a rootkit EGY program, vagy gyakrabban olyan szoftvereszközök gyűjteménye, amelyek távoli hozzáférést biztosítanak a fenyegetés színészéhez egy számítógéphez vagy más rendszerhez. Bár az ilyen típusú szoftverek legitim felhasználása volt, például távoli végfelhasználói támogatás biztosítása, a legtöbb rootkit megnyitja az áldozatrendszerek hátsó ajtaját rosszindulatú szoftverek, például vírusok, ransomware, keylogger programok vagy más típusú rosszindulatú programok bevezetésére, vagy a rendszer további hálózati biztonsági támadásokhoz való felhasználására., A Rootkits gyakran megpróbálja megakadályozni a rosszindulatú szoftverek észlelését a végpont víruskereső szoftverével.
Rootkits lehet telepíteni számos módon, beleértve az adathalász támadások vagy social engineering taktikát, hogy trükk a felhasználók számára, hogy a rootkit engedélyt kell telepíteni az áldozat rendszer, gyakran így távoli kiberbűnözők rendszergazdai hozzáférést biztosít a rendszerhez.
a telepítés után a rootkit hozzáférést biztosít a távoli szereplőnek az operációs rendszer (OS) szinte minden aspektusához., Régebbi víruskereső programok gyakran küzdött felismerni rootkits, de a legtöbb antimalware programok ma képesek keresni, majd távolítsa el rootkits bujkál a rendszerben.
hogyan működnek a rootkits
mivel a rootkitek önmagukban nem tudnak elterjedni, a számítógépek megfertőzésére szolgáló titkos módszerektől függenek. Jellemzően úgy terjednek, hogy olyan szoftverekbe bújnak, amelyek legitimnek tűnhetnek, és ténylegesen legitim funkciókat tudnak biztosítani.,
amikor a felhasználók engedélyt adnak a rootkit telepítő program telepítésére a rendszerükre, a rootkit titokban telepíti magát is, és elrejti magát, amíg egy hacker aktiválja. A rootkit rosszindulatú eszközöket fog tartalmazni, beleértve a banki hitelesítő adatokat, a jelszótolvajokat, a keyloggereket, a víruskereső letiltókat és az elosztott szolgáltatásmegtagadási támadások botjait.,
a Rootkitek jellemzően telepített át ugyanazon közös vektorok, mint semmilyen kártékony szoftverek, beleértve e-mailben adathalász kampány, rosszindulatú futtatható fájlok, kialakított rosszindulatú PDF fájlokat, vagy a Word-dokumentumokat, csatlakozás megosztott meghajtók, hogy veszélybe került, vagy szoftver letöltése fertőzött a rootkit a kockázatos weboldalak.,
Tünetek a rootkit fertőzés
az Egyik elsődleges célkitűzése egy rootkit, hogy elkerüljék a lebukást annak érdekében, hogy továbbra is telepített, valamint hozzáférhető az áldozat rendszer, így a rootkit a fejlesztők célja, hogy tartsa a malware észrevehetetlen, ami azt jelenti, hogy nem lehet sok észlelhető tünetek zászló egy rootkit fertőzés.
a rootkit fertőzés egyik gyakori tünete az, hogy az antimalware védelem nem működik. Az antimalware alkalmazás, amely csak leáll, azt jelzi, hogy aktív rootkit fertőzés van.,
a rootkit fertőzés másik tünete akkor figyelhető meg, ha a Windows beállításai önállóan változnak, a felhasználó nyilvánvaló fellépése nélkül. Más szokatlan viselkedés, például a háttérkép megváltoztatása vagy eltűnése a lezárási képernyőn, vagy a tálcán változó rögzített elemek szintén rootkit fertőzést jelezhetnek.
végül a szokatlanul lassú teljesítmény vagy a magas CPU-használat, valamint a böngésző átirányítása rootkit-fertőzés jelenlétére is utalhat.,
rootkits típusok
számos különböző típusú rootkit jellemzi a rootkit fertőzésének, működésének vagy fennmaradásának módját a célrendszeren.
