Що таке Руткіт? Як працюють руткіти? Руткіти пояснили.

Хоча можна приховати шкідливе програмне забезпечення таким чином, що введе в оману навіть традиційні антивірусні / антишпигунські продукти, більшість шкідливих програм вже використовують руткіти для глибокого заховання на вашому ПК з Windows ... і вони стають більш небезпечними! Руткіт DL3 - один із найдосконаліших руткітів, коли-небудь зустрічався в дикій природі. Руткіт був стабільним і міг заразити 32-розрядні операційні системи Windows; хоча для встановлення зараження в систему потрібні були права адміністратора. Але TDL3 тепер оновлений і тепер може заразити навіть 64-розрядні версії Windows!

Що таке Руткіт

Вірус Rootkit - це стелс-тип шкідливого програмного забезпечення, призначений для приховування існування певних процесів або програм на вашому комп’ютері від звичайних методів виявлення, щоб забезпечити йому або іншому шкідливому процесу привілейований доступ до вашого комп’ютера.

Руткіти для Windows зазвичай використовуються для приховування шкідливого програмного забезпечення, наприклад, від антивірусної програми. Він використовується у зловмисних цілях вірусами, хробаками, задніми дверями та шпигунським програмним забезпеченням. Вірус у поєднанні з руткітом виробляє так звані віруси стелс. Руткіти частіше зустрічаються у галузі шпигунського програмного забезпечення, і тепер вони також все частіше використовуються авторами вірусів.

Зараз вони є новим типом Super Spyware, який ефективно приховує та впливає безпосередньо на ядро ​​операційної системи. Вони використовуються для приховування наявності на вашому комп’ютері шкідливих об’єктів, таких як троянські програми або кейлоггери. Якщо загроза використовує технологію rootkit для приховування, дуже важко знайти шкідливе програмне забезпечення на вашому ПК.

Руткіти самі по собі не небезпечні. Їхня єдина мета - приховати програмне забезпечення та сліди, залишені в операційній системі. Це звичайне програмне забезпечення чи шкідливе програмне забезпечення.

В основному існує три різні типи руткітів. Перший тип,Руткіти ядра"Зазвичай додають власний код до частин ядра операційної системи, тоді як другий тип,"Руткіти в режимі користувача”Спеціально орієнтовані на Windows для нормального запуску під час запуску системи або вводяться в систему за допомогою так званого“ Dropper ”. Третій тип - MBR Руткіти або Буткіти.

Якщо ви виявите, що ваш AntiVirus та AntiSpyware не працює, можливо, вам доведеться звернутися за допомогою до хороша утиліта Anti-Rootkit. RootkitRevealer від Microsoft Sysinternals є вдосконаленою утилітою виявлення руткітів. У його результатах перелічені розбіжності API реєстру та файлової системи, які можуть свідчити про наявність руткіта в режимі користувача або режиму ядра.

Звіт про загрозу Центру захисту від шкідливого програмного забезпечення на Руткітах

Центр захисту від шкідливого програмного забезпечення Microsoft надав доступний для завантаження звіт про загрози щодо руткітів. У звіті розглядається один із найбільш підступних типів шкідливих програм, що загрожують сьогодні організаціям та приватним особам - руткіт. У звіті розглядається, як зловмисники використовують руткіти та як функціонують руткіти на уражених комп’ютерах. Ось суть звіту, починаючи з того, що таке Руткіти - для початківців.

Руткіт це набір інструментів, які зловмисник або творець шкідливого програмного забезпечення використовує для отримання контролю над будь-якою підданою чи незахищеною системою, яка в іншому випадку зазвичай зарезервована для системного адміністратора. В останні роки термін "ROOTKIT" або "ROOTKIT FUNCTIONALITY" було замінено на MALWARE - програму, розроблену з метою небажаного впливу на здоровий комп'ютер. Основною функцією шкідливого програмного забезпечення є таємне вилучення цінних даних та інших ресурсів з комп’ютера користувача та надання ним зловмиснику, тим самим надаючи йому повний контроль над компрометованим комп’ютером. Більше того, їх важко виявити та видалити, і вони можуть залишатися прихованими протягом тривалих періодів, можливо, років, якщо їх не помітити.

