A rootkit észlelése és megvédése tőle
A bűnözők által világszerte használt rosszindulatú programok nagy részét az áldozatok nem észlelik. Ennek oka az olyan rosszindulatú programok is, mint a rootkit. Könnyen érthető módon megmutatjuk, hogy mi a rootkit, milyen típusok léteznek, és hogyan védheti meg számítógépeit tőlük a megfelelő eszközökkel.
Mi az a rootkit?
A rootkit olyan rosszindulatú program, amely nagyon mélyen rejtőzik az operációs rendszerben. Programozásuk miatt a rootkitek általában csak a megfelelő víruskereső szoftverrel észlelhetők és távolíthatók el.
A rootkitek központi funkciója az, hogy harmadik feleknek hozzáférést biztosítsanak egy idegen számítógéphez. Távolról irányíthatja, manipulálhatja vagy adatokat lophat. A Rootkit támadásokat például szoftverek telepítésére is használják, amelyekkel a támadók távolról irányíthatják a botnetet.
A rootkit rendszerint egy csomag rosszindulatú programból áll. A rootkit tartalmazhat keyloggereket, botokat vagy ransomware -t.
Információ: Honnan származik a "rootkit" név?
A „rootkit” kifejezés a „root” (német = root = fájlrendszer legmagasabb könyvtára; minden adminisztrátori joggal rendelkező felhasználó) és „kit” (német = készlet) szavakból áll. A rootkit a szoftveralkalmazások teljesen semleges gyűjteménye, amelyek fel tudják használni a rendszergazdai jogokat. De amikor ezeket a jogokat használják a rosszindulatú programok újratöltésére, maga a rootkit válik rosszindulatúvá.
Rootkit: Vannak ilyen típusok
A rootkiteket általában az érintett számítógép fájlrendszerében kifejtett tevékenységük mélysége alapján osztályozzák.
Felhasználói mód rootkitek |
Ezek a rootkitek elsősorban a számítógép rendszergazdai fiókját érintik. A rosszindulatú program minden előnyével rendelkezik, ha rendszergazdai hozzáférést biztosít a fájlokhoz vagy programokhoz, és például módosíthatja a biztonsági beállításokat. A trükkös dolog ezekben a rootkitekben: Ezek automatikusan elindulnak minden alkalommal, amikor a számítógép újraindul. |
Kernel modell rootkitek |
Ezek a rootkitek közvetlenül az operációs rendszer szintjén működnek, és így lehetőségük van az operációs rendszer minden területének manipulálására. Még a víruskereső szkennelések is hibás eredményeket hozhatnak, ha kernel módú újoncfertőzővel fertőzött. A kernel rootkit -eknek azonban nagyon sok akadályt kell leküzdeniük, mielőtt elakadhatnak a kernelben. Általában előre észlelik őket, például azért, mert a számítógép folyamatosan összeomlik. |
Firmware rootkitek |
Ezek a rootkitek beültethetik a számítógépes rendszerek firmware -jét. A törlés után minden újraindításkor automatikusan újratelepülnek. Ezáltal a firmware rootkitek különösen tartósak, és megnehezítik azok eltávolítását. |
Csizma készletek |
Ezek a rootkitek elakadnak a rendszerindítási szektorban. A számítógép indításakor a rendszer a fő rendszerindítási rekordot használja. Itt találja a rendszerindító készletet is, amely minden indításkor betöltődik. Az újabb Windows operációs rendszerek, például a 8 -as vagy a 10 -es felhasználói fontos védelemmel rendelkeznek. Ezek a verziók már rendelkeznek olyan biztonsági rendszerekkel, amelyek megakadályozzák a rendszerindító készletek elindítását a számítógép bekapcsolásakor. |
Virtuális rootkitek |
Ezek a rootkitek virtuális gépre települnek, és hozzáférhetnek a fertőzött számítógéphez a tényleges operációs rendszeren kívül. Ez megnehezíti a vírusvédelmi szoftverek észlelését. |
Hibrid gyökérkészletek | Ezek a rootkitek feldarabolják a szoftvert, és annak egyes részeit a rendszermagba telepítik, és más részeket felhasználói szinten. Ezek a rootkitek előnyösek a bűnözők számára, mert nagyon stabilan futnak felhasználói szinten, és ugyanakkor a kernelben, azaz álcázva működnek. |
Az ilyen alattomos fenyegetések elleni védelem érdekében többek között a víruskeresőknek naprakész vírusdefiníciókkal kell rendelkezniük.
