Hvordan fungerer rootkit-detektion i dag?

Du er sandsynligvis fortrolig med computervirus, adware, spyware og andre ondsindede programmer, der for det meste betragtes som trusler. En anden form eller klasse af malware (rootkits) kan dog være den farligste af dem af alle. Med 'farligt' mener vi niveauet for skade, som det ondsindede program kan forårsage, og de vanskeligheder brugerne har med at finde og fjerne det.





Hvad er rootkits?

Rootkits er en type malware designet til at give uautoriserede brugere adgang til computere (eller visse applikationer på computere). Rootkits er programmeret til at forblive skjult (ude af syne), mens de opretholder privilegeret adgang. Når et rootkit kommer ind i en computer, maskerer det let dets tilstedeværelse, og det er usandsynligt, at brugerne vil bemærke det.

Hvordan skader et rootkit en pc?

I det væsentlige kan cyberkriminelle via et rootkit kontrollere din computer. Med et så stærkt ondsindet program kan de tvinge din pc til at gøre noget. De kan stjæle dine adgangskoder og andre følsomme oplysninger, spore alle de aktiviteter eller operationer, der udføres på din computer, og endda deaktivere dit sikkerhedsprogram.

I betragtning af rootkits 'imponerende kapacitet til at kapre eller nedlægge sikkerhedsapplikationer er de ret vanskelige at opdage eller konfrontere, endnu mere end det gennemsnitlige ondsindede program. Rootkits kan eksistere eller fungere på computere i lang tid, mens de undgår detektion og gør betydelig skade.



Nogle gange, når avancerede rootkits er i spil, har brugerne intet andet valg end at slette alt på deres computer og starte forfra - hvis de vil slippe af med de ondsindede programmer.

Er enhver malware et rootkit?

Nej. Hvis der er noget, er kun en lille del af malware rootkits. Sammenlignet med andre ondsindede programmer er rootkits betydeligt avancerede med hensyn til design og programmering. Rootkits kan gøre meget mere end den gennemsnitlige malware.

Hvis vi skal følge strenge tekniske definitioner, er et rootkit ikke ligefrem en form eller type ondsindet program. Rootkits svarer simpelthen til den proces, der bruges til at implementere malware på et mål (normalt en bestemt computer eller person eller organisation). Forståeligt nok, da rootkits dukker op ganske ofte i nyhederne om cyberangreb eller hacks, er udtrykket kommet til at bære en negativ konnotation.



For at være retfærdig kører rootkits meget lig malware. De kan lide at arbejde uden begrænsninger på ofrenes computere; de ønsker ikke, at beskyttelsesværktøjer skal genkende eller finde dem; de forsøger normalt at stjæle ting fra målcomputeren. I sidste ende er rootkits trusler. Derfor skal de blokeres (for at forhindre dem i at komme ind i første omgang) eller adresseres (hvis de allerede har fundet vej ind).

Hvorfor bruges eller vælges rootkits?

Angribere anvender rootkits til mange formål, men de fleste gange prøver de at bruge dem til at forbedre eller udvide stealth-kapaciteter i malware. Med øget stealth kan de ondsindede nyttelast, der er installeret på en computer, forblive uopdagede i længere tid, mens de dårlige programmer arbejder på at exfiltrere eller fjerne data fra et netværk.

Rootkits er ret nyttige, fordi de giver en bekvem måde eller platform, hvorved uautoriserede aktører (hackere eller endda embedsmænd) får bagdør adgang til systemer. Rootkits opnår typisk det mål, der er beskrevet her, ved at undergrave loginmekanismer for at tvinge computere til at give dem hemmelig loginadgang for en anden person.



Rootkits kan også bruges til at gå på kompromis med eller overvælde en computer for at lade angriberen få kontrol og bruge enheden som et værktøj til at udføre bestemte opgaver. For eksempel målretter hackere enheder med rootkits og bruger dem som bots til DDoS (Distribueret denial of Service) -angreb. I et sådant scenarie, hvis kilden til DDoS nogensinde opdages og spores, vil det føre til den kompromitterede computer (offeret) i stedet for den rigtige ansvarlige computer (angriberen).

