Što je Rootkit? Kako funkcioniraju rootkiti? Rootkiti su objašnjeni.
Iako je moguće sakriti zlonamjerni softver na način koji će zavarati čak i tradicionalne antivirusne/antišpijunske proizvode, većina zlonamjernih programa već koristi rootkite kako bi se sakrili duboko na vašem Windows PC-u… i oni postaju sve opasniji! DL3 rootkit jedan(DL3) je od najnaprednijih rootkita ikada viđenih u divljini. Rootkit je bio stabilan i mogao je zaraziti 32-bitni Windows operativni sustav; iako su za instalaciju infekcije u sustav bila potrebna administratorska prava. Ali TDL3 je sada ažuriran i sada može zaraziti čak i 64-bitne verzije sustava Windows(even 64-bit versions Windows) !
Što je Rootkit
Rootkit virus je skrivena vrsta zlonamjernog softvera koji je dizajniran da sakrije postojanje određenih procesa ili programa na vašem računalu od redovitih metoda otkrivanja, kako bi se omogućio privilegirani pristup vašem računalu ili nekom drugom zlonamjernom procesu.
Rootkiti za Windows(Rootkits for Windows) obično se koriste za skrivanje zlonamjernog softvera od, na primjer, antivirusnog programa. Koriste ga u zlonamjerne svrhe virusi, crvi, backdoor i špijunski softver. Virus u kombinaciji s rootkitom proizvodi ono što je poznato kao potpuno skriveni virusi. Rootkitovi su češći u području špijunskog softvera, a sada ih također sve češće koriste i autori virusa.
Oni su sada vrsta super špijunskog(Super Spyware) softvera u nastajanju koji se učinkovito skriva i izravno utječe na kernel operativnog sustava. Koriste se za skrivanje prisutnosti zlonamjernih objekata poput trojanaca ili keyloggera na vašem računalu. Ako prijetnja koristi rootkit tehnologiju za skrivanje, vrlo je teško pronaći zlonamjerni softver na vašem računalu.
Rootkiti sami po sebi nisu opasni. Njihova jedina svrha je sakriti softver i tragove ostavljene u operacijskom sustavu. Bilo da se radi o normalnom softveru ili o zlonamjernom softveru.
U osnovi postoje tri različite vrste Rootkita(Rootkit) . Prvi tip, " Kernel Rootkits " obično dodaje vlastiti kod dijelovima jezgre operacijskog sustava, dok je druga vrsta, " Korisnički način rada Rootkits(User-mode Rootkits) " posebno usmjerena na Windows kako bi se normalno pokrenuo tijekom pokretanja sustava, ili se ubrizgava u sustav takozvanom “kapaljkom”. Treći tip su MBR Rootkiti ili Bootkiti(MBR Rootkits or Bootkits) .
Kada otkrijete da vaš AntiVirus i AntiSpyware ne rade, možda ćete morati potražiti pomoć dobrog Anti-Rootkit uslužnog programa(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer iz Microsoft Sysinternals je napredni uslužni program za otkrivanje rootkita. Njegov izlaz navodi nepodudarnosti API -ja (API)registra(Registry) i datotečnog sustava koje mogu ukazivati na prisutnost rootkita u korisničkom načinu ili načinu rada kernela.
(Microsoft Malware Protection Center Threat Report)Izvješće o prijetnjama Microsoftovog centra za zaštitu od zlonamjernog softvera o Rootkitovima(Rootkits)
Microsoftov centar za zaštitu od zlonamjernog softvera(Microsoft Malware Protection Center) stavio je na raspolaganje za preuzimanje svoje izvješće o prijetnjama(Threat Report) na Rootkitovima(Rootkits) . Izvješće istražuje jednu od podmuklijih vrsta zlonamjernog softvera koji danas prijeti organizacijama i pojedincima — rootkit. Izvješće ispituje kako napadači koriste rootkite i kako rootkiti funkcioniraju na zahvaćenim računalima. Ovdje je suština izvješća, počevši od onoga što su Rootkiti(Rootkits) – za početnike.
