Hvordan fungerer rootkit-deteksjon i dag?

Du er sannsynligvis kjent med datavirus, adware, spyware og andre ondsinnede programmer, som regnes som trusler for det meste. Imidlertid kan en annen form eller klasse malware (rootkits) være den farligste av dem av alle. Med 'farlig' mener vi graden av skade det ondsinnede programmet kan forårsake, og de vanskeligheter brukerne har med å finne og fjerne det.





Hva er rootkits?

Rootkits er en type skadelig programvare designet for å gi uautoriserte brukere tilgang til datamaskiner (eller visse applikasjoner på datamaskiner). Rootkits er programmert til å forbli skjult (ute av syne) mens de opprettholder privilegert tilgang. Etter at et rootkit kommer inn i en datamaskin, maskerer det lett sin tilstedeværelse, og det er usannsynlig at brukerne vil legge merke til det.

Hvordan skader et rootkit en PC?

I hovedsak, gjennom et rootkit, kan nettkriminelle kontrollere datamaskinen din. Med et så kraftig ondsinnet program kan de tvinge PCen din til å gjøre hva som helst. De kan stjele passordene dine og annen sensitiv informasjon, spore alle aktiviteter eller operasjoner som utføres på datamaskinen din, og til og med deaktivere sikkerhetsprogrammet ditt.

Gitt rootkits 'imponerende evner til å kapre eller legge ned sikkerhetsapplikasjoner, er de ganske vanskelige å oppdage eller konfrontere, enda mer enn det gjennomsnittlige ondsinnede programmet. Rootkits kan eksistere eller fungere på datamaskiner i lang tid mens de unngår deteksjon og gjør betydelig skade.



Noen ganger, når avanserte rootkits er i spill, har brukerne ikke annet valg enn å slette alt på datamaskinen og starte på nytt - hvis de vil bli kvitt de ondsinnede programmene.

Er hver malware et rootkit?

Nei. Hvis det er noe, er bare en liten andel skadelig programvare rootkits. Sammenlignet med andre ondsinnede programmer, er rootkits betydelig avanserte når det gjelder design og programmering. Rootkits kan gjøre mye mer enn gjennomsnittlig skadelig programvare.

Hvis vi skal følge strenge tekniske definisjoner, er ikke et rootkit akkurat en form eller type ondsinnet program. Rootkits tilsvarer ganske enkelt prosessen som brukes til å distribuere skadelig programvare på et mål (vanligvis en bestemt datamaskin eller person eller organisasjon). Forståelig nok, siden rootkits dukker opp ganske ofte i nyhetene om nettangrep eller hack, har begrepet kommet til å bære en negativ konnotasjon.



For å være rettferdig kjører rootkits ganske likt malware. De liker å operere uten begrensninger på ofrenes datamaskiner; de vil ikke at beskyttelsesverktøy skal gjenkjenne eller finne dem; de prøver vanligvis å stjele ting fra måldatamaskinen. Til slutt er rootkits trusler. Derfor må de blokkeres (for å forhindre at de kommer inn i utgangspunktet) eller adresseres (hvis de allerede har funnet veien inn).

Hvorfor blir rootkits brukt eller valgt?

Angripere bruker rootkits til mange formål, men de fleste ganger prøver de å bruke dem til å forbedre eller utvide stealth-funksjoner i skadelig programvare. Med økt skjult kan de ondsinnede nyttelastene som er distribuert på en datamaskin forbli uoppdaget lenger mens de dårlige programmene arbeider for å exfiltrere eller fjerne data fra et nettverk.

Rootkits er ganske nyttige fordi de gir en praktisk måte eller plattform der uautoriserte aktører (hackere eller til og med myndighetspersoner) får bakdørstilgang til systemer. Rootkits oppnår vanligvis målet som er beskrevet her ved å undergrave påloggingsmekanismer for å tvinge datamaskiner til å gi dem hemmelig påloggingstilgang for en annen person.