De kompromitterede computere, der deltager i sådanne angreb, er almindeligt kendt som zombiecomputere. DDoS-angreb er næppe de eneste dårlige ting, som angribere gør med kompromitterede computere. Nogle gange bruger hackere deres ofres computere til at udføre svindel med klik eller til at distribuere spam.

Interessant er der scenarier, hvor rootkits implementeres af administratorer eller almindelige personer til gode formål, men eksempler på sådanne er stadig ret sjældne. Vi har set rapporter om nogle it-teams, der kører rootkits i en honeypot for at opdage eller genkende angreb. Nå, på denne måde, hvis de lykkes med opgaverne, får de forbedret deres emuleringsteknikker og sikkerhedsapplikationer. De kan også få noget viden, som de derefter kan anvende til at forbedre tyveribeskyttelsesanordninger.



Ikke desto mindre, hvis du nogensinde har at gøre med et rootkit, er chancerne for, at rootkit bruges mod dig (eller dine interesser). Derfor er det vigtigt, at du lærer, hvordan du opdager ondsindede programmer i denne klasse, og hvordan du kan forsvare dig selv (eller din computer) mod dem.

Typer af rootkits

Der findes forskellige former eller typer rootkits. Vi kan klassificere dem ud fra deres infektionsmetode og det niveau, hvormed de fungerer på computere. Disse er de mest almindelige rootkit-typer:

  1. Kernel-mode rootkit:

Kernel-mode rootkits er rootkits designet til at indsætte malware i kernen på operativsystemer for at ændre OS-funktionaliteten eller opsætningen. Med 'kerne' mener vi den centrale del af operativsystemet, der styrer eller forbinder operationer mellem hardware og applikationer.

Angribere har svært ved at implementere kerneknap-rootkits, fordi sådanne rootkits har tendens til at få systemer til at gå ned, hvis den anvendte kode mislykkes. Men hvis de nogensinde formår at lykkes med implementeringen, vil rootkits være i stand til at gøre utrolig skade, fordi kerner typisk har de højeste privilegieniveauer i et system. Med andre ord, med vellykkede kernel-mode rootkits, får angribere nemme kørsler med deres ofres computere.

  1. Brugertilstands rootkit:

Rødkits i denne klasse er dem, der bliver udført ved at fungere som almindelige eller almindelige programmer. De har tendens til at fungere i det samme miljø, hvor applikationer kører. Af denne grund henviser nogle sikkerhedseksperter til dem som applikationsrodsæt.

User-rootkits er relativt lettere at implementere (end rootkits i kernetilstand), men de er i stand til mindre. De gør mindre skade end kernerødkits. Sikkerhedsapplikationer finder i teorien det også nemmere at håndtere root-kits i brugertilstand (sammenlignet med andre former eller klasser af rootkits).

  1. Bootkit (boot rootkit):

Bootkits er rootkits, der udvider eller forbedrer evnen til almindelige rootkits ved at inficere Master Boot Record. Små programmer, der aktiveres under systemstart, udgør Master Boot Record (som undertiden forkortes som MBR). Et bootkit er grundlæggende et program, der angriber systemet og arbejder på at erstatte den normale bootloader med en hacket version. En sådan rootkit bliver aktiveret, selv før en computers operativsystem starter og sætter sig ned.

I betragtning af bootkits 'infektionsmetode kan angribere anvende dem i mere vedholdende former for angreb, fordi de er konfigureret til at køre, når et system tændes (selv efter en defensiv nulstilling). Desuden er de tilbøjelige til at forblive aktive i systemhukommelsen, som sjældent er scannet af sikkerhedsprogrammer eller it-teams for trusler.

