Έκθεση για την Απειλή της Microsoft για την προστασία από κακόβουλα προγράμματα στο Rootkits

Το Κέντρο προστασίας κακόβουλων προγραμμάτων της Microsoft έκανε διαθέσιμη για λήψη την έκθεση απειλών για τα rootkits. Η έκθεση εξετάζει ένα από τα πιο ύπουλα είδη κακόβουλων προγραμμάτων που απειλούν τις οργανώσεις και τα άτομα σήμερα - το rootkit. Η αναφορά εξετάζει τον τρόπο με τον οποίο οι εισβολείς χρησιμοποιούν τα rootkits και πώς λειτουργούν τα rootkits στους υπολογιστές που έχουν προσβληθεί. Το Rootkit

είναι ένα σύνολο εργαλείων που χρησιμοποιεί κάποιος επιτιθέμενος ή δημιουργός κακόβουλου λογισμικού για να αποκτήσει τον έλεγχο του οποιουδήποτε εκτεθειμένου / μη ασφαλισμένου συστήματος το οποίο διαφορετικά είναι συνήθως προορίζεται για διαχειριστή συστήματος. Τα τελευταία χρόνια ο όρος "ROOTKIT" ή "ROOTKIT FUNCTIONALITY" έχει αντικατασταθεί από το MALWARE - ένα πρόγραμμα σχεδιασμένο να έχει ανεπιθύμητες επιπτώσεις στον υγιή υπολογιστή. Η πρωταρχική λειτουργία του κακόβουλου λογισμικού είναι να αποσύρει κρυφά πολύτιμα δεδομένα και άλλους πόρους από τον υπολογιστή του χρήστη και να τον παράσχει στον εισβολέα, δίνοντάς του έτσι τον πλήρη έλεγχο του συμβιβασμένου υπολογιστή. Επιπλέον, είναι δύσκολο να εντοπιστούν και να απομακρυνθούν και να παραμείνουν κρυμμένα για παρατεταμένες περιόδους, ενδεχομένως χρόνια, αν παραμείνουν απαρατήρητες. Έτσι, φυσικά, τα συμπτώματα ενός compromised υπολογιστή πρέπει να καλυφθούν και να ληφθούν υπόψη προτού το αποτέλεσμα αποβεί θανατηφόρο. Ιδιαίτερα, θα πρέπει να ληφθούν αυστηρότερα μέτρα ασφαλείας για την αποκάλυψη της επίθεσης. Αλλά, όπως αναφέρθηκε, μόλις εγκατασταθούν αυτά τα rootkits / κακόβουλο λογισμικό, οι δυνατότητες της μυστικότητας της καθιστούν δύσκολη την απομάκρυνση της και των στοιχείων που μπορεί να κατεβάσει. Για το λόγο αυτό, η Microsoft έχει δημιουργήσει μια αναφορά για τα ROOTKITS.

Έκθεση για την απειλή Microsoft Malware Protection Center σε Rootkits

Η αναφορά 16 σελίδων περιγράφει τον τρόπο με τον οποίο ένας εισβολέας χρησιμοποιεί rootkits και τον τρόπο λειτουργίας αυτών των rootkits σε υπολογιστές που έχουν προσβληθεί. σκοπός της έκθεσης είναι να εντοπίσει και να εξετάσει προσεκτικά το ισχυρό κακόβουλο λογισμικό που απειλεί πολλές οργανώσεις, ιδιαίτερα τους χρήστες ηλεκτρονικών υπολογιστών. Αναφέρει επίσης μερικές από τις επικρατούσες οικογένειες malware και φέρνει στο φως τη μέθοδο που χρησιμοποιούν οι εισβολείς για να εγκαταστήσουν αυτά τα rootkits για τους εγωιστικούς σκοπούς τους σε υγιή συστήματα. Στο υπόλοιπο της έκθεσης, θα βρείτε ειδικούς που κάνουν κάποιες συστάσεις για να βοηθήσουν τους χρήστες να μετριάσουν την απειλή από τα rootkits.