a kernel mód rootkit célja, hogy módosítsa a funkcionalitás egy operációs rendszer. Az ilyen típusú rootkit általában hozzáadja saját kódját – és néha saját adatstruktúráit – az operációs rendszer magjának egyes részeihez, az úgynevezett kernelhez., Sok kernel módban rootkitek kihasználni a tény, hogy az operációs rendszer lehetővé teszi, eszköz-illesztőprogramok vagy a betölthető modulok végrehajtani az azonos szintű rendszer jogosultságok, mint az OPERÁCIÓS rendszer kernel, így a rootkitek vannak csomagolva, mint eszköz-illesztőprogramok vagy modulok, hogy elkerüljék a víruskereső szoftver.
a felhasználói mód rootkit, más néven alkalmazás rootkit, ugyanúgy hajt végre, mint egy közönséges felhasználói program. Felhasználói mód rootkits lehet inicializálni, mint a többi hagyományos programok során rendszerindítás, vagy lehet beadni a rendszerbe egy csepegtető. A módszer az operációs rendszertől függ., Például egy Windows rootkit általában a Windows dynamic link library fájlok alapvető funkcióinak manipulálására összpontosít, de egy Unix rendszerben egy teljes alkalmazás teljesen helyettesíthető a rootkit segítségével.
a bootkit vagy a bootloader rootkit megfertőzi a célrendszerhez csatlakoztatott merevlemez vagy más tárolóeszköz Master Boot rekordját. Bootkits képesek felforgatni a rendszerindítási folyamat, és fenntartani az irányítást a rendszer indítás után, és ennek eredményeként már sikeresen használják, hogy megtámadják a rendszerek, amelyek teljes lemez titkosítás.,
A firmware rootkits kihasználja a rendszer firmware-be ágyazott szoftvereket, és telepíti magát a hálózati kártyák, Bioszok, útválasztók vagy más perifériák vagy eszközök által használt firmware-képekbe.
a rootkit-fertőzések legtöbb típusa hosszú ideig fennmaradhat a rendszerekben, mivel állandó rendszertároló eszközökre telepítik magukat, de a memória rootkitjei betöltik magukat a számítógép memóriájába (RAM). A memória rootkitek csak addig maradnak fenn, amíg a rendszer RAM-ja nem törlődik, általában a számítógép újraindítása után.,
Rootkit detektálás, illetve eltávolítása
a Rootkitek úgy tervezték, hogy nehéz felismerni, majd távolítsa el; rootkit fejlesztők megpróbálja elrejteni a malware a felhasználók, illetve rendszergazdák, valamint a számos különböző típusú biztonsági termékek. Miután a rootkit veszélyezteti a rendszert, a rosszindulatú tevékenység lehetősége nagyon magas.
általában a rootkit detection speciális kiegészítőket igényel az antimalware csomagokhoz vagy a speciális célú antirootkit szkenner szoftverekhez.,
sok rootkit észlelő eszköz alkalmas az energiafelhasználók számára vagy az antimalware gyártók által biztosított informatikai szakemberek számára, amelyek általában rootkit szkennereket vagy más rootkit észlelési eszközöket kínálnak ügyfeleiknek. Miközben ingyenes fizetett harmadik fél rootkit szkennerek is rendelkezésre állnak, ügyelni kell, hogy minden biztonsági szkennelő szoftver által egy neves kiadó mert fenyegetés színészek már ismert, hogy a csomag között malware, mint biztonsági szoftver.,
a Rootkit eltávolítása nehéz lehet, különösen az operációs rendszermagokba, a firmware-be vagy a tárolóeszköz-rendszerindító szektorokba beépített rootkitek esetében. Míg néhány antirootkit szoftver képes felismerni, valamint eltávolítani, néhány rootkit, az ilyen típusú rosszindulatú programokat nehéz lehet teljesen eltávolítani.
a rootkit eltávolításának egyik megközelítése az operációs rendszer újratelepítése, amely sok esetben megszünteti a fertőzést. A bootloader rootkits eltávolításához szükség lehet egy biztonságos operációs rendszert futtató tiszta rendszer használatára a fertőzött tárolóeszköz eléréséhez.