Что делают руткиты маскируют вредоносные программы

Содержание

Здравствуйте, друзья. Вы еще не знаете, что такое руткиты? Тогда вам непременно стоит прочитать данную статью, ведь они могут принести вам много головной боли. Этих вредителей сложно найти и от них непросто избавиться. Но дочитав подготовленную для вас информацию до конца, вы будете вооружены против такого незаметного, но сильного врага.

Знай противника в лицо

Руткит — это набор вредоносных программ, которые в тайне могут полностью контролировать ваш компьютер, а вы даже не будете этого знать. Первое подобное ПО появилось более 20 лет назад на базе семейства операционных систем UNIX. Оттуда и пошло название: «root» в дословном переводе с английского означает «корень», но в этом контексте подразумевает суперпользователя с неограниченным доступом, а «kit» — это комплект. Получается, что rootkit — набор для получения прав суперпользователя.

Его основные функции:

  • Маскировка файлов, программ и вредительских действий в системе;
  • Управление процессами, происходящими на компе, в основном, втайне от его хозяина;
  • Сбор информации.

Как вы сами понимаете, это не обычный вирус. Он может нанести гораздо больше вреда, при том, что может долгое время оставаться незаметным.

Руткиты: что это такое и чем опасно

Чем грозит руткит?

Такие утилиты пока имеют не слишком широкое распространение. В основном, они поражают ОС на ПК, но также понемногу внедряются и в мобильные версии Android. Однако не стоит их недооценивать.

Сегодня любой, даже начинающий хакер, может за несколько сотен евро купить специальный конструктор, сделать руткит, отвечающий нужным ему задачам, и проникать в любые компьютеры. Наиболее популярным набором инструментов для создания вируса такого рода является Pinch Builder Trojan.

Не думайте, что целью злоумышленников являются только важные чиновники и богачи. Ею можете стать и вы.

Какую опасность несут руткиты?

  • С их помощью легко узнать пароли от социальных сетей и банковских карт.
  • С чужих компов хакеры могут атаковать системы государственных учреждений, частных компаний и т. д. Это удобно, потому что в первую очередь след выведет на вас, а не на того, кто на самом деле ответственен за преступные операции.
    Таким образом, пока вы, ничего не подозревая, рассматриваете картинки котиков в Сети, с вашего компьютера может осуществляться, к примеру, проникновение в системы крупного банка.

Как rootkit проникает в систему?

Заражение системы производится такими же способами, как и в случаях с другим хакерским ПО: через интернет, инфицированные программы и внешние накопители. В частности, достаточно просто открыть страницу взломанного сайта и через слабые места в брандмауэре вирус попадет в ПК. Также он осуществляет внедрение в ОС посредством электронных письмем, в качестве вложенных файлов. К примеру, вы можете открыть прикрепленный PDF-документ и одновременно — двери руткиту.

Читайте также:
Что такое программа synaptics pointing device driver

Обнаружение и удаление руткитов

Как видите, сами они распространяться не могут. Вам нужно или открыть файл, или зайти на сайт, или запустить программу.

Принцип действия

Руткит может промышлять на уровне пользователя или еще хуже — ядра, так как в этом случае злоумышленник получает максимальный доступ к вашему компу. Однако последний вариант стоит дорого, и так как не каждый хакер может их себе позволить, используется редко.

Вирус меняет либо алгоритмы выполнения функций ОС, либо ее структуры данных. Замаскированный вредитель протаптывает тайные дорожки в интернет, по которым хакер может:

  • заходить в вашу систему;
  • внедрять в нее другой вредоносный софт;
  • раскинуть сеть для отправки спама;
  • удалять файлы с компьютера;
  • осуществлять с него DDoS-атаку, когда вычислительная система доводится до отказа, а пользователь не может получить доступ к серверу, и т. д.

Как выявить и обезвредить врага?

Если вы заметили какие-либо странности в поведении вашей операционки, проверьте ее любым антивирусом, к примеру — курейтом . Он распознает руткит по сигнатурам — это особые кодовые цепочки в его теле.

Производители защитного ПО регулярно публикуют на официальных сайтах новые коды руткитов, вычислять которые обучают последние версии антивирусов. Поэтому не забывайте своевременно их обновлять.

