211service.com
Kaip šiais laikais veikia rootkit aptikimas?
Jūs tikriausiai esate susipažinę su kompiuterių virusais, reklaminėmis programomis, šnipinėjimo programomis ir kitomis kenksmingomis programomis, kurios dažniausiai laikomos grėsmėmis. Tačiau kitokia kenkėjiškų programų forma ar klasė (šakniniai rinkiniai) gali būti pavojingiausia iš visų. Sakydami „pavojinga“, turime omenyje žalos, kurią gali sukelti kenkėjiška programa, lygį ir sunkumus, su kuriais susiduria vartotojai ją surandant ir pašalinant.
Kas yra rootkitai?
„Rootkit“ yra kenkėjiškų programų rūšis, sukurta leidimo neturintiems vartotojams suteikti prieigą prie kompiuterių (arba tam tikrų kompiuterių programų). Rootkit yra užprogramuoti taip, kad liktų paslėpti (už akių), kol jie išlaikys privilegijuotą prieigą. Po to, kai „rootkit“ patenka į kompiuterio vidų, jis lengvai užmaskuoja savo buvimą ir vargu ar vartotojai to pastebės.
Kaip „rootkit“ kenkia asmeniniam kompiuteriui?
Iš esmės per „rootkit“ kibernetiniai nusikaltėliai gali valdyti jūsų kompiuterį. Naudodami tokią galingą kenkėjišką programą jie gali priversti jūsų kompiuterį daryti bet ką. Jie gali pavogti jūsų slaptažodžius ir kitą neskelbtiną informaciją, stebėti visas jūsų kompiuteryje vykdomas veiklas ar operacijas ir netgi išjungti jūsų saugos programą.
Atsižvelgiant į įspūdingas „rootkit“ galimybes užgrobti ar sustabdyti saugos programas, jas aptikti ar su jomis susidurti yra gana sunku, net labiau nei vidutinę kenkėjišką programą. „Rootkit“ gali ilgai egzistuoti arba veikti kompiuteriuose, išvengiant aptikimo ir padarant didelę žalą.
Kartais, kai žaidžiami pažangūs rootkitai, vartotojams nelieka nieko kito, kaip ištrinti viską iš savo kompiuterio ir pradėti viską iš naujo - jei jie nori atsikratyti kenkėjiškų programų.
Ar kiekviena kenkėjiška programa yra rootkit?
Ne. Jei kas, tik nedidelė dalis kenkėjiškų programų yra rootkitai. Palyginti su kitomis kenksmingomis programomis, rootkitai yra žymiai pažengę projektavimo ir programavimo srityse. „Rootkit“ gali padaryti daug daugiau nei vidutinė kenkėjiška programa.
Jei norėtume vadovautis griežtais techniniais apibrėžimais, tai „rootkit“ nėra kenkėjiškos programos forma ar tipas. „Rootkits“ paprasčiausiai atitinka procesą, naudojamą kenkėjiškoms programoms diegti taikinyje (paprastai tam tikrame kompiuteryje, asmenyje ar organizacijoje). Suprantama, kad kadangi rootkitai gana dažnai pasirodo naujienose apie kibernetinius užpuolimus ar įsilaužimus, šis terminas turėjo neigiamą atspalvį.
Teisybės dėlei reikia pasakyti, kad rootkitai veikia gana panašiai kaip kenkėjiškos programos. Jie mėgsta veikti be apribojimų aukų kompiuteriuose; jie nenori, kad apsauginės komunalinės paslaugos juos atpažintų ar surastų; jie dažniausiai bando pavogti daiktus iš tikslinio kompiuterio. Galų gale, rootkitai yra grėsmė. Todėl jie turi būti užblokuoti (kad išvis neleistų jiems įeiti) arba kreiptis (jei jie jau rado kelią).
Kodėl naudojami ar pasirenkami šakniniai rinkiniai?
