Microsoftin haittaohjelmien suojauskeskuksen uhkailmoitus Rootkitsista

Microsoft Malware Protection Center on ladannut Rootkitsin uhkailmoituksen. Raportissa tarkastellaan nykyään yksi haavoittuvimpien järjestöjen ja yksilöiden uhkaavista tyypeistä - rootkit. Raportissa selvitetään, miten hyökkääjät käyttävät rootkit-arvoja ja miten rootkit toimii kyseisillä tietokoneilla.

Rootkit on joukko työkaluja, joita hyökkääjä tai haittaohjelmien luoja käyttävät päästäkseen hallitsemaan mitä tahansa paljastettua / varmistamatonta järjestelmää, joka muuten on yleensä varattu järjestelmänvalvojalle. Viime vuosina termi "ROOTKIT" tai "ROOTKIT FUNCTIONALITY" on korvattu MALWARE-ohjelmalla, jolla on haitallisia vaikutuksia terveelliseen tietokoneeseen. Haittaohjelmien tärkein tehtävä on poistaa arvokasta tietoa ja muita resursseja käyttäjän tietokoneelta salaa ja antaa se hyökkääjälle, antaen hänelle täyden valvonnan vaarantuneelle tietokoneelle. Lisäksi ne on vaikea havaita ja poistaa, ja ne voivat olla piilossa pitkiä aikoja, mahdollisesti vuosia, jos ne ovat jääneet huomaamatta.

Luonnollisesti vaarallisten tietokoneiden oireet on peitettävä ja otettava huomioon ennen kuin tulos on kohtalokas. Erityisesti olisi ryhdyttävä tiukempaan turvatoimiin hyökkäyksen selvittämiseksi. Kuten edellä mainittiin, kun nämä rootkitit / haittaohjelmat on asennettu, sen varkausominaisuudet vaikeuttavat sen ja sen komponenttien poistamista, joita se saattaa ladata.

Microsoft Malware Protection Centerin Rootkits-raportin uhkailmoitus

16-sivuinen raportti kertoo kuinka hyökkääjä käyttää rootkit-asetuksia ja miten nämä rootkit-toiminnot toimivat kyseisillä tietokoneilla.

Raportin tarkoitus on tunnistaa ja tutkia tarkasti tehokkaita haittaohjelmia, jotka uhkaavat monia organisaatioita, erityisesti tietokoneiden käyttäjiä. Siinä myös mainitaan eräitä yleisimpiä haittaohjelmia ja tuodaan valoon menetelmä, jonka hyökkääjät käyttävät näiden rootkit-ohjelmien asennukseen omille itsekkäille tarkoituksille terveissä järjestelmissä. Raportin loppuosassa löydät asiantuntijoita, jotka esittävät joitain suosituksia auttaakseen käyttäjiä lieventämään rootkit-uhkaa.

Rootkits-tyypejä

Haittaohjelmat voivat asentaa itsensä käyttöjärjestelmään. Joten enimmäkseen rootkitin tyyppi määräytyy sen sijainnin mukaan, missä se suorittaa toteutusreitin subversion.

1. Kernel Mode Rootkits
2. MBR Rootkits / bootkits
3. Ydinevastaanottoristikon kompromissin mahdollinen vaikutus kuvataan alla kuvatulla ruudulla.

Kolmas tyyppi, muokkaa Master Boot Record -toimintoa saadaksesi järjestelmän hallinnan ja käynnistämään käynnistysvaiheen aikaisimman mahdollisen kohdan lataamisen3.

Merkittävät Malware-perheet, jotka käyttävät Rootkit-toiminnallisuutta

Win32 / Sinowal

13 - Monikomponenttiperhe, joka sisältää tiedostoja, rekisterin muutoksia, todisteita verkkoyhteyksistä sekä muita mahdollisia indikaattoreita, haittaohjelma, joka yrittää varastaa arkaluonteisia tietoja, kuten eri järjestelmien käyttäjätunnuksia ja salasanoja. Tämä tarkoittaa myös yrittävän varastaa useiden FTP-, HTTP- ja sähköpostitilien todennustiedot sekä verkkopankkitoiminnoissa ja muissa finanssitransaktioissa käytettävät tunnistetiedot. Win32 / Cutwail

15 - Troijalainen, joka lataa ja suorittaa mielivaltaisen tiedostot. Ladatut tiedostot voidaan suorittaa levyltä tai pistää suoraan muihin prosesseihin. Vaikka ladatut tiedostot toimivatkin muuttuvat, Cutwail lataa yleensä muita roskapostia lähettäviä komponentteja. Se käyttää ytimen toimintatapaa ja asentaa useita laiteajureita piilottaakseen sen osia käyttäjiltä.

Win32 / Rustock

- Monikomponenttinen rootkit-apuohjattu troijalaiset, jotka alun perin kehitettiin tukemaan "roskapostiviestin" jakelua botnet -verkon kautta. Botnet on suuri hyökkääjäohjattu vaarantuneiden tietokoneiden verkko. Rootkit-suojaus

Rootkit-asennuksen estäminen on tehokkain tapa rootkit-infektion välttämiseksi. Tämän vuoksi on välttämätöntä investoida suojaaviin tekniikoihin, kuten virustorjuntaan ja palomuurituotteisiin. Tällaisten tuotteiden tulisi kattaa kokonaisvaltainen lähestymistapa suojeluun käyttämällä perinteistä allekirjoitusperusteista havaitsemista, heuristista havaitsemista, dynaamista ja reagoivaa allekirjoituskykyä ja käyttäytymisen seurantaa.

Kaikki nämä allekirjoitusryhmät olisi pidettävä ajan tasalla automaattisen päivitysmekanismin avulla. Microsoftin virustentorjuntaratkaisuihin sisältyy useita tekniikoita, jotka on erityisesti suunniteltu vähentämään rootkit-asetuksia, mukaan lukien elävien ytimien käyttäytymisen seuranta, joka havaitsee ja raportoi vaikuttavan järjestelmän ytimen muutosten yrittämisestä sekä suoraan tiedostojärjestelmän jäsentämisestä, joka helpottaa piilotettujen ohjaimien tunnistamista ja poistamista.

Jos järjestelmä löydetään vaarantuneena, lisäväline, jonka avulla voit käynnistää tunnetun hyvän tai luotettavan ympäristön voi osoittautua hyödylliseksi, koska se saattaa ehdottaa sopivia korjaustoimenpiteitä.

Tällaisissa olosuhteissa

Standalone System Sweeper -työkalu (osa Microsoft Diagnostics and Recovery Toolset (DaRT)

1. Windows Defender Offline -toimintoa voi olla hyötyä.
2. Saat lisätietoja lataamalla PDF-raportin Microsoft Download Centeristä.