Также защитные проги проводят так называемый «эвристический анализ» для поиска руткитов. Он заключается в отслеживании подозрительных процессов в системе, например, удаление всех файлов одинакового формата и пр.

Правда, не всегда простым антивирусам удается обнаружить и устранить руткит. Если вам придется столкнуться с такой проблемой, воспользуйтесь специальными программами. Хорошо справляются с обезвреживанием данных вирусов Gmer, AVG Anti-Rootkit и Rootkit Unhooker. Они обладают простым интерфейсом, поэтому вы разберетесь без инструкций.

Сам лично пользуюсь антивирусом Ксперского и ни разу не замечал наличие этих вредных штук. Если кому интересно, вот сайт где можно купить данный антивирус: http://allsoft.ru/Kaspersky/

Жду вас на моём блоге чаще.

Источник: profi-user.ru

Руткиты: поиск вредоносной «иголки» в «стоге» операционной системы

Руткиты: поиск вредоносной «иголки» в «стоге» операционной системы

Руткит – это тип ПО, которое предназначено для повышения привилегий и маскировки вредоносного воздействия на систему. Несмотря на то, что доля таких программ от общего количества вредоносного ПО крайне невелика (не более 1% по данным Bitdefender), они представляют серьезную угрозу. Особую актуальность rootkit-программы получили в контексте роста количества APT-атак, для которых характерен высокий уровень исполнения, растянутость во времени и маскировка присутствия. В этой статье мы рассмотрим основные угрозы, которые несут руткиты, принципы их работы и эффективные линии защиты.

Общая информация

  • через эксплуатацию уязвимостей;
  • с помощью социальной инженерии.

Цели могут быть самые разные: установка майнера, кейлоггера, получение контроля над ОС, кража данных или мониторинг. Ключевая характеристика – это акцент на длительную эксплуатацию зараженной системы.

ведущий специалист по ИБ eXpress

Механизмы распространения руткитов мало чем отличаются от классических, например, под видом бесплатных приложений или при посещении зараженного веб-сайта, в таком случае жертве даже не придется ничего загружать. Руткиты могут попасть на компьютер и с внешнего носителя.

Читайте также:
Какая задача решается по следующей программе program test var a b c integer

Удалить вредоносную программу можно – специальное ПО для таких задач существует, однако не все так просто – в некоторых случаях может быть необходима переустановка ОС или даже перепрошивка BIOS. Поэтому лучше заняться профилактикой заражения, а не устранять его последствия.

  1. Использовать комплексные решения кибербезопасности — МЭ, системы IDS/IPS как шлюзовые, так и сетевые, а также HIPS, использовать антивирусную защиту и TDR/EDR системы.
  2. Использовать безопасный веб-серфинг, а при скачивании файлов применять алгоритмы санитизации и «песочницы».
  3. Проводить обязательные образовательные мероприятия и тренинги с персоналом.
  4. Постараться максимально исключить человеческий фактор, максимально автоматизировать и роботизировать процессы, такие как передача файлов, их подпись и т.д.
  5. Обязательно проводить анализ логов и использовать средства оркестровки в рамках построения SOC.

Если говорить о методах обнаружения, оставив за скобками специализированное ПО, то свидетельствовать о заражении могут следующие маркеры:

  • изменение параметров ОС без разрешения пользователя;
  • снижение производительности системы, зависания;
  • некорректная работа браузера или неправильное отображение веб-страниц;
  • появление «синего экрана».

Такие последствия может вызвать плохо скомпонованный руткит, который конфликтует с операционной системой. Профессионально исполненное ПО ведет себя гораздо менее заметно, и часто «прикрывается» несколькими процессами полезной нагрузки.

Практически для каждой популярной операционной системы существуют руткиты. Некоторые из них можно даже назвать кроссплатформенными. При этом лидирующие позиции по количеству производимого ВПО прочно удерживает ОС Windows.

4365768678.jpg

Среди уже известных руткитов можно выделить несколько ярких примеров:

  1. Stuxnet. С помощью этого ВПО был нанесен существенный вред ядерной программе Ирана в 2010 году.
  2. Necrus. Был идентифицирован в 2012 году, тогда же было выявлено почти 90 тысяч случаев заражений.
  3. ZeroAcces. Этот руткит не теряет своей актуальности более десяти лет и активно используется для создания зараженных сетей. Например, для дальнейших DDoS-атак.