Užpuolikai naudoja šakninius rinkinius įvairiems tikslams, tačiau dažniausiai jie bando juos naudoti, kad pagerintų ar išplėstų kenkėjiškų programų slaptas galimybes. Padidėjus slaptui, kompiuteryje įdiegtos kenksmingos naudingosios apkrovos gali likti nepastebėtos ilgiau, o blogos programos stengiasi išfiltruoti ar pašalinti duomenis iš tinklo.
„Rootkit“ rinkiniai yra gana naudingi tuo, kad suteikia patogų būdą ar platformą, leidžiančią neįgaliotiems dalyviams (įsilaužėliams ar net vyriausybės pareigūnams) gauti prieigą prie sistemų. „Rootkit“ paprastai pasiekia čia aprašytą tikslą, sugadindami prisijungimo mechanizmus, kad priverstų kompiuterius suteikti jiems slaptą prisijungimo prieigą kitam asmeniui.
„Rootkits“ taip pat gali būti įdiegtas siekiant pažeisti kompiuterį ar užgožti jį, kad užpuolikas galėtų valdyti ir naudoti įrenginį kaip įrankį tam tikroms užduotims atlikti. Pavyzdžiui, įsilaužėliai taikosi į įrenginius su rootkitais ir naudoja juos kaip DDoS (Distributed Denial of Service) atakų robotus. Tokiu atveju, jei DDoS šaltinis kada nors bus aptiktas ir atsektas, tai sukels pažeistą kompiuterį (auką), o ne tikrąjį atsakingą kompiuterį (užpuoliką).
Pažeisti kompiuteriai, dalyvaujantys tokiose atakose, paprastai vadinami zombių kompiuteriais. DDoS atakos vargu ar yra vieninteliai blogi dalykai, kuriuos užpuolikai daro su pažeistais kompiuteriais. Kartais įsilaužėliai naudoja savo aukų kompiuterius sukčiavimui paspaudimais ar šlamšto platinimui.
Įdomu tai, kad yra scenarijų, kai šakninius paketus administratoriai arba įprasti asmenys naudoja geriems tikslams, tačiau tokių pavyzdžių vis dar nėra. Mes matėme pranešimus apie kai kurias IT komandas, kurios naudoja „rootkit“ rinkinius meduje, kad aptiktų ar atpažintų išpuolius. Na, tokiu būdu, jei jiems pavyks atlikti užduotis, jie galės patobulinti savo emuliacijos metodus ir saugumo programas. Jie taip pat gali įgyti žinių, kurias vėliau galėtų panaudoti tobulindami apsaugos nuo vagystės įtaisus.
Nepaisant to, jei kada nors teks susidurti su rootkit, yra tikimybė, kad rootkit bus naudojamas prieš jus (ar jūsų interesus). Todėl svarbu išmokti aptikti kenkėjiškas tos klasės programas ir apsiginti nuo jų (ar savo kompiuterį).
Šaknies rinkinių tipai
Yra įvairių šakninių rinkinių formų ar tipų. Mes galime juos klasifikuoti pagal jų užkrėtimo būdą ir lygį, kuriuo jie veikia kompiuteriuose. Na, tai yra labiausiai paplitę rootkit tipai:
-
Branduolio režimo rootkit:
Branduolio režimo šakniniai rinkiniai yra šakniniai rinkiniai, skirti kenkėjiškoms programoms įterpti į operacinių sistemų branduolį, siekiant pakeisti OS funkcionalumą ar sąranką. „Branduolys“ reiškia centrinę operacinės sistemos dalį, kuri valdo arba susieja aparatinės įrangos ir programų operacijas.
Užpuolikams sunku įdiegti branduolio režimo šakninius rinkinius, nes dėl tokių šakninių rinkinių sistemos gali sugesti, jei naudojamas kodas nepavyksta. Tačiau jei jiems kada nors pavyks sėkmingai įdiegti, tada rootkitai galės padaryti neįtikėtiną žalą, nes branduoliai paprastai turi aukščiausius privilegijų lygius sistemoje. Kitaip tariant, turėdami sėkmingus branduolio režimo šakninius rinkinius, užpuolikai gali lengvai važiuoti su savo aukų kompiuteriais.
