Отчет об угрозах Microsoft Protection Protection для Rootkits

Центр защиты от вредоносных программ Microsoft предоставил для загрузки свой отчет об угрозах для руткитов. В докладе рассматривается один из наиболее коварных типов угрожающих вредоносным организациям и отдельных лиц сегодня - руткит. В отчете рассматривается, как злоумышленники используют руткиты и как руткиты работают на зараженных компьютерах. Вот описание отчета, начиная с того, что Rootkits - для новичка.

Rootkit - это набор инструментов, которые использует злоумышленник или создатель вредоносного ПО, чтобы получить контроль над любой открытой / незащищенной системой, которая в противном случае обычно зарезервированный для системного администратора. В последние годы термин «ROOTKIT» или «ROOTKIT FUNCTIONALITY» был заменен MALWARE - программой, предназначенной для нежелательного воздействия на здоровый компьютер. Основная функция Malware заключается в том, чтобы тайно выводить ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым предоставляя ему полный контроль над взломанным компьютером. Более того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение продолжительных периодов, возможно, лет, если они не замечены.

Таким образом, симптомы скомпрометированного компьютера должны быть замаскированы и приняты во внимание до того, как результат окажется фатальным. В частности, необходимо принять более строгие меры безопасности, чтобы выявить атаку. Но, как уже упоминалось, после того, как эти руткиты / вредоносные программы установлены, его возможности стелса затрудняют удаление его и его компонентов, которые он может загрузить. По этой причине Microsoft создала отчет о ROOTKITS.

Отчет об угрозах Microsoft Protection Protection для Rootkits

В отчете на 16 страницах описывается, как злоумышленник использует руткиты и как эти руткиты работают на затронутых компьютерах.

Единственный Целью отчета является выявление и тщательное изучение мощных вредоносных программ, угрожающих многим организациям, в частности пользователям компьютеров. В нем также упоминаются некоторые из распространенных семейств вредоносных программ и приведены в свет метод, который злоумышленники используют для установки этих руткитов для своих эгоистических целей на здоровые системы. В оставшейся части отчета вы найдете экспертов, которые предлагают рекомендации, чтобы помочь пользователям снизить угрозу от руткитов.

Типы руткитов

Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местоположением, где он выполняет свою подрывную работу пути выполнения. Это включает в себя:

1. Rootkits режима пользователя
2. Rootkits режима ядра
3. Rootkits / bootkits MBR

Возможный эффект компрометации руткитов в режиме ядра показан на следующем рисунке:

Третий тип, измените главную загрузочную запись, чтобы получить контроль над системой и начать процесс загрузки самой ранней возможной точки в последовательности загрузки3. Он скрывает файлы, изменения реестра, доказательства сетевых подключений, а также другие возможные индикаторы, которые могут указывать на его присутствие.

Известные семейства вредоносных программ, которые используют функциональность Rootkit

Win32 / Sinowal 13 - Многокомпонентное семейство вредоносного ПО, которое пытается украсть конфиденциальные данные, такие как имена пользователей и пароли для разных систем. Это включает в себя попытку кражи данных аутентификации для различных учетных записей FTP, HTTP и электронной почты, а также учетных данных, используемых для онлайн-банкинга и других финансовых транзакций.

Win32 / Cutwail 15 - троянец, который загружает и выполняет произвольные файлы. Загруженные файлы могут выполняться с диска или вставляться непосредственно в другие процессы. Хотя функциональность загружаемых файлов является переменной, Cutwail обычно загружает другие компоненты, которые отправляют спам.

Он использует руткит в режиме ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от затронутых пользователей.

Win32 / Rustock - Многокомпонентное семейство троянских программ с поддержкой руткитов, разработанных первоначально для помощи в распространении электронной почты «спама» через ботнет. Ботнет - это большая атакованная система с взломанными компьютерами.

Защита от руткитов

Предотвращение установки руткитов является наиболее эффективным методом предотвращения заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусные и брандмауэры. Такие продукты должны использовать комплексный подход к защите, используя традиционное обнаружение на основе сигнатур, эвристическое обнаружение, динамическую и чувствительную способность подписи и мониторинг поведения.

Все эти наборы подписей должны быть обновлены с использованием автоматизированного механизма обновления. Антивирусные решения Microsoft включают в себя ряд технологий, разработанных специально для смягчения руткитов, включая мониторинг поведения в реальном времени, который обнаруживает и сообщает о попытках изменить ядро ​​затронутой системы, а также прямой синтаксический анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.

Если система обнаружена скомпрометированной, тогда может оказаться полезным дополнительный инструмент, который позволяет вам загрузиться в известную хорошую или доверенную среду, так как может предложить некоторые соответствующие меры по исправлению.

В таких обстоятельствах

1. Средство автономной системы Sweeper (часть инструментария диагностики и восстановления Microsoft (DaRT)
2. Защитник Windows Offline может оказаться полезным.

Для получения дополнительной информации вы можете загрузить отчет PDF из Центра загрузки Microsoft.