Trung tâm bảo vệ phần mềm độc hại của Microsoft đã có sẵn để tải xuống Báo cáo mối đe dọa trên Rootkit. Bản báo cáo kiểm tra một trong những loại nguy hiểm hơn của các tổ chức và cá nhân đe dọa phần mềm độc hại hiện nay - rootkit. Báo cáo xem xét cách kẻ tấn công sử dụng rootkit và cách rootkit hoạt động trên các máy tính bị ảnh hưởng. Dưới đây là một ý chính của báo cáo, bắt đầu với Rootkit là gì - cho người mới bắt đầu.
Rootkit là một tập hợp các công cụ mà kẻ tấn công hoặc người tạo phần mềm độc hại sử dụng để giành quyền kiểm soát đối với bất kỳ hệ thống được tiếp xúc / không được bảo mật nào khác mà thường được dành riêng cho quản trị viên hệ thống. Trong những năm gần đây, thuật ngữ 'ROOTKIT' hoặc 'ROOTKIT FUNCTIONALITY' đã được thay thế bằng MALWARE - một chương trình được thiết kế để có những tác động không mong muốn trên máy tính lành mạnh. Chức năng chính của phần mềm độc hại là rút dữ liệu có giá trị và các tài nguyên khác khỏi máy tính của người dùng một cách bí mật và cung cấp cho kẻ tấn công, do đó cho phép anh ta kiểm soát hoàn toàn máy tính bị xâm nhập. Hơn nữa, chúng rất khó để phát hiện và loại bỏ và có thể vẫn ẩn trong thời gian dài, có thể nhiều năm, nếu không được chú ý.
Vì vậy, tự nhiên, các triệu chứng của một máy tính bị xâm nhập cần phải được đeo mặt nạ và được xem xét trước khi kết quả chứng minh gây tử vong. Đặc biệt, các biện pháp an ninh nghiêm ngặt hơn cần được thực hiện để phát hiện ra cuộc tấn công. Nhưng, như đã đề cập, một khi các rootkit / phần mềm độc hại được cài đặt, khả năng tàng hình của nó làm cho nó khó khăn để loại bỏ nó và các thành phần của nó mà nó có thể tải xuống. Vì lý do này, Microsoft đã tạo một báo cáo về ROOTKITS.
Trung tâm bảo vệ phần mềm độc hại Microsoft Báo cáo mối đe dọa trên Rootkit
Báo cáo 16 trang tóm tắt cách kẻ tấn công sử dụng rootkit và cách các chức năng rootkit này hoạt động trên các máy tính bị ảnh hưởng.
Các loại Rootkit
Có nhiều nơi mà phần mềm độc hại có thể tự cài đặt vào hệ điều hành. Vì vậy, hầu hết các loại rootkit được xác định bởi vị trí của nó, nơi nó thực hiện subversion của nó của con đường thực hiện. Điêu nay bao gôm:
- Chế độ người dùng Rootkit
- Rernel Mode Rootkits
- MBR Rootkits / bootkits
Hiệu ứng có thể có của một thỏa hiệp rootkit chế độ hạt nhân được minh họa thông qua một ảnh chụp màn hình dưới đây.
Các gia đình phần mềm độc hại đáng chú ý sử dụng chức năng Rootkit
Win32 / Sinowal13 - Một nhóm phần mềm độc hại đa thành phần cố gắng lấy cắp dữ liệu nhạy cảm như tên người dùng và mật khẩu cho các hệ thống khác nhau. Điều này bao gồm cố gắng ăn cắp thông tin xác thực cho nhiều tài khoản FTP, HTTP và email khác nhau, cũng như thông tin đăng nhập được sử dụng cho ngân hàng trực tuyến và các giao dịch tài chính khác.
Win32 / Cutwail15 - Một Trojan tải xuống và thực hiện các tệp tùy ý. Các tệp đã tải xuống có thể được thực thi từ đĩa hoặc được tiêm trực tiếp vào các quy trình khác. Mặc dù chức năng của các tệp đã tải xuống biến đổi, Cutwail thường tải xuống các thành phần khác gửi spam.
Nó sử dụng một rootkit chế độ hạt nhân và cài đặt một số trình điều khiển thiết bị để ẩn các thành phần của nó khỏi những người dùng bị ảnh hưởng.
Win32 / Rustock - Một gia đình đa thành phần của Trojan hỗ trợ rootkit hỗ trợ rootkit được phát triển ban đầu để hỗ trợ việc phân phối email "spam" thông qua botnet. Một botnet là một mạng lưới máy tính bị tấn công có kiểm soát lớn.
Bảo vệ chống rootkit
Ngăn chặn việc cài đặt rootkit là phương pháp hiệu quả nhất để tránh nhiễm trùng rootkit. Đối với điều này, nó là cần thiết để đầu tư vào các công nghệ bảo vệ như chống virus và các sản phẩm tường lửa. Các sản phẩm như vậy nên có cách tiếp cận toàn diện để bảo vệ bằng cách sử dụng phát hiện dựa trên chữ ký truyền thống, phát hiện heuristic, khả năng chữ ký động và đáp ứng và giám sát hành vi.
Tất cả các bộ chữ ký này phải được cập nhật bằng cơ chế cập nhật tự động. Các giải pháp chống vi-rút của Microsoft bao gồm một số công nghệ được thiết kế đặc biệt để giảm thiểu rootkit, bao gồm giám sát hành vi hạt nhân trực tiếp phát hiện và báo cáo về nỗ lực sửa đổi hạt nhân của hệ thống bị ảnh hưởng và phân tích cú pháp hệ thống tệp trực tiếp tạo điều kiện xác định và loại bỏ các trình điều khiển ẩn.
Nếu một hệ thống được tìm thấy bị xâm nhập thì một công cụ bổ sung cho phép bạn khởi động một môi trường tốt hoặc đáng tin cậy đã biết có thể hữu ích vì nó có thể đề xuất một số biện pháp khắc phục thích hợp.
Trong hoàn cảnh như vậy,
- Công cụ quét độc lập hệ thống (một phần của Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline có thể hữu ích.
Để biết thêm thông tin, bạn có thể tải xuống báo cáo PDF từ Trung tâm Tải xuống của Microsoft.
Bài viết liên quan:
- Danh sách các phần mềm miễn phí Rootkit Remover cho Windows
- Tải xuống McAfee Rootkit Remover cho Windows
- Bitdefender Rootkit Remover cho Windows được phát hành
- Làm thế nào để bảo vệ quá trình khởi động Windows 10
- Rootkit là gì? Rootkits hoạt động như thế nào? Rootkits giải thích.