Windows

Kuidas rootkitide tuvastamine tänapäeval töötab?

Tõenäoliselt olete tuttav arvutiviiruste, reklaamvara, nuhkvara ja muude pahatahtlike programmidega, mida peetakse enamasti ohuks. Kuid mõni muu pahavara vorm või klass (juurkomplektid) võib olla neist kõige ohtlikum. Ohtliku all mõtleme pahatahtliku programmi tekitatud kahju taset ja kasutajate raskusi selle leidmisel ja eemaldamisel.

Mis on juurkomplektid?

Rootkitid on pahavara tüüp, mis on loodud selleks, et lubada volitamata kasutajatel juurdepääsu arvutitele (või teatud arvutites olevatele rakendustele). Rootkomplektid on programmeeritud peidetuks (silma alt väljas), samal ajal kui neil on privilegeeritud juurdepääs. Pärast seda, kui rootkit on sattunud arvutisse, varjab see hõlpsasti oma olemasolu ja tõenäoliselt ei märka kasutajad seda.

Kuidas kahjustab rootkit arvutit?

Sisuliselt saavad küberkurjategijad juurkomplekti kaudu teie arvutit juhtida. Nii võimsa pahatahtliku programmi abil võivad nad sundida teie arvutit kõike tegema. Nad võivad varastada teie paroole ja muud tundlikku teavet, jälgida kõiki teie arvutis toimuvaid toiminguid ja isegi keelata teie turbeprogrammi.

Arvestades rootkitide muljetavaldavaid võimalusi turvarakendusi kaaperdada või alla panna, on neid üsna raske tuvastada või nendega silmitsi seista, seda enam, et keskmist pahatahtlikku programmi. Rootkitid võivad eksisteerida või töötada arvutis pikka aega, vältides avastamist ja tekitades olulist kahju.

Vahel, kui mängivad täiustatud juurkomplektid, ei jää kasutajatel muud üle, kui kõik oma arvutis kustutada ja otsast alustada - kui nad soovivad pahatahtlikest programmidest lahti saada.

Kas iga pahavara on juurkomplekt?

Ei. Kui midagi on, on juurkomplektid vaid väike osa pahavara. Võrreldes teiste pahatahtlike programmidega on juurkomplektid disaini ja programmeerimise osas märkimisväärselt arenenud. Rootkitid suudavad palju rohkem kui keskmine pahavara.

Kui lähtuda rangetest tehnilistest definitsioonidest, siis pole juurkomplekt just pahavara vorm või tüüp. Rootkitid vastavad lihtsalt protsessile, mida kasutatakse pahavara sihtmärgil (tavaliselt konkreetses arvutis või isikus või organisatsioonis) juurutamiseks. Arusaadavalt, kuna juurkomplektid ilmuvad küberrünnakute või häkkimise uudistes üsna sageli, on see termin kandnud negatiivset varjundit.

Kui aus olla, töötavad rootkitid üsna sarnaselt pahavaraga. Neile meeldib töötada ohvrite arvutites piiranguteta; nad ei taha, et kaitsvad kommunaalteenused neid tunneksid või leiaksid; tavaliselt üritatakse sihtarvutist asju varastada. Lõppkokkuvõttes on rootkitid ohud. Seetõttu tuleb nad blokeerida (et takistada nende sissetulemist) või pöörduda nende poole (kui nad on juba leidnud tee).

Miks rootkit kasutatakse või valitakse?

Ründajad kasutavad juurkomplekte mitmel otstarbel, kuid enamasti üritavad nad neid kasutada pahavara varjatud võimaluste parandamiseks või laiendamiseks. Suurema varguse korral võivad arvutisse paigutatud pahatahtlikud kasulikud koormused kauem avastamata jääda, kui halvad programmid töötavad andmete võrku filtreerimise või eemaldamise nimel.

Rootkitid on üsna kasulikud, kuna pakuvad mugavat viisi või platvormi, mille kaudu volitamata osalejad (häkkerid või isegi riigiametnikud) saavad süsteemidele tagaukse juurdepääsu. Juurkomplektid saavutavad siin kirjeldatud eesmärgi tavaliselt sisselogimismehhanismide õõnestamisega, et sundida arvutit neile teisele isikule salajase sisselogimisõiguse andma.