-
„User-mode rootkit“:
Šios klasės šakniniai paketai vykdomi veikiant kaip įprastos ar įprastos programos. Jie linkę veikti toje pačioje aplinkoje, kurioje veikia programos. Dėl šios priežasties kai kurie saugos ekspertai juos vadina programų šakniniais rinkiniais.
Vartotojo režimo rootkit yra palyginti lengviau įdiegti (nei branduolio režimo rootkit), tačiau jie sugeba mažiau. Jie daro mažiau žalos nei branduolio šakniniai rinkiniai. Teoriškai saugumo programoms taip pat lengviau susidoroti su vartotojo režimo šakniniais rinkiniais (palyginti su kitomis šakninių rinkinių formomis ar klasėmis).
-
„Bootkit“ („boot rootkit“):
Įkrovos rinkiniai yra šakniniai rinkiniai, kurie praplečia arba pagerina įprastų šakninių rinkinių galimybes užkrėsdami pagrindinį įkrovos įrašą. Mažos programos, kurios suaktyvinamos paleidus sistemą, sudaro pagrindinį įkrovos įrašą (kuris kartais sutrumpinamas kaip MBR). „Bootkit“ iš esmės yra programa, puolanti sistemą ir veikianti siekiant pakeisti įprastą įkrovos programą įsilaužta versija. Toks rootkit suaktyvinamas dar prieš paleidžiant ir nusistovėjus kompiuterio operacinei sistemai.
Atsižvelgdami į „bootkits“ infekcijos būdą, užpuolikai gali juos panaudoti nuolatinėms atakoms, nes jie sukonfigūruoti veikti, kai sistema įsijungia (net po gynybinio atstatymo). Be to, jie linkę išlikti aktyvūs sistemos atmintyje, kuri yra vieta, kurią saugumo programos ar IT komandos retai tikrina dėl grėsmių.
-
Atminties šakninis rinkinys:
Atminties šakninis rinkinys yra šakninio paketo tipas, skirtas paslėpti kompiuterio RAM atmintyje (atsitiktinės prieigos atminties trumpinys, kuris yra tas pats, kas laikina atmintis). Tada šie šakniniai rinkiniai (patekę į atmintį) stengiasi vykdyti kenksmingas operacijas fone (vartotojams apie juos nežinant).
Laimei, atminties šakninių rinkinių gyvenimo trukmė yra neilga. Jie gali gyventi tik kompiuterio RAM atmintyje. Jei perkrausite savo kompiuterį, jie išnyks - bent jau teoriškai turėtų. Nepaisant to, kai kuriais atvejais pakartotinio paleidimo proceso nepakanka; vartotojams gali tekti atlikti tam tikrą darbą, kad atsikratytų atminties šakninių rinkinių.
-
Aparatinės arba programinės aparatinės įrangos rinkinys:
Aparatinės arba programinės aparatinės įrangos rinkiniai savo pavadinimą gauna iš vietos, kurioje jie įdiegti kompiuteriuose.
Yra žinoma, kad šie rootkitai naudojasi programinės įrangos, įterptos į firmware sistemose, privalumais. Tvirtoji programinė įranga reiškia specialią programų klasę, kuri suteikia žemą valdymą arba instrukcijas konkrečiai aparatinei įrangai (ar įrenginiui). Pavyzdžiui, jūsų nešiojamas kompiuteris turi programinę-aparatinę įrangą (paprastai BIOS), kurią į jį įkėlė jo gamintojas. Jūsų maršrutizatorius taip pat turi programinę-aparatinę įrangą.