  1. Memory rootkit:

Et hukommelses rootkit er en type rootkit designet til at skjule sig inde i en computers RAM (et akronym for Random Access Memory, hvilket er det samme som midlertidig hukommelse). Disse rootkits (en gang inde i hukommelsen) arbejder derefter på at udføre skadelige operationer i baggrunden (uden at brugerne ved om dem).

Heldigvis har hukommelsesrodsæt en kort levetid. De kan kun leve i din computers RAM til en session. Hvis du genstarter din pc, forsvinder de - i det mindste skulle de i teorien gøre det. Ikke desto mindre er genstartprocessen i nogle scenarier ikke nok; brugere kan ende med at skulle gøre noget for at slippe af med hukommelsesrodsæt.

  1. Hardware eller firmware rootkit:

Hardware- eller firmware-rootkits får deres navn fra det sted, de er installeret på computere.

Disse rootkits er kendt for at drage fordel af software, der er integreret i firmwaren på systemer. Firmware henviser til den specielle programklasse, der giver kontrol eller instruktioner på et lavt niveau for specifik hardware (eller enhed). For eksempel har din bærbare computer firmware (normalt BIOS), der blev indlæst i den af ​​producenten. Din router har også firmware.

Da firmware rootkits kan findes på enheder som routere og drev, kan de forblive skjulte i meget lang tid - fordi disse hardwareenheder sjældent kontrolleres eller inspiceres for kodeintegritet (hvis de overhovedet er kontrolleret). Hvis hackere inficerer din router eller kører med et rootkit, vil de være i stand til at opfange data, der flyder gennem enheden.

Sådan holder du dig sikker fra rootkits (tip til brugere)

Selv de bedste sikkerhedsprogrammer kæmper stadig mod rootkits, så det er bedre for dig at gøre alt, hvad der er nødvendigt for at forhindre rootkits i at komme ind på din computer i første omgang. Det er ikke så svært at være sikker.

Hvis du holder dig til den bedste sikkerhedspraksis, reduceres chancerne for, at din computer bliver inficeret af et rootkit betydeligt. Her er nogle af dem:

  1. Download og installer alle opdateringer:

Du har simpelthen ikke råd til at ignorere opdateringer til noget. Ja, vi forstår, at opdateringer til applikationer kan være irriterende, og opdateringer til dit operativsystem kan være foruroligende, men du kan ikke undvære dem. At holde dine programmer og operativsystem opdateret sikrer, at du får patches til sikkerhedshuller eller sårbarheder, som angribere drager fordel af til at indsprøjte rootkits i din computer. Hvis hullerne og sårbarhederne lukkes, vil din pc være bedre for det.

  1. Pas på phishing-e-mails:

Phishing-e-mails sendes typisk af svindlere, der ønsker at narre dig til at give dem dine personlige oplysninger eller følsomme oplysninger (for eksempel loginoplysninger eller adgangskoder). Ikke desto mindre opfordrer nogle phishing-e-mails brugerne til at downloade og installere noget software (som normalt er skadelig eller skadelig).

Sådanne e-mails kan se ud som om de er kommet fra en legitim afsender eller betroet person, så du skal passe på dem. Svar ikke på dem. Klik ikke på noget i dem (links, vedhæftede filer osv.).

  1. Pas på downloads ved kørsel og utilsigtede installationer:

Her vil vi have dig til at være opmærksom på de ting, der downloades på din computer. Du ønsker ikke at få ondsindede filer eller dårlige applikationer, der installerer ondsindede programmer. Du skal også være opmærksom på de apps, du installerer, fordi nogle legitime applikationer er samlet med andre programmer (som kan være ondsindede).

Ideelt set skal du kun hente de officielle versioner af programmer fra officielle sider eller downloadcentre, træffe de rigtige valg under installationen og være opmærksom på installationsprocesserne for alle apps.

  1. Installer et beskyttelsesværktøj:

Hvis et rootkit skal komme ind i din computer, er det sandsynligvis, at dets indgang er forbundet med tilstedeværelsen eller eksistensen af ​​et andet ondsindet program på din computer. Chancerne er, at et godt antivirus- eller antimalwareapplikation opdager den oprindelige trussel, før et rootkit introduceres eller aktiveres.

Du kan få Anti-Malware. Du vil gøre godt ved at sætte en vis tillid til den anbefalede applikation, fordi gode sikkerhedsprogrammer stadig udgør dit bedste forsvar mod alle former for trusler.

Sådan finder du rootkits (og nogle tip til organisationer og IT-administratorer)

Der er få hjælpeprogrammer, der er i stand til at opdage og fjerne rootkits. Selv de kompetente sikkerhedsapplikationer (kendt for at håndtere sådanne ondsindede programmer) kæmper undertiden eller undlader at udføre jobbet ordentligt. Fejl ved fjernelse af rootkit er mere almindelige, når malware findes og fungerer på kerneniveau (kernel-mode rootkits).

Nogle gange er geninstallation af operativsystemet på en maskine det eneste, der kan gøres for at slippe af med et rootkit. Hvis du har at gøre med firmware-rootkits, bliver du muligvis nødt til at udskifte nogle hardwaredele inde i den berørte enhed eller få specialudstyr.

En af de bedste rootkit-detekteringsprocesser kræver, at brugerne udfører scanninger på højeste niveau for rootkits. Ved 'topniveau scanning' mener vi en scanning, der drives af et separat rent system, mens den inficerede maskine er slået fra. I teorien skulle en sådan scanning gøre nok til at kontrollere for underskrifter efterladt af angribere og skulle være i stand til at identificere eller genkende noget dårligt spil på netværket.

Du kan også bruge en hukommelsesdump-analyse til at opdage rootkits, især hvis du har mistanke om, at et bootkit - der låses fast i systemhukommelsen for at fungere - er involveret. Hvis der er et rootkit i en almindelig computers netværk, vil det sandsynligvis ikke skjules, hvis det udfører kommandoer, der involverer brug af hukommelse - og Managed Service Provider (MSP) vil være i stand til at se instruktionerne, som det ondsindede program sender ud .

Adfærdsanalyse er en anden pålidelig procedure eller metode, der undertiden bruges til at opdage eller spore rootkits. Her skal du i stedet for at kontrollere for et rootkit direkte ved at kontrollere systemhukommelsen eller observere angrebssignaturer på rootkit-symptomer på computeren. Ting som langsomme driftshastigheder (betydeligt langsommere end normalt), ulige netværkstrafik (som ikke burde være der) og andre almindelige afvigende adfærdsmønstre burde give rootkits væk.

Manager-tjenesteudbydere kan faktisk implementere princippet om mindst privilegier (PoLP) som en særlig strategi i deres kunders systemer til at håndtere eller afbøde virkningerne af en rootkit-infektion. Når PoLP bruges, er systemer konfigureret til at begrænse hvert modul på et netværk, hvilket betyder, at individuelle moduler kun får adgang til de oplysninger og ressourcer, de har brug for til deres arbejde (specifikke formål).

Nå, den foreslåede opsætning sikrer strammere sikkerhed mellem armene på et netværk. Det gør også nok til at blokere installationen af ​​ondsindet software til netværkskerner af uautoriserede brugere, hvilket betyder, at det forhindrer rootkits i at bryde ind og forårsage problemer.

Heldigvis er rootkits i gennemsnit i tilbagegang (sammenlignet med mængden af ​​andre ondsindede programmer, der har spredt sig i de seneste år), fordi udviklere løbende forbedrer sikkerheden i operativsystemer. Slutpunktsforsvar bliver stærkere, og et større antal CPU'er (eller processorer) er designet til at anvende indbyggede kernelbeskyttelsestilstande. Ikke desto mindre findes der i øjeblikket rootkits, og de skal identificeres, afsluttes og fjernes, uanset hvor de findes.