Rootkit je skup alata koje napadač ili kreator zlonamjernog softvera koristi za dobivanje kontrole nad bilo kojim izloženim/nezaštićenim sustavom koji je inače rezerviran za administratora sustava. Posljednjih godina izraz 'ROOTKIT' ili 'ROOTKIT FUNCTIONALITY' zamijenjen je MALWARE-om –(MALWARE –) programom dizajniranim da ima neželjene učinke na zdravo računalo. Glavna funkcija zlonamjernog softvera je tajno povući vrijedne podatke i druge resurse s računala korisnika i dati ih napadaču, dajući mu na taj način potpunu kontrolu nad kompromitovanim računalom. Štoviše, teško ih je otkriti i ukloniti te mogu ostati skriveni dulje vrijeme, možda i godinama, ako prođu nezapaženo.
Dakle, naravno, simptome kompromitovanog računala potrebno je maskirati i uzeti u obzir prije nego što se ishod pokaže koban. Posebno treba poduzeti strože sigurnosne mjere kako bi se otkrio napad. No, kao što je spomenuto, nakon što se ti rootkiti/zlonamjerni softver instaliraju, njegove skrivene mogućnosti otežavaju uklanjanje i njegovih komponenti koje bi mogao preuzeti. Iz tog razloga, Microsoft je izradio izvješće o ROOTKITS -ovima .
Izvješće na 16 stranica opisuje kako napadač koristi rootkite i kako ti rootkiti funkcioniraju na zahvaćenim računalima.
Jedina svrha izvješća je identificirati i pomno ispitati moćni zlonamjerni softver koji prijeti mnogim organizacijama, posebice korisnicima računala. Također spominje neke od rasprostranjenih obitelji zlonamjernog softvera i donosi na svjetlo metodu koju napadači koriste za instaliranje ovih rootkita u vlastite sebične svrhe na zdrave sustave. U ostatku izvješća naći ćete stručnjake koji daju neke preporuke kako bi pomogli korisnicima da ublaže prijetnju od rootkita.
Vrste rutkita
Postoji mnogo mjesta na kojima se zlonamjerni softver može sam instalirati u operativni sustav. Dakle, uglavnom je tip rootkita određen njegovom lokacijom na kojoj izvodi subverziju izvršne putanje. Ovo uključuje:
- Rootkiti za korisnički način rada
- Rutkiti za način rada jezgre
- MBR Rootkiti/bootkiti
Mogući učinak kompromisa rootkita u kernel modu ilustriran je snimkom zaslona u nastavku.
Treći tip, modificirajte glavni zapis za pokretanje(Master Boot Record) kako biste dobili kontrolu nad sustavom i započeli proces učitavanja najranije moguće točke u slijedu pokretanja3. Sakriva datoteke, izmjene registra, dokaze o mrežnim vezama kao i druge moguće pokazatelje koji mogu ukazivati na njegovu prisutnost.
Značajne obitelji zlonamjernog softvera koje koriste (Malware)Rootkit funkcionalnost
- Win32/Sinowal 13 – Višekomponentna obitelj zlonamjernog softvera koji pokušava ukrasti osjetljive podatke kao što su korisnička imena i lozinke za različite sustave. To uključuje pokušaj krađe pojedinosti o autentifikaciji za razne FTP , HTTP i račune e-pošte, kao i vjerodajnice koje se koriste za internetsko bankarstvo i druge financijske transakcije.
- Win32/Cutwail 15 – Trojanac(Trojan) koji preuzima i izvršava proizvoljne datoteke. Preuzete datoteke mogu se izvršiti s diska ili ubaciti izravno u druge procese. Iako je funkcionalnost preuzetih datoteka promjenjiva, Cutwail obično preuzima druge komponente koje šalju neželjenu poštu. Koristi rootkit u načinu rada jezgre i instalira nekoliko upravljačkih programa uređaja kako bi sakrio svoje komponente od pogođenih korisnika.
