Microsoft Malware Protection Center Threat Report om Rootkits

Microsoft Malware Protection Center har gjort det muligt at downloade sin hot rapport om rootkits. Rapporten undersøger en af ​​de mere lumske typer af malware truende organisationer og enkeltpersoner i dag - rootkit. Rapporten undersøger, hvordan angriberne bruger rootkits, og hvordan rootkits fungerer på berørte computere. Her er et kernen i rapporten, begyndende med, hvad der er Rootkits - for begynderen.

Rootkit er et sæt værktøjer, som en angriber eller en malware-skaber bruger til at få kontrol over ethvert udsat / usikret system, som ellers er normalt forbeholdt en systemadministrator. I de senere år er udtrykket `ROOTKIT` eller `ROOTKIT FUNCTIONALITY` blevet erstattet af MALWARE - et program designet til at have uønskede virkninger på sund computer. Malware`s primære funktion er at hente værdifulde data og andre ressourcer fra en brugers computer i hemmelighed og give det til angriberen, hvorved han får fuld kontrol over den kompromitterede computer. Desuden er de vanskelige at opdage og fjerne og kan forblive skjult i længere perioder, muligvis år, hvis de er ubemærket.

Så naturligvis skal symptomerne på en kompromitteret computer maskeres og tages i betragtning, før resultatet viser sig dødeligt. Især bør strengere sikkerhedsforanstaltninger træffes for at afdække angrebet. Men som nævnt, når disse rootkits / malware er installeret, gør dens stealth-funktioner det svært at fjerne det og dets komponenter, som det kan downloade. Af denne grund har Microsoft oprettet en rapport om ROOTKITS.

Hotwar Protection Center Center for Threat Reporting on Rootkits

16-siders rapport beskriver, hvordan en angriber bruger rootkits og hvordan disse rootkits fungerer på berørte computere.

Sålen Formålet med rapporten er at identificere og nøje undersøge potent malware, der truer mange organisationer, især computerbrugere. Det nævner også nogle af de fremherskende malwarefamilier og indbringer i lyset metoden, som angriberne bruger til at installere disse rootkits for deres egen egoistiske formål på sunde systemer. I resten af ​​rapporten finder du eksperter, der laver nogle anbefalinger for at hjælpe brugerne med at afbøde truslen fra rootkits.

Typer af rootkits

Der er mange steder, hvor en malware kan installere sig selv i et operativsystem. Så for det meste bestemmes typen af ​​rootkit af dens placering, hvor den udfører sin subversion af eksekveringsvejen. Dette omfatter:

1. Rootkits til brugermodus
2. Rootkits kernekode
3. MBR Rootkits / bootkits

Den mulige effekt af et kernelmod rootkit kompromis er illustreret via et skærmbillede nedenfor.

Den tredje type, ændre Master Boot Record for at få styr på systemet og start processen med at indlæse det tidligste mulige punkt i boot-sekvensen3. Det gemmer filer, registreringsændringer, dokumentation for netværksforbindelser samt andre mulige indikatorer, der kan indikere dets tilstedeværelse.

Bemærkelsesværdige malwarefamilier, der bruger Rootkit-funktionalitet

Win32 / Sinowal 13 - En multikomponentfamilie af malware, der forsøger at stjæle følsomme data som brugernavne og adgangskoder til forskellige systemer. Dette omfatter forsøg på at stjæle godkendelsesoplysninger for en række FTP-, HTTP- og e-mail-konti samt legitimationsoplysninger, der anvendes til online banking og andre finansielle transaktioner.

Win32 / Cutwail 15 - En trojansk, der downloader og udfører vilkårlig filer. De downloadede filer kan udføres fra disk eller injiceres direkte til andre processer. Mens funktionaliteten af ​​de downloadede filer er variabel, downloader Cutwail normalt andre komponenter, der sender spam.

Den bruger en rootkit-kernemodus og installerer flere enhedsdrivere for at skjule dets komponenter fra berørte brugere.

Win32 / Rustock - En multi-komponent familie af rootkit-aktiverede bagdør trojere oprindeligt udviklet til at hjælpe i distributionen af ​​"spam" email via en botnet. En botnet er et stort angriberstyret netværk af kompromitterede computere.

Beskyttelse mod rootkits

Forebyggelse af installation af rootkits er den mest effektive metode til at undgå infektion med rootkits. For dette er det nødvendigt at investere i beskyttende teknologier som anti-virus og firewall produkter. Sådanne produkter bør tage en omfattende tilgang til beskyttelse ved hjælp af traditionel signaturbaseret detektion, heuristisk detektion, dynamisk og responsiv signaturkapacitet og adfærdsmonitorering.

Alle disse underskriftssæt skal opdateres ved hjælp af en automatiseret opdateringsmekanisme. Microsoft antivirus-løsninger omfatter en række teknologier, der er designet specielt til at afbøde rootkits, herunder overvågning af live kerneladfærd, der registrerer og rapporterer om forsøg på at ændre et berørt systemkernel og direkte filsystemparsing, der letter identifikation og fjernelse af skjulte drivere.

Hvis et system er fundet kompromitteret, kan et ekstra værktøj, der giver dig mulighed for at starte op på et kendt godt eller pålideligt miljø, vise sig nyttigt, da det kan foreslå nogle passende afhjælpende foranstaltninger.

Under sådanne omstændigheder

1. værktøjet Standalone System Sweeper (En del af Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline kan være nyttigt.

Du kan downloade PDF-rapporten fra Microsoft Download Center.