Что такое руткит (Rootkit)?
Руткит - это вид программы, который скрывает тот факт, что система была скомпрометирована, время от времени удаляя первичные исполняемые файлы. Rootkits разрешает вирусы и вредоносное ПО уклоняться от распознавания путем маскировки в качестве жизненно важных документов, чтобы ваш антивирус игнорировал их. Руткиты сами по себе не разрушительны; они просто используются для защиты вредоносных программ, ботов и червей. Rootkits получают свое имя из выражения Unix для основной учетной записи под названием «root» и «packs», которые относятся к частям программного обеспечения, выполняющие данное действие. Чтобы ввести руткит, мошенник должен сначала получить доступ к корневому каталогу, используя набор эксплойтов или получить пароль, нарушив его или используя социальную инженерию. Первоначально руткиты использовались в середине 1990-х годов и были ориентированы на рабочую систему UNIX. Сегодня руткиты разработаны для многих других операционных систем, включая Windows. Поскольку руткиты начинают действовать до того, как ваш компьютер даже загрузится, их особенно сложно определить и, следовательно, обеспечить преобладающий способ для злоумышленников получить доступ к пораженному компьютеру и использовать его, не будучи замеченным. Из-за того, как руткиты используются и внедряются, их очень трудно устранить. Rootkits сегодня обычно не используются для получения доступа, но вместо этого используются для более эффективного использования полезных нагрузок вредоносных программ.
Методы, используемые для распространения руткита
Руткит может устанавливаться автоматически, или хакер может разрешить его установку после того, как они приобрели административные права или рут системы. Получение такого доступа является результатом личной атаки на систему, то есть переопределения известной уязвимости или системного пароля (полученного путем взлома или тактики социальной инженерии, например, «фишинг»). После установки становится возможным заражение системы вирусом, а также контроль доступа администратора. Ключ - это доступ root или администратора. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программы, которые могут быть каким-то образом использованы для различения или уклонения от него.
Опознание на основе поведения
Подход на основе поведения к обнаружению руткитов пытается указать на появление руткита, наблюдая за функцией, похожей на поведение. Например, путем профилирования системы изменения времени и частоты вызовов API или общего использования ЦП могут быть связаны с руткитом. Процесс усложняется и ему мешает высокий процент ложных срабатываний. Неполные руткиты иногда могут вносить очень явные изменения в систему: руткит Alureon разбил системы Windows после обновления безопасности, обнаружившего дефект дизайна в коде. Логи из packet analyzer, брандмауэра или системы предотвращения вторжений могут служить доказательством поведения руткитов в сетевой среде.
Обнаружение руткитов из памяти дампа
Ограничение общего дампа виртуальной памяти поймает активный руткит (или часть дампа из-за руткита в режиме ядра), позволяя выполнять автономное экспериментальное исследование с помощью отложений в отношении следующего файла дампа без руткита, имеющего способность предпринимать какие-либо меры для завертывания. Эта процедура чрезвычайно специфична и может предполагать доступ к открытым исходным кодам или символам. Дампы памяти, запускаемые операционной системой, не всегда могут использоваться для распознавания руткита на основе гипервизора, который может захватывать и подрывать самые минимальные испытания уровня для чтения памяти. Аппаратное устройство, такое как устройство, которое реализует немаскируемое прерывание, может в этой ситуации сбрасывать память. Виртуальные машины также упрощают разбиение памяти скомпрометированной машины на скрытый гипервизор, поэтому некоторые руткиты будут воздерживаться от заражения виртуальных машин.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