Υπάρχουν τύποι rootkits

Υπάρχουν πολλά μέρη όπου ένα κακόβουλο λογισμικό μπορεί να εγκατασταθεί σε ένα λειτουργικό σύστημα. Επομένως, ο τύπος του rootkit εξαρτάται κυρίως από τη θέση του όπου εκτελεί την ανατροπή του στην πορεία εκτέλεσης. Αυτό περιλαμβάνει:

Rootkits

Λειτουργία πυρήνα Rootkits

1. MBR Rootkits / bootkits
2. Η ενδεχόμενη επίδραση ενός συμβάντος rootkit σε λειτουργία πυρήνα απεικονίζεται με ένα στιγμιότυπο οθόνης
3. τροποποιήστε την κύρια εγγραφή εκκίνησης για να αποκτήσετε τον έλεγχο του συστήματος και να ξεκινήσετε τη διαδικασία φόρτωσης του πιό νωρίτερου σημείου στην ακολουθία εκκίνησης3. Κρυφές αρχεία, τροποποιήσεις μητρώου, αποδείξεις συνδέσεων δικτύου καθώς και άλλοι πιθανοί δείκτες που δείχνουν την παρουσία του

Σημαντικές οικογένειες malware που χρησιμοποιούν τη λειτουργία Rootkit

Win32 / Sinowal

13 - malware που προσπαθεί να κλέψει ευαίσθητα δεδομένα, όπως ονόματα χρηστών και κωδικούς πρόσβασης για διαφορετικά συστήματα. Αυτό περιλαμβάνει την προσπάθεια απόκρυψης λεπτομερειών ελέγχου ταυτότητας για διάφορους λογαριασμούς FTP, HTTP και email, καθώς και τα διαπιστευτήρια που χρησιμοποιούνται για την ηλεκτρονική τραπεζική και άλλες οικονομικές συναλλαγές.

Win32 / Cutwail 15 - Trojan που κατεβάζει και εκτελεί αυθαίρετες αρχεία. Τα ληφθέντα αρχεία μπορούν να εκτελούνται από δίσκο ή να εισάγονται απευθείας σε άλλες διαδικασίες. Ενώ η λειτουργικότητα των ληφθέντων αρχείων είναι μεταβλητή, το Cutwail συνήθως μεταφορτώνει άλλα στοιχεία που στέλνουν ανεπιθύμητα μηνύματα.

Χρησιμοποιεί ένα rootkit mode kernel και εγκαθιστά διάφορα προγράμματα οδήγησης συσκευών για να κρύψει τα στοιχεία του από τους χρήστες που επηρεάζονται. Win32 / Rustock

- Μια οικογένεια πολλαπλών εξαρτημάτων των Trojans backdoor με δυνατότητα rootkit που αναπτύχθηκε αρχικά για να βοηθήσει στη διανομή μηνυμάτων "spam" μέσω ενός

botnet . Ένα botnet είναι ένα μεγάλο δίκτυο ελεγχόμενων από επιτιθέμενο επιθετικό υπολογιστή. Προστασία από rootkits Η αποτροπή της εγκατάστασης των rootkits είναι η πιο αποτελεσματική μέθοδος αποφυγής μόλυνσης από rootkits. Για το σκοπό αυτό, είναι απαραίτητο να επενδύσουμε σε τεχνολογίες προστασίας, όπως προϊόντα προστασίας από ιούς και τείχη προστασίας. Τα προϊόντα αυτά θα πρέπει να υιοθετήσουν μια ολοκληρωμένη προσέγγιση της προστασίας, χρησιμοποιώντας την παραδοσιακή ανίχνευση με βάση την υπογραφή, την ευρετική ανίχνευση, τη δυνατότητα δυναμικής και ανταποκρινόμενης υπογραφής και την παρακολούθηση της συμπεριφοράς.

Όλα αυτά τα σύνολα υπογραφής θα πρέπει να ενημερώνονται με τη χρήση μηχανισμού αυτόματης ενημέρωσης. Οι λύσεις αντιμετώπισης ιών της Microsoft περιλαμβάνουν μια σειρά τεχνολογιών που έχουν σχεδιαστεί ειδικά για τον μετριασμό των rootkits, συμπεριλαμβανομένης της παρακολούθησης συμπεριφοράς ζωντανών πυρήνων που ανιχνεύει και αναφέρει τις προσπάθειες τροποποίησης του πυρήνα ενός επηρεαζόμενου συστήματος και την άμεση ανάλυση αρχείων που διευκολύνει την αναγνώριση και την αφαίρεση κρυφών προγραμμάτων οδήγησης. Εάν ένα σύστημα βρίσκεται σε κίνδυνο, τότε μπορεί να αποδειχθεί χρήσιμο ένα πρόσθετο εργαλείο που σας επιτρέπει να εκκινήσετε σε ένα γνωστό καλό ή αξιόπιστο περιβάλλον, καθώς ενδέχεται να προτείνει κάποια κατάλληλα μέτρα αποκατάστασης.

Υπό αυτές τις συνθήκες, το

(//support.microsoft.com/contactus/?ws=support)

Για περισσότερες πληροφορίες, μπορείτε να κάνετε λήψη της αναφοράς PDF από το Κέντρο λήψης της Microsoft (Microsoft Download Center)