Juurkomplekte saab kasutada ka arvuti kompromiteerimiseks või ülekoormamiseks, et ründaja saaks kontrolli kätte ja kasutaks seadet teatud ülesannete täitmiseks tööriistana. Näiteks häkkerid sihivad rootkitiga seadmeid ja kasutavad neid robotitena DDoS (Distributed Denial of Service) rünnakute jaoks. Sellise stsenaariumi korral viib DDoS-i allika avastamise ja jälitamise korral tegeliku vastutava arvuti (ründaja) asemel ohustatud arvuti (ohver).

Sellistes rünnakutes osalenud ohustatud arvutid on üldtuntud kui zombie-arvutid. DDoS-i rünnakud on vaevalt ainsad halvad asjad, mida ründajad rikutud arvutitega teevad. Mõnikord kasutavad häkkerid oma ohvrite arvuteid klõpsupettuste või rämpsposti levitamiseks.

Huvitaval kombel on stsenaariume, kus administraatorid või tavalised isikud juurutavad juurkomplekte headel eesmärkidel, kuid näiteid selliste kohta on siiski üsna harva. Oleme näinud teateid mõnede IT-meeskondade kohta, kes käitavad meepotis juurkomplekte rünnakute avastamiseks või tuvastamiseks. Noh, niimoodi saavad nad ülesannete täitmisel oma emuleerimistehnikaid ja turvarakendusi täiustada. Samuti võivad nad omandada mõningaid teadmisi, mida saaks seejärel kasutada vargusevastaste kaitseseadmete täiustamiseks.

Sellest hoolimata, kui peate kunagi rootkitiga tegelema, on tõenäoline, et rootkitit kasutatakse teie (või teie huvide) vastu. Seetõttu on oluline, et õpiksite, kuidas selles klassis pahatahtlikke programme tuvastada ja kuidas ennast (või oma arvutit) nende eest kaitsta.

Juurkomplektide tüübid

Juurkomplekte on erinevaid vorme või tüüpe. Me võime neid klassifitseerida nende nakatumisviisi ja taseme järgi, mil nad arvutites töötavad. Need on kõige levinumad juurkomplekti tüübid:

  1. Kerneli režiimi juurkomplekt:

Kerneli režiimi juurkomplektid on juurkomplektid, mis on loodud pahavara sisestamiseks operatsioonisüsteemide tuuma, et muuta operatsioonisüsteemi funktsionaalsust või seadistust. "Tuuma" all peame silmas operatsioonisüsteemi keskset osa, mis kontrollib või ühendab riistvara ja rakenduste vahelisi toiminguid.

Ründajatel on kernelmoodi juurkomplektide juurutamine keeruline, kuna sellised juurkomplektid põhjustavad süsteemide krahhi, kui kasutatav kood ebaõnnestub. Kui neil siiski õnnestub juurutamisega kunagi edukalt hakkama saada, saavad juurkomplektid teha uskumatut kahju, kuna tuumadel on tavaliselt süsteemis kõrgeimad privileegitasemed. Teisisõnu, edukate kernelmoodiga juurkomplektide korral saavad ründajad oma ohvrite arvutitega hõlpsasti sõita.

  1. Kasutajarežiimi juurkomplekt:

Selle klassi juurkomplektid käivitatakse tavaliste või tavaliste programmidena toimides. Nad kipuvad töötama samas keskkonnas, kus rakendused töötavad. Sel põhjusel nimetavad mõned turvaeksperdid neid rakenduse juurkomplektideks.

Kasutajarežiimi juurkomplekte on suhteliselt lihtsam juurutada (kui kerneli režiimi juurkomplekte), kuid need on võimelised vähemaks. Nad teevad vähem kahju kui tuuma juurkomplektid. Turvarakendustel on teoreetiliselt ka kasutajarežiimi juurkomplektidega lihtsam toime tulla (võrreldes teiste juurkomplektide vormide või klassidega).

  1. Bootkit (alglaadimise juurkomplekt):

Alglaadimiskomplektid on juurkomplektid, mis laiendavad või parandavad tavaliste juurkomplektide võimeid, nakatades algkäivitusregistri. Väikesed programmid, mis aktiveeritakse süsteemi käivitamisel, moodustavad alglaadimiste kirje (mida mõnikord lühendatakse kui MBR). Alglaadimiskomplekt on põhimõtteliselt programm, mis ründab süsteemi ja töötab tavalise alglaaduri asendamiseks häkkinud versiooniga. Selline juurkomplekt aktiveeritakse juba enne arvuti operatsioonisüsteemi käivitamist ja seadistamist.

Bootkitide nakatumisrežiimi arvestades saavad ründajad neid rakendada püsivamates rünnakuvormides, kuna nad on konfigureeritud töötama süsteemi sisselülitamisel (isegi pärast kaitsvat lähtestamist). Pealegi kipuvad nad jääma aktiivseks süsteemimällu, mis on turvarakenduste või IT-meeskondade poolt harva ohtude suhtes skannitud koht.

  1. Mälu juurkomplekt:

Mälu juurkomplekt on juurkomplekti tüüp, mis on mõeldud arvuti RAM-i peitmiseks (akronüüm Random Access Memory, mis on sama mis ajutine mälu). Need juurkomplektid (kui need on kord mälus) töötavad siis kahjulike toimingute tegemiseks taustal (ilma et kasutajad neist teaksid).

Õnneks on mälu juurkomplektide eluiga lühike. Nad saavad teie arvuti RAM-is elada ainult seansi vältel. Kui taaskäivitate arvuti, siis need kaovad - vähemalt teoreetiliselt peaksid. Sellest hoolimata ei piisa mõne stsenaariumi korral taaskäivitamise protsessist; kasutajad võivad lõpuks mälu juurkomplektidest vabanemiseks veidi tööd teha.

  1. Riistvara või püsivara juurkomplekt:

Riistvara või püsivara juurkomplektid saavad oma nime arvutisse installitud kohast.

Need juurkomplektid kasutavad teadaolevalt süsteemide püsivara sisseehitatud tarkvara eeliseid. Püsivara viitab spetsiaalsele programmiklassile, mis pakub konkreetsel riistvaral (või seadmel) madalal tasemel juhtimist või juhiseid. Näiteks on teie sülearvutil püsivara (tavaliselt BIOS), mille selle laadis tootja. Ka teie ruuteril on püsivara.

Kuna püsivara juurkomplektid võivad eksisteerida sellistes seadmetes nagu ruuterid ja draivid, võivad need jääda varjatuks väga kauaks - kuna neid riistvaraseadmeid kontrollitakse või kontrollitakse harva koodi terviklikkuse osas (kui neid üldse kontrollitakse). Kui häkkerid nakatavad teie ruuteri või draivi rootkitiga, saavad nad seadmest läbi voolavaid andmeid kinni püüda.

Kuidas rootkitide eest kaitsta (näpunäited kasutajatele)

Isegi parimad turbeprogrammid võitlevad endiselt juurkomplektide vastu, nii et parem on teha kõik vajalik, et vältida juurkomplektide sisenemist arvutisse. Turvalisus pole nii keeruline.

Kui järgite parimaid turbetavasid, väheneb märkimisväärselt tõenäosus, et arvuti nakatub rootkitiga. Siin on mõned neist:

  1. Laadige alla ja installige kõik värskendused:

Te ei saa lihtsalt lubada värskendusi eirata. Jah, me mõistame, et rakenduste värskendused võivad olla tüütud ja teie operatsioonisüsteemi ehituse värskendused võivad olla häirivad, kuid ilma nendeta ei saa. Programmide ja operatsioonisüsteemi värskena hoidmine tagab turvaaukude või turvaaukude parandamise, mida ründajad kasutavad rootkitite arvutisse süstimiseks ära. Kui aukud ja haavatavused suletakse, on teie arvuti selle jaoks parem.

  1. Olge andmepüügi meilide suhtes ettevaatlik:

Andmepüügi e-kirju saadavad tavaliselt petturid, kes soovivad teid meelitada teid edastama teie isikuandmeid või tundlikke andmeid (näiteks sisselogimisandmed või paroolid). Sellest hoolimata julgustavad mõned andmepüügimeilid kasutajaid tarkvara alla laadima ja installima (mis on tavaliselt pahatahtlik või kahjulik).

Sellised e-kirjad võivad tunduda pärinevat seaduslikult saatjalt või usaldusväärselt isikult, seega peate neid valvama. Ärge neile reageerige. Ärge klõpsake neis midagi (linke, manuseid jne).

  1. Olge ettevaatlik allalaadimiste ja tahtmatute installimiste suhtes:

Siinkohal soovime, et pööraksite tähelepanu asjadele, mis teie arvutisse alla laaditakse. Te ei soovi hankida pahatahtlikke faile ega halbu rakendusi, mis installivad pahatahtlikke programme. Samuti peate olema tähelepanelik installitud rakenduste suhtes, kuna mõned õigustatud rakendused on ühendatud teiste programmidega (mis võivad olla pahatahtlikud).

Ideaalis peaksite hankima ametlikelt lehtedelt või allalaadimiskeskustest ainult programmide ametlikud versioonid, tegema installimisel õiged valikud ja pöörama tähelepanu kõigi rakenduste installiprotsessidele.

  1. Paigaldage kaitsev utiliit:

Kui juurkomplekt peaks jõudma teie arvutisse, siis on selle sisestus tõenäoliselt seotud mõne muu pahatahtliku programmi olemasolu või olemasoluga teie arvutis. Võimalik, et hea viirusetõrje- või pahavaratõrje rakendus tuvastab algse ohu enne juurkomplekti juurutamist või aktiveerimist.

Võite hankida Auslogics Anti-Malware. Teil on hea uskuda soovitatud rakendusse, sest head turvaprogrammid on teie parim kaitse igasuguste ohtude vastu.

Kuidas juurkomplekte tuvastada (ja näpunäiteid organisatsioonidele ja IT-administraatoritele)

On vähe utiliite, mis on võimelised juurkomplekte tuvastama ja eemaldama. Isegi pädevad turvarakendused (mis teadaolevalt tegelevad selliste pahatahtlike programmidega) näevad mõnikord vaeva või ei suuda seda tööd korralikult teha. Rootkiti eemaldamise tõrked on levinumad siis, kui pahavara eksisteerib ja töötab tuuma tasandil (kerneli režiimi juurkomplektid).

Mõnikord on juurkomplektist vabanemiseks ainus asi, mis OS-i arvutisse uuesti installida. Kui teil on tegemist püsivara juurkomplektidega, peate võib-olla asendama mõjutatud seadme riistvara osad või hankima spetsiaalseid seadmeid.

Üks parimatest juurkomplekti tuvastamise protsessidest nõuab kasutajatelt juurkomplektide tipptasemel skannimist. „Tipptasemel skannimise“ all mõistame skannimist, mida juhib eraldi puhas süsteem, samal ajal kui nakatunud masin on välja lülitatud. Teoreetiliselt peaks selline skannimine piisavalt tegema, et kontrollida ründajate allkirjade olemasolu ja peaks olema võimeline võrgus tuvastama või ära tundma mõne ebameeldiva mängu.

Samuti saate juurkomplektide tuvastamiseks kasutada mäluprogrammi analüüsi, eriti kui kahtlustate, et tegemist on alglaadimiskomplektiga, mis riivib süsteemi mällu. Kui tavalises arvuti võrgus on juurkomplekt, siis tõenäoliselt ei peideta seda, kui ta täidab mälu kasutavaid käske - ja hallatud teenusepakkuja (MSP) saab vaadata juhiseid, mida pahatahtlik programm saadab .

Käitumisanalüüs on veel üks usaldusväärne protseduur või meetod, mida mõnikord kasutatakse juurkomplektide tuvastamiseks või jälgimiseks. Siin peate selle asemel, et otsite juurkomplekti otsimist, kontrollides süsteemimälu või jälgides rünnaku allkirju, peate arvutist otsima juurkomplekti sümptomeid. Sellised asjad nagu aeglane töökiirus (tunduvalt tavalisest aeglasem), paaritu võrguliiklus (mida seal ei tohiks olla) ja muud levinud hälbivad käitumismallid peaksid juurkomplektid ära andma.

Haldusteenuse pakkujad saavad juurutada klientide süsteemides spetsiaalse strateegiana minimaalsete privileegide (PoLP) põhimõtte, et toime tulla rootkit-nakkuse tagajärgedega või leevendada neid. PoLP-i kasutamisel on süsteemid konfigureeritud piirama võrgu kõiki mooduleid, mis tähendab, et üksikud moodulid saavad juurdepääsu ainult teabele ja ressurssidele, mida nad oma töö jaoks vajavad (konkreetsetel eesmärkidel).

Kavandatud seadistus tagab tihedama turvalisuse võrgu harude vahel. Samuti teeb see piisavalt, et blokeerida volitamata kasutajate pahavara installimine võrgusüdamikesse, mis tähendab, et see takistab juurkomplektide sissemurdmist ja probleemide tekitamist.

Õnneks on juurkomplektid keskmiselt languses (võrreldes teiste viimastel aastatel vohavate pahatahtlike programmidega), kuna arendajad parandavad pidevalt operatsioonisüsteemide turvalisust. Lõpp-punktikaitsed muutuvad üha tugevamaks ja suurem arv protsessoreid (või protsessoreid) on kavandatud sisseehitatud kernelkaitse režiimide kasutamiseks. Sellest hoolimata on juurkomplektid endiselt olemas ja need tuleb kõikjal tuvastada, need sulgeda ja eemaldada.

$config[zx-auto] not found$config[zx-overlay] not found