Trung tâm bảo vệ phần mềm độc hại của Microsoft Trung tâm báo cáo sự cố về Rootkit

Trung tâm bảo vệ phần mềm độc hại của Microsoft đã có sẵn để tải xuống Báo cáo sự cố trên Rootkit. Bản báo cáo kiểm tra một trong những loại nguy hiểm hơn của các tổ chức và cá nhân đe dọa phần mềm độc hại hiện nay - rootkit. Báo cáo xem xét cách kẻ tấn công sử dụng rootkit và cách rootkit hoạt động trên các máy tính bị ảnh hưởng.

Rootkit là một bộ công cụ mà kẻ tấn công hoặc người tạo phần mềm độc hại sử dụng để giành quyền kiểm soát đối với bất kỳ hệ thống tiếp xúc / không được bảo mật nào khác. thường được dành riêng cho quản trị viên hệ thống. Trong những năm gần đây thuật ngữ `ROOTKIT` hoặc `ROOTKIT FUNCTIONALITY` đã được thay thế bằng MALWARE - một chương trình được thiết kế để có những tác động không mong muốn trên máy tính lành mạnh. Chức năng chính của phần mềm độc hại là rút dữ liệu có giá trị và các tài nguyên khác khỏi máy tính của người dùng một cách bí mật và cung cấp cho kẻ tấn công, do đó cho phép anh ta kiểm soát hoàn toàn máy tính bị xâm nhập. Hơn nữa, chúng rất khó phát hiện và loại bỏ và có thể vẫn ẩn trong thời gian dài, có thể nhiều năm, nếu không được chú ý.

Vì vậy, một cách tự nhiên, các triệu chứng của một máy tính bị xâm nhập cần phải được đeo mặt nạ và xem xét trước khi kết quả chứng minh gây tử vong. Đặc biệt, các biện pháp an ninh nghiêm ngặt hơn cần được thực hiện để phát hiện ra cuộc tấn công. Nhưng, như đã đề cập, một khi các rootkit / phần mềm độc hại được cài đặt, khả năng tàng hình của nó làm cho nó khó khăn để loại bỏ nó và các thành phần của nó mà nó có thể tải xuống. Vì lý do này, Microsoft đã tạo một báo cáo về ROOTKITS.

Trung tâm bảo vệ phần mềm độc hại của Microsoft Báo cáo về sự tấn công của Rootkit

Báo cáo 16 trang tóm tắt cách kẻ tấn công sử dụng rootkit và cách rootkit hoạt động trên các máy tính bị ảnh hưởng. mục đích của báo cáo là xác định và kiểm tra chặt chẽ phần mềm độc hại tiềm ẩn đe dọa nhiều tổ chức, người dùng máy tính nói riêng. Nó cũng đề cập đến một số gia đình phần mềm độc hại phổ biến và đưa vào ánh sáng phương pháp mà những kẻ tấn công sử dụng để cài đặt các rootkit này cho mục đích ích kỷ của riêng họ trên các hệ thống lành mạnh.

Các loại Rootkit

Có nhiều nơi mà phần mềm độc hại có thể tự cài đặt vào hệ điều hành. Vì vậy, hầu hết các loại rootkit được xác định bởi vị trí của nó, nơi nó thực hiện subversion của nó của con đường thực hiện. Điều này bao gồm:

Chế độ người dùng Rootkit

1. Kernel Mode Rootkit
2. MBR Rootkits / bootkits
3. Hiệu ứng có thể có của thỏa hiệp rootkit chế độ lõi được minh họa thông qua một ảnh chụp màn hình dưới đây.

Loại thứ ba, sửa đổi Master Boot Record để kiểm soát hệ thống và bắt đầu quá trình tải điểm sớm nhất có thể trong trình tự khởi động3. Nó ẩn các tập tin, sửa đổi registry, bằng chứng về kết nối mạng cũng như các chỉ báo khác có thể cho biết sự hiện diện của nó.

Các gia đình phần mềm độc hại đáng chú ý sử dụng chức năng Rootkit

Win32 / Sinowal

13 - Một họ đa thành phần phần mềm độc hại cố gắng lấy cắp dữ liệu nhạy cảm như tên người dùng và mật khẩu cho các hệ thống khác nhau. Điều này bao gồm cố gắng ăn cắp thông tin xác thực cho nhiều tài khoản FTP, HTTP và email khác nhau cũng như thông tin đăng nhập được sử dụng cho ngân hàng trực tuyến và các giao dịch tài chính khác. Win32 / Cutwail

15 - Một Trojan tải xuống và thực hiện tùy ý các tập tin. Các tệp đã tải xuống có thể được thực thi từ đĩa hoặc được tiêm trực tiếp vào các quy trình khác. Cutwail thường tải xuống các thành phần khác gửi thư rác. Nó sử dụng rootkit chế độ lõi và cài đặt một số trình điều khiển thiết bị để ẩn các thành phần của nó khỏi người dùng bị ảnh hưởng.

Win32 / Rustock

- Một gia đình đa thành phần của Trojan hỗ trợ rootkit hỗ trợ rootkit ban đầu được phát triển để hỗ trợ việc phân phối email “spam” thông qua botnet. Botnet là một mạng lưới kiểm soát máy tính bị tấn công lớn. Bảo vệ chống rootkit

Ngăn chặn cài đặt rootkit là phương pháp hiệu quả nhất để tránh bị nhiễm rootkit. Đối với điều này, nó là cần thiết để đầu tư vào các công nghệ bảo vệ như chống virus và các sản phẩm tường lửa. Các sản phẩm như vậy nên có cách tiếp cận toàn diện để bảo vệ bằng cách sử dụng phát hiện dựa trên chữ ký truyền thống, phát hiện heuristic, khả năng chữ ký động và đáp ứng và giám sát hành vi.

Tất cả các bộ chữ ký này phải được cập nhật bằng cơ chế cập nhật tự động. Các giải pháp chống vi-rút của Microsoft bao gồm một số công nghệ được thiết kế đặc biệt để giảm thiểu rootkit, bao gồm giám sát hành vi hạt nhân trực tiếp phát hiện và báo cáo về nỗ lực sửa đổi hạt nhân của hệ thống bị ảnh hưởng và phân tích cú pháp hệ thống tập tin trực tiếp giúp xác định và loại bỏ các trình điều khiển ẩn. Nếu một hệ thống bị phát hiện bị xâm nhập thì một công cụ bổ sung cho phép bạn khởi động đến một môi trường tốt hoặc đáng tin cậy đã biết có thể hữu ích vì nó có thể đề xuất một số biện pháp khắc phục thích hợp.

Trong những trường hợp như vậy, Công cụ quét hệ thống độc lập (một phần của Microsoft Diagnostics và Recovery Toolset (DaRT)

Windows Defender Offline có thể hữu ích.

1. Để biết thêm thông tin, bạn có thể tải xuống báo cáo PDF từ Trung tâm Tải xuống của Microsoft.