Microsoft-Malware-Protection-Center-Bedrohungsbericht zu Rootkits

Das Microsoft Malware Protection Center hat seinen Bedrohungsbericht zu Rootkits zum Download bereitgestellt. Der Bericht untersucht eine der heimtückischeren Arten von Malware, die Organisationen und Einzelpersonen heute bedroht - das Rootkit. Der Bericht untersucht, wie Angreifer Rootkits verwenden und wie Rootkits auf betroffenen Computern funktionieren. Hier ist ein Kern des Berichts, beginnend mit dem, was Rootkits sind - für den Anfänger.

Rootkit ist eine Reihe von Tools, die ein Angreifer oder ein Malware-Ersteller verwendet, um die Kontrolle über jedes exponierte / ungesicherte System zu erlangen normalerweise für einen Systemadministrator reserviert. In den letzten Jahren wurde der Begriff "ROOTKIT" oder "ROOTKIT FUNCTIONALITY" durch MALWARE ersetzt - ein Programm, das entwickelt wurde, um unerwünschte Auswirkungen auf gesunde Computer zu haben. Die Hauptfunktion von Malware besteht darin, wertvolle Daten und andere Ressourcen heimlich aus dem Computer eines Benutzers abzuziehen und sie dem Angreifer zur Verfügung zu stellen, wodurch er die vollständige Kontrolle über den kompromittierten Computer erhält. Darüber hinaus sind sie schwer zu entdecken und zu entfernen und können für längere Zeiträume verborgen bleiben, möglicherweise Jahre, wenn sie unbemerkt bleiben.

Natürlich müssen die Symptome eines kompromittierten Computers maskiert und berücksichtigt werden, bevor das Ergebnis tödlich endet. Insbesondere sollten strengere Sicherheitsmaßnahmen ergriffen werden, um den Angriff aufzudecken. Aber, wie bereits erwähnt, wenn diese Rootkits / Malware einmal installiert sind, machen es ihre Stealth-Fähigkeiten schwierig, sie und ihre Komponenten, die sie herunterladen könnten, zu entfernen. Aus diesem Grund hat Microsoft einen Bericht über ROOTKITS erstellt.

Microsoft Malware Protection Center-Bedrohungsbericht über Rootkits

Der 16-seitige Bericht beschreibt, wie ein Angreifer Rootkits verwendet und wie diese Rootkits auf betroffenen Computern funktionieren.

Die einzige Ziel des Berichts ist es, potente Malware zu identifizieren und genau zu untersuchen, die viele Organisationen, insbesondere Computerbenutzer, bedroht. Es erwähnt auch einige der vorherrschenden Malware-Familien und bringt die Methode ans Licht, die die Angreifer verwenden, um diese Rootkits für ihre eigenen egoistischen Zwecke auf gesunden Systemen zu installieren. Im Rest des Berichts finden Sie Experten, die Empfehlungen geben, wie Benutzer die Bedrohung durch Rootkits abmildern können.

Arten von Rootkits

Es gibt viele Orte, an denen sich Malware in einem Betriebssystem installieren kann. Daher wird der Typ des Rootkits hauptsächlich durch seine Position bestimmt, an der er seine Subversion des Ausführungspfades ausführt. Dazu gehören:

1. Benutzermodus-Rootkits
2. Kernelmodus-Rootkits
3. MBR-Rootkits / Bootkits

Der mögliche Effekt einer Kernelmodus-Rootkit-Kompromittierung wird in einem Screenshot unten dargestellt.

Der dritte Typ, Ändern Sie den Master Boot Record, um die Kontrolle über das System zu erlangen und den Ladevorgang des frühestmöglichen Punktes in der Boot-Sequenz zu beginnen3. Es verbirgt Dateien, Registrierungsänderungen, Hinweise auf Netzwerkverbindungen sowie andere mögliche Indikatoren, die auf sein Vorhandensein hinweisen können.

Bemerkenswerte Malware-Familien, die Rootkit-Funktionalität verwenden

Win32 / Sinowal 13 - Eine Mehrkomponentenfamilie von Malware, die versucht, vertrauliche Daten wie Benutzernamen und Kennwörter für verschiedene Systeme zu stehlen. Dazu gehört der Versuch, Authentifizierungsdetails für eine Vielzahl von FTP-, HTTP- und E-Mail-Konten sowie Anmeldeinformationen für Online-Banking und andere Finanztransaktionen zu stehlen.

Win32 / Cutwail 15 - Ein Trojaner, der beliebige Dateien herunterlädt und ausführt Dateien. Die heruntergeladenen Dateien können von der Festplatte ausgeführt oder direkt in andere Prozesse injiziert werden. Während die Funktionalität der heruntergeladenen Dateien variabel ist, lädt Cutwail normalerweise andere Komponenten herunter, die Spam versenden.

Es verwendet ein Kernel-Modus-Rootkit und installiert mehrere Gerätetreiber, um seine Komponenten vor betroffenen Benutzern zu verbergen.

Win32 / Rustock - Eine aus Rootkit-Komponenten bestehende Backdoor-Trojaner-Familie mit mehreren Komponenten, die ursprünglich entwickelt wurde, um die Verbreitung von "Spam" -E-Mails über ein Botnet zu unterstützen. Ein Botnetz ist ein großes angreifergesteuertes Netzwerk kompromittierter Computer.

Schutz vor Rootkits

Die Installation von Rootkits zu verhindern, ist die effektivste Methode, um Infektionen durch Rootkits zu vermeiden. Dazu ist es notwendig, in Schutztechnologien wie Antiviren- und Firewall-Produkte zu investieren. Solche Produkte sollten einen umfassenden Schutzansatz verfolgen, indem sie traditionelle signaturbasierte Erkennung, heuristische Erkennung, dynamische und reaktionsfähige Signaturfähigkeit und Verhaltensüberwachung verwenden.

Alle diese Signatursets sollten mithilfe eines automatischen Aktualisierungsmechanismus auf dem neuesten Stand gehalten werden. Die Microsoft-Antivirenlösungen enthalten eine Reihe von Technologien, die speziell auf die Reduzierung von Rootkits ausgelegt sind. Dazu gehören die Live-Überwachung des Kernelverhaltens, die versucht, Kernel eines betroffenen Systems zu ändern, und die direkte Dateisystemanalyse, die das Erkennen und Entfernen versteckter Treiber erleichtert.

Wenn ein System als kompromittiert erkannt wird, kann sich ein zusätzliches Tool als nützlich erweisen, das Ihnen das Booten zu einer bekannten guten oder vertrauenswürdigen Umgebung ermöglicht, da es möglicherweise einige geeignete Korrekturmaßnahmen vorschlägt.

In diesem Fall

1. Das Werkzeug "Standalone System Sweeper" (Teil des Microsoft Diagnose- und Wiederherstellungs-Toolset (DaRT)
2. Windows Defender Offline ist möglicherweise nützlich.

Weitere Informationen können Sie den PDF-Bericht vom Microsoft Download Center herunterladen.