Для чего предназначен руткит

Основная задача rootkit – это контроль над зараженной системой. В зависимости от масштаба и используемых средств защиты на получение этого контроля могут уйти как часы, так и недели.

Ведущий инженер ИБ в «R-Vision»

Руткиты опасны тем, что могут выполнять действия как от имени учетной записи пользователя, так и получать полный доступ к системе на уровне ядра ОС. И даже работать на уровне драйверов, что делает их сложно детектируемыми.

Связано это прежде всего с архитектурой операционных систем семейства Windows. В них приложения пользовательского уровня тесно взаимодействуют с компонентами в пространстве ядра, выстраивая цепочку системных вызовов и позволяя руткитам перехватывать их на разных этапах. В некоторых случаях даже не создавая для этого отдельные процессы. При этом руткиты для ОС на базе ядра Linux отличаются, хотя также могут работать на уровне ядра и, через подгруженные в него модули, перехватывать системные вызовы.

Одним из простых способов противодействия руткитам является использование безопасной и надежной загрузки. Для этих целей цифровая подпись загрузчика проверяется легитимным сертификатом, после чего, до загрузки операционной системы, проверку проходит цифровая подпись ядра ОС Windows. А уже само ядро проверяет все загружаемые в операционную систему компоненты: драйвера загрузки, файлы запуска и т.д.

Читайте также:
В программе 1с бухгалтерия 8 средства настройки пользовательского интерфейса позволяют

Детектировать руткиты в Linux можно после просмотра логов ядра dmesg, которое, как правило, сообщает: загруженный модуль не прошел верификацию.

По принципу работы принято выделять два вида руткитов:

  1. Руткиты уровня пользователя. Эти программы работают на том же уровне привилегий, что и большинство приложений. С их помощью можно перехватывать системные вызовы и подменять значения, возвращаемые API.
  2. Работающие в режиме ядра. Наиболее сложная группа с точки зрения исполнения. Для создания такого ПО требуется больше времени, поскольку любая ошибка в коде может привести к сбою в системе. В данном случае сбой будет означать обнаружение.

Начальник управления информационной безопасности в БРР Банк

Скорость заражения сети с помощью руткита зависит от того, как построена и насколько эффективна система обеспечения информационной безопасности в организации. Если сеть не сегментирована, пользователи работают с правами администраторов, отключены межсетевые экраны, то вполне закономерно можно говорить о компрометации всей инфраструктуры организации.

Но есть и обратный пример для организаций, где уровень ИБ достаточно высок – даже если письмо с ВПО смогло начать свою работу через IDS/IPS, антивирус на межсетевом экране, защиту на почтовом сервере и на компьютере пользователя, то скомпрометирован будет только тот сегмент сети, в котором находится компьютер пользователя (конечно при наличии правильно сегментированной сети где закрыт доступ из одного сегмента в другой и открыты только необходимые порты на определенные ресурсы).

В организациях с еще более зрелым уровнем ИБ, система SIEM «обратит внимание» на нехарактерную активность на одном из наблюдаемых компьютеров и, исходя из преднастроенных правил, передаст информацию в систему SOAR, которая в свою очередь по ранее настроенному типовому сценарию отдаст команду на отключение порта управляемого коммутатора к которому подключен скомпрометированный компьютер до выяснения обстоятельств.

Актуальные исследования говорят о том, что руткиты уровня пользователя пользуются большей популярностью и встречаются чаще. Так, например, считают в Positive Technologies.

Есть две причины настолько масштабного распространения:

  • достаточный функционал «пользовательских» руткитов для решения актуальных задач киберпреступника;
  • недостаточный уровень компетенции большинства хакеров для создания эффективных руткитов уровня ядра.

При этом, для целевых атак может быть использован любой вид руткита, главный параметр – это высокое качество исполнения.

Итоги

Руткиты идеально вписываются в новый тренд киберпреступности: переход к спланированным и длительным атакам. В ближайшем будущем можно будет говорить о росте сегмента ПО, которое маскирует вредоносное воздействие и способно «выживать» в системе как можно дольше.

Это еще раз подтверждает тезис о том, что информационная безопасность перестает быть для бизнеса «опцией по желанию», становясь жизненной необходимостью для большинства современных компаний.

Источник: securitymedia.org

RootKit — принципы и механизмы работы

Книга

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru