Что такое Руткит?
Руткит – это класс программы, призванный скрыть тот факт, что система была скомпрометирована, время от времени удаляя первичные исполняемые файлы.
Руткиты разрешают заражения и вредоносное ПО уклоняться от распознавания путем маскировки в качестве жизненно важных документов, чтобы ваш антивирус игнорировал его.
Сами по себе руткиты не разрушительны; они просто прикрывают вредоносные программы, ботов и червей. Руткиты получили свое имя из выражения Unix для основной учетной записи под названием «root» и «packs», которые относятся к частям программного обеспечения, выполняющие этот инструмент.
Чтобы ввести руткит, злоумышленник должен сначала получить доступ к корневому каталогу, используя набор эксплойтов, или получить пароль, взломав его или используя социальную инженерию. Первоначально руткиты использовались в середине 1990-х годов и были ориентированы на рабочую систему UNIX.
Сегодня руткиты работают на многих других операционных систем, включая Windows.
Поскольку руткиты начинают работать до того, как ваш компьютер даже загрузится, их особенно сложно идентифицировать и, следовательно, обеспечить главный способ для злоумышленников получить доступ и использовать зараженный компьютер, не будучи замеченным. Из-за того, как руткиты используются и внедряются, их очень трудно устранить. Руткиты сегодня обычно не используются для получения доступа, а вместо этого используются для более эффективного использования полезных нагрузок вредоносных программ.
Техники распространения руткитов:
Руткит может устанавливаться автоматически, или хакер может разрешить его установку после того, как он приобрел административные права или корень системы.
Получение такого доступа является результатом личной атаки на систему, то есть переопределения известной уязвимости или системного пароля (полученного путем взлома или тактики социальной инженерии, например «фишинг»).
Установившись, он может прикрывать инфекции в системе, а также контролировать доступ к административным ресурсам. Ключ – это доступ рута или администратора.
Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программы, которые могут быть каким-то образом использованы для различения или уклонения от него.
Идентификация на основе поведения
Подход обнаружения руткитов на основе поведения пытается указать на появление руткита, наблюдая за руткит-подобной функцией. Например, путем профилирования системы, изменения времени и частоты вызовов API или общего использования ЦПУ могут быть связаны с руткитом.
Процесс сложный, и ему мешает высокий процент ложных срабатываний. Неполные руткиты иногда могут вносить очень явные изменения в систему: руткит Alureon взломал системы Windows после обновления безопасности, обнаружившего дефект дизайна в коде. Записи из анализатора пакетов, брандмауэра или системы предотвращения вторжений могут служить доказательством поведения руткитов в сетевой среде.
Обнаружение руткитов из дамп-памяти
Ограничение общего дампа виртуальной памяти поймает динамический руткит (или дамп части из-за руткита в режиме), позволяя выполнять автономное экспериментальное исследование с помощью отладчика в отношении следующего файла дампа без руткита, имеющего способоность предпринимать какие-либо меры прятать себя.
Эта процедура чрезвычайно специфична и может предполагать доступ к открытым исходным кодам или отладочным символам.
Дампы памяти, запускаемые операционной системой, не всегда могут использоваться для распознавания руткита на основе гипервизора, который может захватывать и подрывать самые минимальные испытания уровня для чтения памяти – аппаратное устройство, такое как устройство, которое реализует немаскируемое прерывание, может в этой ситуации требовать сбрасывать память.
Виртуальные машины также упрощают разбивку памяти скомпрометированной машины от скрытого гипервизора, поэтому некоторые руткиты будут воздерживаться от заражения виртуальных машин.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