- Win32/Rustock – Višekomponentna obitelj backdoor trojanaca(Trojans) s omogućenim rootkitom u početku je razvijena za pomoć u distribuciji "spam" e-pošte putem botneta(botnet) . Botnet je velika mreža kompromitiranih računala koju kontroliraju napadači.
Zaštita od rootkita
Sprječavanje instalacije rootkita je najučinkovitija metoda za izbjegavanje infekcije rootkitovima. Za to je potrebno ulagati u zaštitne tehnologije poput antivirusnih i vatrozidnih proizvoda. Takvi proizvodi trebali bi imati sveobuhvatan pristup zaštiti korištenjem tradicionalnog otkrivanja temeljenog na potpisu, heurističkog otkrivanja, sposobnosti dinamičkog i odgovornog potpisa i praćenja ponašanja.
Svi ovi skupovi potpisa trebali bi biti ažurirani pomoću mehanizma automatiziranog ažuriranja. Microsoftova(Microsoft) antivirusna rješenja uključuju niz tehnologija dizajniranih posebno za ublažavanje rootkita, uključujući praćenje ponašanja kernela uživo koje otkriva i izvješćuje o pokušajima modificiranja jezgre zahvaćenog sustava i izravno raščlanjivanje datotečnog sustava koje olakšava identifikaciju i uklanjanje skrivenih upravljačkih programa.
Ako se utvrdi da je sustav kompromitiran, dodatni alat koji vam omogućuje pokretanje u poznato dobro ili pouzdano okruženje može se pokazati korisnim jer može predložiti neke odgovarajuće mjere sanacije.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
u takvim okolnostima,
- Alat za samostalni(Standalone System Sweeper) alat za čišćenje sustava (dio Microsoftovog skupa alata za (Microsoft) dijagnostiku(Diagnostics) i oporavak(Recovery Toolset) ( DaRT )
- Windows Defender Offline može biti koristan.
Za više informacija možete preuzeti PDF izvješće iz Microsoftovog centra za preuzimanje.(Microsoft Download Center.)
Related posts
Kako izbjeći phishing prijevare i napade?
Što je trojanac za daljinski pristup? Prevencija, otkrivanje i uklanjanje
Uklonite virus s USB flash pogona pomoću naredbenog retka ili batch datoteke
Rogue Security Software ili Scareware: Kako provjeriti, spriječiti, ukloniti?
Što je Win32:BogEnt i kako ga ukloniti?
Najbolji online skeneri zlonamjernog softvera za skeniranje datoteke
Kako koristiti ugrađeni alat za skeniranje zlonamjernog softvera i alat za čišćenje u pregledniku Chrome
Bundleware: definicija, prevencija, vodič za uklanjanje
Kako provjeriti je li datoteka zlonamjerna ili ne u sustavu Windows 11/10
Kako provjeriti ima li u registru zlonamjernog softvera u sustavu Windows 11/10
Kako ukloniti virus iz Windows 11/10; Vodič za uklanjanje zlonamjernog softvera
Što je backdoor napad? Značenje, primjeri, definicije
Napadi zlonamjernog oglašavanja: definicija, primjeri, zaštita, sigurnost
Kako koristiti Malwarebytes Anti-Malware za uklanjanje zlonamjernog softvera
Najbolji skeneri virusa i zlonamjernog softvera GARANCIRANO za uništavanje bilo kojeg virusa
Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje
Kako Microsoft identificira zlonamjerni softver i potencijalno neželjene aplikacije
Proces logotipa Microsoft Windows u Upravitelju zadataka; Je li virus?
Savjeti za zaštitu računala od napada Thunderspyja
Kako ukloniti Chromium virus iz sustava Windows 11/10