for det meste bestemmes typen af ​​rootkit af dens placering, hvor den udfører sin subversion af eksekveringsvejen. Dette omfatter:

  1. Brugertilstand Rootkits
  2. Kernel Mode Rootkits
  3. MBR Rootkits / bootkits

Den mulige effekt af et kernel-mode rootkit-kompromis er illustreret via et skærmbillede nedenfor.

Den tredje type, ændre Master Boot Record for at få styr på systemet og starte processen med at indlæse det tidligste mulige punkt i boot-sekvensen3. Det gemmer filer, registreringsdatabaser, beviser for netværksforbindelser samt andre mulige indikatorer, der kan indikere dets tilstedeværelse.

Noterbare malwarefamilier, der bruger Rootkit-funktionalitet

Win32 / Sinowal13 - En multi-komponent familie af malware, der forsøger at stjæle følsomme data som brugernavne og adgangskoder til forskellige systemer. Dette omfatter forsøg på at stjæle godkendelsesoplysninger for en række FTP-, HTTP- og e-mail-konti samt legitimationsoplysninger, der anvendes til online banking og andre finansielle transaktioner.

Win32 / Cutwail15 - En trojan der downloader og udfører vilkårlig filer. De downloadede filer kan udføres fra disk eller injiceres direkte til andre processer. Mens funktionaliteten af ​​de downloadede filer er variabel, downloader Cutwail normalt andre komponenter, der sender spam.

Den bruger en rootkit-kernemodus og installerer flere enhedsdrivere for at skjule dets komponenter fra berørte brugere.

Win32 / Rustock - En multi-komponent familie af rootkit-aktiverede bagdør trojere oprindeligt udviklet til at hjælpe i distributionen af ​​"spam" email via en botnet. En botnet er et stort angriberstyret netværk af kompromitterede computere.

Beskyttelse mod rootkits

Forebyggelse af installation af rootkits er den mest effektive metode til at undgå infektion med rootkits. For dette er det nødvendigt at investere i beskyttende teknologier som anti-virus og firewall produkter. Sådanne produkter bør tage en omfattende tilgang til beskyttelse ved hjælp af traditionel signaturbaseret detektion, heuristisk detektion, dynamisk og responsiv signaturkapacitet og adfærdsmonitoring.

Alle disse signatursæt skal opdateres ved hjælp af en automatiseret opdateringsmekanisme. Microsoft antivirus-løsninger omfatter en række teknologier, der er designet specielt til at afbøde rootkits, herunder overvågning af live kerneladfærd, der registrerer og rapporterer om forsøg på at modificere et berørt systemkernel og direkte filsystemparsing, der letter identifikation og fjernelse af skjulte drivere.

Hvis et system er fundet kompromitteret, kan et ekstra værktøj, der giver dig mulighed for at starte til et kendt godt eller pålideligt miljø, vise sig nyttigt, da det kan foreslå nogle passende afhjælpende foranstaltninger.

Under sådanne omstændigheder

  1. Værktøjet Standalone System Sweeper (del af Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Windows Defender Offline kan være nyttigt.

For mere information kan du hente PDF-rapporten fra Microsoft Download Center.

Relaterede indlæg:

  • Liste over gratis Rootkit Remover software til Windows
  • Download McAfee Rootkit Remover til Windows
  • Bitdefender Rootkit Remover til Windows udgivet
  • Sådan sikres Windows 10 Boot Processen
  • Hvad er Rootkit? Hvordan fungerer Rootkits? Rootkits forklaret.

Top Tips:
Kommentarer: