A Microsoft Malware Protection Center veszélyeztető jelentése a rootkitekről

A Microsoft Malware Protection Center letöltötte a Rootkits veszélyforrásról szóló jelentését. A jelentés a malware-fenyegető szervezetek és egyének titkosabb fajtáit vizsgálja - a rootkit. A jelentés megvizsgálja, hogy a támadók hogyan használják a rootkiteket, és hogyan hatnak a rootkitek az érintett számítógépeken. A jelentés lényege, kezdve a Rootkit-kkel kezdődően - a kezdők számára.

Rootkit egy olyan eszközkészlet, amelyet egy támadó vagy egy rosszindulatú program létrehozója felett gyakorolhat az irányítást minden olyan látható / nem biztonságos rendszeren, amely egyébként rendszerint rendszergazda számára fenntartott. Az utóbbi években a "ROOTKIT" vagy a "ROOTKIT FUNKCIONALITÁS" kifejezést a MALWARE váltotta fel - egy program, amely nem kívánatos hatással van az egészséges számítógépre. A rosszindulatú programok elsődleges feladata az értékes adatok és más erőforrások visszahúzása a felhasználó számítógépéről titokban, és átadják a támadónak, ezáltal teljes körű ellenőrzést biztosítva a kompromittált számítógépen. Ezenkívül nehéz észlelni és eltávolítani őket, és hosszabb időn át, esetleg évekig rejtve maradhatnak, ha észrevétlenül mennek.

Tehát természetesen a kompromittált számítógép tüneteit el kell ragadni, és figyelembe kell venni, mielőtt az eredmény végzetesnek bizonyulna. Különösen szigorúbb biztonsági intézkedéseket kell hozni a támadás felderítésére. De, amint azt már említettük, miután ezeket a rootkiteket / rosszindulatú programokat telepítették, lopakodó képességei megnehezítik annak eltávolítását és összetevőit, amelyeket le lehet tölteni. Ezért a Microsoft készített egy jelentést a ROOTKITS-ről.

A Microsoft Malware Protection Center veszélyeztető jelentése a rootkitekről

A 16 oldalas jelentés bemutatja, hogy a támadó rootkiteket használ és hogyan hat a rootkitek az érintett számítógépeken.

A jelentés célja, hogy azonosítsa és alaposan megvizsgálja a potenciális rosszindulatú programokat, amelyek fenyegetik számos szervezetet, különösen a számítógép-felhasználókat. Emellett megemlíti az elterjedt rosszindulatú családok egy részét, és rávilágít arra a módszerre, amelyet a támadók az egészséges rendszereken saját önző célokra telepítenek. A jelentés hátralevő részében szakértők találnak néhány javaslatot, amelyek segítenek a felhasználóknak a rootkitek által okozott veszélyek enyhítésében.

Rootkits típusok

Számos olyan hely van, ahol egy malware telepíthető operációs rendszerré. Tehát leginkább a rootkit típusát az a hely határozza meg, ahol végrehajtja a végrehajtási útvonal felforgatását. Ez a következőket foglalja magában:

1. Felhasználói mód Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits / bootkits

A kernel módú rootkit kompromisszumának lehetséges hatása az alábbi képernyőképen látható.

módosítsa a Master Boot Record-ot, hogy megkapja a rendszer irányítását és elindítsa a legkorábbi lehetséges pont betöltését a rendszerindítási sorrendben3.

Figyelemre méltó Malware családok, amelyek Rootkit funkciót használnak

Win32 / Sinowal 13 - A több összetevőjű család összetett családja olyan rosszindulatú program, amely megpróbálja ellopni az érzékeny adatokat, például felhasználói neveket és jelszavakat a különböző rendszerekhez. Ez magában foglalja a különböző FTP-, HTTP- és e-mail fiókok hitelesítési adatait, valamint az online banki és egyéb pénzügyi tranzakciókhoz használt hitelesítő adatokat.

Win32 / Cutwail 15 - Trójai, amely tetszőleges letöltést és végrehajtást végez fájlokat. A letöltött fájlok végrehajthatók a lemezről, vagy közvetlenül más folyamatokba injektálhatók. Bár a letöltött fájlok működőképessége változtatható, a Cutwail általában más alkatrészeket tölt le, amelyek spameket küldenek.

Kernel módú rootkiteket használ, és több eszközillesztőt telepít, hogy elrejtse az összetevőket az érintett felhasználóktól.

Win32 / Rustock - A többkomponensű rootkit-képes backdoor trójaiak eredetileg a "spam" e-mail botnet eloszlásának támogatására fejlesztettek ki. A botnet a veszélyeztetett számítógépek nagy támadásvezérelt hálózata.

Rootkit elleni védelem

A rootkitek telepítésének megakadályozása a leghatékonyabb módszer a rootkitek fertőzésének elkerülésére. Ehhez olyan védelmi technológiákba kell befektetni, mint a vírusirtó és tűzfal termékek. Ezeknek a termékeknek átfogó megközelítést kell alkalmazniuk a védelemre a hagyományos aláírás-alapú észlelés, a heurisztikus felismerés, a dinamikus és érzékeny aláírási képesség és a viselkedésellenőrzés használatával.

Mindezen aláírási készleteket naprakészen kell tartani automatikus frissítési mechanizmus alkalmazásával. A Microsoft vírusölő megoldásai számos olyan technológiát tartalmaznak, amelyek kifejezetten a rootkitek enyhítésére szolgálnak, beleértve az élő rendszermag-viselkedés figyelését, amely észleli és jelentést tesz az érintett rendszermag módosítására irányuló kísérletekről, valamint a közvetlen fájlrendszer-elemzést, amely megkönnyíti a rejtett illesztőprogramok azonosítását és eltávolítását.

Ha egy rendszert veszélyeztetett, akkor egy olyan kiegészítő eszköz, amely lehetővé teszi az ismert jó vagy megbízható környezetbe való bejutást, hasznosnak bizonyulhat, mivel megfelelő megelőző intézkedéseket javasolhat.

Ilyen körülmények között

1. Az önálló rendszerlefedő eszköz (hasznos lehet a Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline szolgáltatás része.

További információkért töltse le a PDF jelentést a Microsoft letöltőközpontjából.