Hogyan kerül a rootkit a számítógépre?
A rootkit -eknek mindig szükségük van egy "járműre", amellyel beültethetik magukat egy számítógépre. A rootkit ezért általában három összetevőből áll, magából a rootkitből, a dropperből és a betöltőből. A cseppentő összehasonlítható egy számítógépes vírussal, amely megfertőzi a számítógépet. Mivel a csepegtető biztonsági lyukat keres a rootkit mentéséhez a kívánt eszközön. Ezután a rakodót használják. Telepíti a rootkit-et a fertőzött számítógépre, például a rendszermagba vagy felhasználói szinten, ha felhasználói módú rootkit.
A rootkitek a következő médiát használják a kidobáshoz:
Hírnök |
Például, ha rosszindulatú linket vagy fájlt kap egy hírvivőn keresztül, és megnyitja a hivatkozást vagy fájlt, a cseppentő elhelyezheti a rootkit -et az eszközén. |
Feltört szoftverek és alkalmazások: |
A rootkiteket a hackerek "becsempészhetik" megbízható szoftverekbe vagy alkalmazásokba. A fájlokat például ingyenes ajánlatokként terjesztik az interneten. Amint telepíti ezeket a programokat, a rootkit -et is letölti a számítógépére. |
PDF vagy Office fájlok: | A rootkitek elrejthetők az Office fájlokban vagy PDF -ekben, akár levél mellékletként, akár letöltve. Amint megnyitja a fájlt, a csepegtető beszúrja a fájlt a számítógépbe, és a betöltő elkezdi a telepítést a háttérben. |
Hogyan ismerhetem fel a rootkit -et a számítógépemen (rootkit scanner)?
A rootkitek megbízható észleléséhez, majd eltávolításához rootkit szkennerre van szükség, amelyet a hatékony víruskereső programok víruskeresése tartalmaz. Ezek a vizsgálatok például felismerhetik a gyakori rootkit aláírásokat. Ezekkel az aláírásokkal a kód számai bizonyos formában vannak elrendezve. De vannak olyan jelek is a számítógépen, amelyek a rootkit lehetséges fertőzésére utalhatnak.
- A számítógép szokatlan viselkedése: A gyökérkészleteket észrevétlenségük jellemzi. Előfordulhat azonban, hogy számítógépe a szokásosnál eltérő módon viselkedik, például akaratlanul megnyitja azokat a programokat vagy folyamatokat, amelyeket nem Ön indított el.
- A rendszerbeállítások anélkül módosulnak, hogy Ön bármilyen műveletet hajtana végre: Ha például megtudja, hogy számítógépe általában lehetővé teszi a távoli hozzáférést, vagy megnyitja a portokat, akkor a rootkit lehet az oka.
- A memóriakiürítés elemzése: Amikor a számítógép összeomlik, a Windows rendszer -memóriaképet hoz létre. A szakértők ezzel a fájllal azonosíthatják a rootkit által létrehozott szokatlan mintákat.
- Az internetkapcsolat mindig instabil: A rootkitek például nagy adatfolyamokat biztosíthatnak, amelyeken keresztül a hackerek hozzáférhetnek az adatokhoz. Ezek az adatmozgások nagyon lelassíthatják az internetvonalat, vagy akár összeomlást is okozhatnak.
Hogyan védekezhetek a rootkit ellen?
A rootkitek elleni legfontosabb védelem a naprakész vírusvédelmi program használata. A legújabb vírusmeghatározásokkal felszerelt valós idejű védelem figyelmeztethet a veszélyes letöltésekre és telepítésekre, és egy víruskereső segítségével rendszeresen ellenőrzi a számítógép rootkit-jeit.
Ezenkívül a következő intézkedések ajánlottak:
- Csak egy felhasználói fiókot használjon a mindennapi életben, és ne adminisztrátori hozzáférést: Ha vendégfiókkal jelentkezik be a Windows vagy az iOS rendszerbe, akkor csak korlátozott jogokkal rendelkezik. Ha ebben az időszakban rootkit -el fertőzi meg számítógépét, akkor a cseppentő csak ehhez a felhasználói szinthez férhet hozzá, pl. Nem közvetlenül a kernelhez.
- Rendszeresen frissítse az operációs rendszert és a szoftvert: A gyártók rendszeres frissítésekkel zárják be az ismert biztonsági hiányosságokat. Ezért feltétlenül végezze el az összes szükséges frissítést.
- Fájlok letöltése az internetről csak megbízható webhelyekről: Kerülje a potenciálisan veszélyes letöltéseket, minimalizálja a rootkit áldozatává válásának kockázatát.
- Csak olyan küldőktől nyisson meg e-mail mellékleteket, akikben megbízik: Ha titkos e-mail címmel rendelkező feladóktól kap e-mailt, akkor a legjobb, ha törli azokat. Ha egy ismerős címről származó e-mail melléklet furcsán hangzik Önnek, akkor jobb, ha ismét megkérdezi a feladót, mielőtt megnyitja az e-mail mellékletet.
- Okostelefonos alkalmazásokat csak a hivatalos alkalmazásboltokból telepítsen: Ha hivatalos forrásokból szerez be alkalmazásokat, azok már biztonsági ellenőrzésen mennek keresztül. Ez csökkenti annak a kockázatát, hogy rootkitet tölt fel az okostelefonjára.
A rootkit eltávolítása - hogyan tovább?
A rootkiteket mindig speciális víruskereső szoftverrel távolítsa el. Mivel ez a kártevő a számítógép operációs rendszerének mélyére hatolhat, a kézi eltávolítás általában nagyon nehéz. Ha törléskor elfelejti a rootkit apró maradványait, akkor rendszerint újratelepíti magát, amikor újraindítja.
A rootkitek eltávolításának legjobb módja egy naprakész víruskereső program használata, amely a legkorszerűbb vírusdefiníciókkal rendelkezik. Ekkor javasolt a víruskeresés biztonságos módban, hogy a rootkit ne tudja például újratölteni az adatokat az internetről. Gyakran szükség van a vírus- vagy kártevő -ellenőrzések többszörös futtatására a rootkit teljes megszüntetéséhez.
Ez a cikk részletes utasításokat nyújt a rootkitek megkereséséhez és törléséhez.
Ismert rootkitek
A rootkitek nagyon régi internetes fenyegetések. Az egyik első ismert rootkit a rosszindulatú programok, amelyek 1990 -ben főként a Unix operációs rendszereket támadták. Az első ismert rootkit a Windows számítógépek számára az NTR rootkit volt, amely 1999 -ben volt forgalomban. Ez egy kernel rootkit.
2003 és 2005 között különféle nagy támadások történtek rootkitekkel, beleértve a Vodafone Greece hálózatban aktivált mobiltelefonok elleni támadást. Ez a rootkit "görög Watergate" néven vált ismertté, mert többek között a görög miniszterelnököt is érintette.
2008-ban tombolt a TDL-1 csomagtartó készlet. A kiberbűnözők egy nagy botnet építésére használták fel egy trójai faló segítségével.
2009 -ben fedezték fel először az Apple operációs rendszereket is megfertőző rootkit -et. "Machiavelli" -nek keresztelték.
2010 -ben a Stuxnet féreg tombolt. Többek között egy rootkit -et használt, amelynek állítólag kémkednie kellett az iráni atomprogramot. Az izraeli és amerikai-amerikai titkosszolgálatok gyanú szerint fejlesztők és támadók.
A LoJax segítségével egy rootkit-et fedeztek fel 2022-2023-ben, amely először fertőzi meg a számítógép alaplapján lévő firmware-t. Ez lehetővé teszi, hogy a rosszindulatú program újraaktiválja magát az operációs rendszer újratelepítésekor.
Következtetés: Nehéz észlelni, de naprakész víruskereső szoftverrel és óvatossággal a kockázat csökkenthető
Mivel a rootkitek mélyen be vannak ágyazva a számítógép operációs rendszerébe, a megelőzés különösen fontos. A rootkit telepítése után az laikusok számára nehéz felismerni a fertőzést. Azonban bárki, aki óvatos az interneten a naprakész vírusvédelmi rendszerrel és a megfelelő eszközökkel, és nem nyit meg gondatlanul ismeretlen fájlokat, csökkenti annak valószínűségét, hogy a rootkit áldozatává válik.