Kadangi programinės aparatinės įrangos rinkiniai gali egzistuoti tokiuose įrenginiuose kaip maršrutizatoriai ir diskai, jie gali likti paslėpti labai ilgai, nes tie aparatūros įrenginiai retai tikrinami ar tikrinami dėl kodo vientisumo (jei jie apskritai yra tikrinami). Jei įsilaužėliai užkrės jūsų maršrutizatorių ar diską „rootkit“, jie galės perimti per įrenginį tekančius duomenis.
Kaip apsaugoti nuo rootkitų (patarimai vartotojams)
Net geriausios saugos programos vis dar kovoja su rootkitais, todėl geriau darykite viską, kas būtina, kad rootkitai nepatektų į jūsų kompiuterį. Ne taip sunku išlikti saugiam.
Jei laikysitės geriausios saugos praktikos, jūsų kompiuterio tikimybė užsikrėsti rootkit žymiai sumažės. Štai keletas jų:
-
Atsisiųskite ir įdiekite visus naujinius:
Jūs tiesiog negalite sau leisti nieko nepaisyti. Taip, mes suprantame, kad programų atnaujinimai gali erzinti, o jūsų operacinės sistemos versijos atnaujinimai gali kelti nerimą, tačiau jūs negalite išsiversti be jų. Jei atnaujinsite programas ir OS, užtikrinsite saugos spragų ar pažeidžiamumų, kuriuos užpuolikai naudojasi, įvesdami šakninius rinkmenas į jūsų kompiuterį, pataisų. Jei skylės ir pažeidžiamumai bus uždaryti, jūsų kompiuteris bus geresnis.
-
Saugokitės sukčiavimo el. Laiškų:
Apgaulingus el. Laiškus paprastai siunčia sukčiai, norintys apgauti jus pateikti savo asmeninę informaciją ar neskelbtiną informaciją (pvz., Prisijungimo duomenis ar slaptažodžius). Nepaisant to, kai kurie sukčiavimo el. Laiškai skatina vartotojus atsisiųsti ir įdiegti programinę įrangą (kuri dažniausiai yra kenkėjiška ar kenksminga).
Tokie el. Laiškai gali atrodyti kaip gauti iš teisėtų siuntėjų ar patikimų asmenų, todėl turite jų saugotis. Neatsakykite į juos. Nespauskite nieko juose (nuorodų, priedų ir pan.).
-
Saugokitės atsisiųstų įrenginių ir nenumatytų diegimų:
Čia mes norime, kad atkreiptumėte dėmesį į dalykus, kurie atsisiunčiami į jūsų kompiuterį. Nenorite gauti kenkėjiškų failų ar blogų programų, kurios įdiegia kenkėjiškas programas. Taip pat turite nepamiršti įdiegtų programų, nes kai kurios teisėtos programos yra sujungtos su kitomis programomis (kurios gali būti kenkėjiškos).
Idealiu atveju turėtumėte gauti tik oficialias programų versijas iš oficialių puslapių ar atsisiuntimo centrų, tinkamai pasirinkti diegdami ir atkreipti dėmesį į visų programų diegimo procesus.
-
Įdiekite apsauginę priemonę:
Jei šakninis paketas turi patekti į jūsų kompiuterį, jo įrašas greičiausiai bus susijęs su kitos kenkėjiškos programos buvimu ar egzistavimu jūsų kompiuteryje. Yra tikimybė, kad gera antivirusinė ar antimalware programa aptiks pradinę grėsmę prieš įvedant arba suaktyvinant „rootkit“.
Galite gauti kovos su kenkėjiška programa. Gerai pasikliausite rekomenduojama programa, nes geros saugumo programos vis dar yra geriausia apsauga nuo visų grėsmių.