Отже, природно, симптоми ушкодженого комп’ютера потрібно замаскувати та врахувати, перш ніж результат стане фатальним. Зокрема, для розкриття нападу слід вжити більш жорстких заходів безпеки. Але, як уже згадувалося, після встановлення цих руткітів / шкідливих програм його стелс ускладнює видалення його та компонентів, які він може завантажити. З цієї причини Microsoft створила звіт про ROOTKITS.

У 16-сторінковому звіті описано, як зловмисник використовує руткіти та як ці руткіти функціонують на комп’ютерах, на яких це впливає.

Єдиною метою звіту є виявлення та пильне вивчення потужних шкідливих програм, що загрожують багатьом організаціям, зокрема користувачам комп’ютерів. У ньому також згадуються деякі поширені сімейства шкідливих програм і висвітлюється метод, який зловмисники використовують для встановлення цих руткітів для своїх корисливих цілей на здорових системах. В решті звіту ви знайдете експертів, які дають деякі рекомендації, щоб допомогти користувачам пом'якшити загрозу від руткітів.

Типи руткітів

У багатьох місцях шкідливе програмне забезпечення може встановити себе в операційну систему. Отже, здебільшого тип руткіта визначається його розташуванням, де він виконує свою диверсію шляху виконання. Це включає:

1. Руткіти в режимі користувача
2. Руткіти в режимі ядра
3. MBR Руткіти / завантажувальні програми

Можливий ефект компрометації руткіта в режимі ядра проілюстрований на скріншоті нижче.

Третій тип - змінити головний завантажувальний запис, щоб отримати контроль над системою та розпочати процес завантаження якнайшвидшої точки в послідовності завантаження3. Він приховує файли, модифікації реєстру, докази мережевих з’єднань, а також інші можливі показники, які можуть свідчити про його наявність.

Помітні сімейства шкідливих програм, які використовують функціональність Rootkit

• Win32 / Sinowal13 - Багатокомпонентне сімейство шкідливих програм, що намагається викрасти конфіденційні дані, такі як імена користувачів та паролі для різних систем. Сюди входить спроба викрасти деталі автентифікації для різних облікових записів FTP, HTTP та електронної пошти, а також облікові дані, що використовуються для онлайн-банкінгу та інших фінансових операцій.
• Win32 / Cutwail15 - Троян, який завантажує та виконує довільні файли. Завантажені файли можуть бути виконані з диска або введені безпосередньо в інші процеси. Хоча функціональність завантажених файлів є різною, Cutwail зазвичай завантажує інші компоненти, які надсилають спам. Він використовує руткіт у режимі ядра та встановлює кілька драйверів пристроїв, щоб приховати його компоненти від постраждалих користувачів.
• Win32 / Русток - Багатокомпонентне сімейство бекдор-троянів із підтримкою руткітів спочатку було розроблено для сприяння розповсюдженню “спаму” електронної пошти через ботнет. Ботнет - це велика мережа компрометованих комп’ютерів під контролем зловмисників.

Захист від руткітів

Запобігання встановленню руткітів - найефективніший метод уникнення зараження руткітами. Для цього необхідно інвестувати в захисні технології, такі як антивірусні та брандмауерні продукти. Такі продукти повинні застосовувати комплексний підхід до захисту, використовуючи традиційне виявлення на основі підписів, евристичне виявлення, можливість динамічного та адаптивного підпису та моніторинг поведінки.

Усі ці набори підписів слід постійно оновлювати за допомогою автоматизованого механізму оновлення. Антивірусні рішення Microsoft включають ряд технологій, розроблених спеціально для пом'якшення руткітів, включаючи моніторинг поведінки ядра, який виявляє та повідомляє про спроби модифікувати ядро ​​ураженої системи, та прямий аналіз файлової системи, що полегшує ідентифікацію та видалення прихованих драйверів.

Якщо система виявляється скомпрометованою, додатковий інструмент, що дозволяє завантажуватись із відомого хорошого або надійного середовища, може виявитися корисним, оскільки може запропонувати деякі відповідні заходи відновлення.

За таких обставин,

1. Індивідуальний засіб підмітання системи (частина набору інструментів діагностики та відновлення Microsoft (DaRT)
2. Захисник Windows в автономному режимі може бути корисним.

Щоб отримати додаткову інформацію, ви можете завантажити звіт у форматі PDF із центру завантажень Microsoft.