Raport de amenințare pentru Microsoft Malware Protection Center pe Rootkits

Microsoft Centrul de protecție împotriva malware-ului a pus la dispoziție pentru descărcare raportul său de amenințare privind rootkit-urile. Raportul examinează unul dintre cele mai insidioase tipuri de malware care amenință organizațiile și indivizii de azi - rootkit-ul. Raportul examinează modul în care atacatorii folosesc rootkit-urile și cum funcționează rootkit-urile pe computerele afectate. Iată un rezumat al raportului, începând cu ceea ce sunt Rootkits - pentru începători.

Rootkit este un set de instrumente pe care un atacator sau un creator de programe malware le utilizează pentru a obține controlul asupra oricărui sistem expus / nesecurizat care altfel este rezervat în mod normal pentru un administrator de sistem. În ultimii ani, termenul "ROOTKIT" sau "ROOTKIT FUNCTIONALITY" a fost înlocuit cu MALWARE - un program conceput pentru a avea efecte nedorite asupra unui calculator sănătos. Funcția principală a malware-ului este să retragă în secret datele și alte resurse valoroase de pe computerul unui utilizator și să le furnizeze atacatorului, dându-i astfel control complet asupra computerului compromis. În plus, ele sunt dificil de detectat și îndepărtat și pot rămâne ascunse pentru perioade lungi de timp, eventual ani, dacă nu au fost observate.

Deci, simptomele unui computer compromis trebuie să fie mascate și luate în considerare înainte ca rezultatul să fie fatal. În mod special, ar trebui luate măsuri de securitate mai stricte pentru a descoperi atacul. Dar, după cum sa menționat, odată ce aceste rootkits / malware sunt instalate, capacitățile sale de stealth fac dificilă eliminarea și componentele pe care le-ar putea descărca. Din acest motiv, Microsoft a creat un raport despre ROOTKITS.

Raportul de amenințare pentru Microsoft Malware Protection Center pe Rootkits

Raportul de 16 pagini prezintă modul în care un atacator folosește rootkit-urile și modul în care aceste rootkit-uri funcționează pe computerele afectate. scopul raportului este de a identifica și de a examina cu atenție malware potențial care amenință multe organizații, în special utilizatorii de computere. De asemenea, menționează unele dintre familiile malware răspândite și aduc în lumină metoda pe care atacatorii o folosesc pentru a instala aceste rootkit-uri pentru propriile lor scopuri egoiste pe sisteme sănătoase. În restul raportului, veți găsi experți care fac unele recomandări pentru a ajuta utilizatorii să atenueze amenințarea de la rootkits.

Tipuri de Rootkits

Există multe locuri în care un program malware se poate instala într-un sistem de operare. Deci, cea mai mare parte a tipului de rootkit este determinată de locația sa, unde se realizează subversiunea căii de execuție. Aceasta include:

Rootkits Mod de utilizator

1. Rootkits Mod Kernel
2. MBR Rootkits / bootkits
3. Efectul posibil al unui compromis de rootkit în mod kernel este ilustrat printr- modificați înregistrarea de boot master pentru a obține controlul asupra sistemului și a începe procesul de încărcare a celui mai timpuos punct posibil din secvența de boot3. Acesta ascunde fișierele, modificările de registru, dovezi ale conexiunilor de rețea, precum și alți indicatori posibili care îi pot indica prezența.

Familii de malware notabile care utilizează funcționalitatea Rootkit

Win32 / Sinowal

13 malware care încearcă să fure date sensibile, cum ar fi numele de utilizator și parolele pentru diferite sisteme. Aceasta include încercarea de a fura detaliile de autentificare pentru o varietate de conturi FTP, HTTP și e-mail, precum și acreditările utilizate pentru servicii bancare online și alte tranzacții financiare.

Win32 / Cutwail 15 - Un troian care descarcă și execută arbitrar fișiere. Fișierele descărcate pot fi executate de pe disc sau injectate direct în alte procese. În timp ce funcționalitatea fișierelor descărcate este variabilă, Cutwail descarcă de obicei alte componente care trimit spam.

Utilizează un rootkit pentru kernel și instalează mai multe drivere de dispozitiv pentru a ascunde componentele de la utilizatorii afectați. Win32 / Rustock

- O familie multi-componentă de troieni backdoor cu back-rootkit, dezvoltată inițial pentru a ajuta la distribuirea e-mailului "spam" printr-un botnet

. Un botnet este o rețea mare de computere compromise, controlată de atacatori. Protecție împotriva rootkiturilor Prevenirea instalării rootkit-urilor este cea mai eficientă metodă pentru a evita infectarea cu rootkit-uri. Pentru aceasta, este necesar să se investească în tehnologii de protecție, cum ar fi produsele anti-virus și firewall. Astfel de produse ar trebui să ia o abordare cuprinzătoare a protecției prin utilizarea detecției tradiționale bazate pe semnături, a detecției euristice, a capacității de semnătură dinamică și responsabilă și a monitorizării comportamentului.

Toate aceste seturi de semnături trebuie să fie actualizate utilizând un mecanism de actualizare automată. Soluțiile antivirus Microsoft includ o serie de tehnologii concepute special pentru a atenua rootkit-urile, inclusiv monitorizarea comportamentului kernelului viu care detectează și raportează încercările de a modifica nucleul unui sistem afectat și parsarea directă a sistemului de fișiere care facilitează identificarea și eliminarea driverelor ascunse

Dacă un sistem este găsit compromis, atunci un instrument suplimentar care vă permite să bootați într-un mediu bine cunoscut sau de încredere se poate dovedi util deoarece poate sugera măsuri de remediere adecvate.

În aceste condiții, parte a setului de instrumente Microsoft Diagnostics and Recovery (DaRT)

Windows Defender Offline poate fi utilă.

1. Pentru mai multe informații, puteți descărca raportul PDF din Centrul de descărcări Microsoft.