Kaip aptikti rootkit (ir keletą patarimų organizacijoms ir IT administratoriams)
Yra nedaug komunalinių paslaugų, galinčių aptikti ir pašalinti rootkit. Net kompetentingos saugos programos (žinomos kaip susijusios su tokiomis kenkėjiškomis programomis) kartais stengiasi tinkamai nesugebėti atlikti darbo. „Rootkit“ šalinimo gedimai yra dažnesni, kai kenkėjiška programa egzistuoja ir veikia branduolio lygmenyje (branduolio režimo šakniniai rinkiniai).
Kartais, norint atsikratyti rootkit, vienintelis dalykas gali būti iš naujo įdiegti OS kompiuteryje. Jei turite reikalų su programinės aparatinės įrangos šakniniais rinkiniais, gali tekti pakeisti kai kurias aparatinės įrangos dalis paveiktame įrenginyje arba įsigyti specializuotos įrangos.
Vienas iš geriausių rootkit aptikimo procesų reikalauja, kad vartotojai atliktų aukščiausio lygio rootkit rinkmenas. „Aukščiausio lygio nuskaitymas“ reiškia skenavimą, kurį valdo atskira švari sistema, o užkrėstą mašiną išjungus. Teoriškai toks nuskaitymas turėtų padaryti pakankamai, kad patikrintų užpuolikų paliktus parašus, ir turėtų sugebėti nustatyti ar atpažinti netinkamą žaidimą tinkle.
Taip pat galite naudoti atminties išklotinės analizę, kad aptiktumėte rootkit, ypač jei įtariate, kad yra įkrovos rinkinys, kuris veikia sistemos atmintyje. Jei įprastame kompiuterio tinkle yra rootkit, jis tikriausiai nebus paslėptas, jei jis vykdys komandas, susijusias su atminties naudojimu, o valdomas paslaugų teikėjas (MSP) galės peržiūrėti instrukcijas, kurias siunčia kenkėjiška programa. .
Elgesio analizė yra dar viena patikima procedūra ar metodas, kuris kartais naudojamas aptikti ar sekti šakninius rinkinius. Čia vietoj to, kad tiesiogiai patikrintumėte, ar nėra „rootkit“, patikrindami sistemos atmintį ar stebėdami atakos parašus, turite ieškoti „rootkit“ simptomų kompiuteryje. Tokie dalykai, kaip lėtas veikimo greitis (žymiai lėtesnis nei įprasta), nelyginis tinklo srautas (kurio neturėtų būti) ir kiti įprasti nukrypstantys elgesio modeliai, turėtų pašalinti rootkit.
Valdytojo paslaugų teikėjai iš tikrųjų gali įdiegti mažiausių privilegijų („PoLP“) principą kaip specialią strategiją savo klientų sistemose, kad būtų galima pašalinti ar sušvelninti „rootkit“ infekcijos padarinius. Kai naudojama „PoLP“, sistemos sukonfigūruojamos apriboti kiekvieną tinklo modulį, o tai reiškia, kad atskiri moduliai gauna prieigą tik prie jų darbui reikalingos informacijos ir išteklių (konkretiems tikslams).
Na, siūloma sąranka užtikrina griežtesnį saugumą tarp tinklo šakų. Tai taip pat daro pakankamai, kad blokuotų kenksmingos programinės įrangos diegimą tinklo branduoliuose, kuriuos vykdo neįgalioti vartotojai, o tai reiškia, kad tai neleidžia rootkitams įsilaužti ir sukelti problemų.
Laimei, vidutiniškai šakninių rinkinių mažėja (palyginti su kitų kenksmingų programų, kurios per pastaruosius metus daugėjo, apimtimi), nes kūrėjai nuolat gerina operacinių sistemų saugumą. Galinių taškų apsauga tampa vis stipresnė, ir didesnis CPU (arba procesorių) skaičius yra sukurtas naudoti įmontuotus branduolio apsaugos režimus. Nepaisant to, šiuo metu šakniniai rinkiniai vis dar egzistuoja ir juos reikia identifikuoti, nutraukti ir pašalinti visur, kur tik jie yra.