Rootkits kan også brukes til å kompromittere eller overvelde en datamaskin for å la angriperen få kontroll og bruke enheten som et verktøy for å utføre bestemte oppgaver. For eksempel målretter hackere mot enheter med rootkits og bruker dem som bots for DDoS (Distribuert Denial of Service) -angrep. I et slikt scenario, hvis kilden til DDoS noen gang blir oppdaget og sporet, vil det føre til den kompromitterte datamaskinen (offeret) i stedet for den virkelige ansvarlige datamaskinen (angriperen).

De kompromitterte datamaskinene som deltar i slike angrep er kjent som zombiemaskiner. DDoS-angrep er neppe det eneste som angripere gjør med kompromitterte datamaskiner. Noen ganger bruker hackere ofrenes datamaskiner til å utføre klikksvindel eller distribuere spam.

Interessant er det scenarier der rootkits distribueres av administratorer eller vanlige enkeltpersoner for gode formål, men eksempler på slike er fremdeles ganske sjeldne. Vi har sett rapporter om noen IT-team som kjører rootkits i en honeypot for å oppdage eller gjenkjenne angrep. Vel, på denne måten, hvis de lykkes med oppgavene, får de forbedre emuleringsteknikker og sikkerhetsapplikasjoner. De kan også få litt kunnskap, som de kan bruke for å forbedre tyveribeskyttelsesinnretninger.



Likevel, hvis du noen gang må håndtere et rootkit, er sjansen stor for at rootkit blir brukt mot deg (eller dine interesser). Derfor er det viktig at du lærer hvordan du oppdager ondsinnede programmer i den klassen, og hvordan du kan forsvare deg selv (eller datamaskinen din) mot dem.

Typer rootkits

Det finnes forskjellige former eller typer rootkits. Vi kan klassifisere dem basert på infeksjonsmåte og nivået de opererer på datamaskiner på. Vel, dette er de vanligste rootkit-typene:

  1. Kjernemodus rootkit:

Kjernemodus rootkits er rootkits designet for å sette inn skadelig programvare i kjernen til operativsystemene for å endre OS-funksjonalitet eller oppsett. Med 'kjerne' mener vi den sentrale delen av operativsystemet som kontrollerer eller kobler mellom operasjoner mellom maskinvare og applikasjoner.

Angripere synes det er vanskelig å distribuere rootkits i kjernemodus fordi slike rootkits har en tendens til å føre til at systemene krasjer hvis koden som brukes mislykkes. Men hvis de noen gang klarer å lykkes med distribusjonen, vil rootkits kunne gjøre utrolig skade fordi kjerner vanligvis har de høyeste privilegienivåene i et system. Med andre ord, med vellykkede kjernemodus rootkits, får angripere lette turer med ofrenes datamaskiner.

  1. Brukermodus rootkit:

Rotsettene i denne klassen er de som blir henrettet ved å fungere som vanlige eller vanlige programmer. De har en tendens til å operere i samme miljø der applikasjoner kjører. Av denne grunn omtaler noen sikkerhetseksperter dem som applikasjonsrotkits.

Brukermodus rootkits er relativt enklere å distribuere (enn rootkits i kjernemodus), men de er i stand til mindre. De gjør mindre skade enn kjerne rootkits. Sikkerhetsapplikasjoner synes i teorien også at det er lettere å håndtere root-sett for brukermodus (sammenlignet med andre former eller klasser av rootkits).

  1. Bootkit (boot rootkit):

Bootkits er rootkits som utvider eller forbedrer evnene til vanlige rootkits ved å infisere Master Boot Record. Små programmer som blir aktivert under systemoppstart utgjør Master Boot Record (som noen ganger forkortes som MBR). Et bootkit er i utgangspunktet et program som angriper systemet og arbeider for å erstatte den vanlige bootloaderen med en hacket versjon. Et slikt rootkit blir aktivert selv før datamaskinens operativsystem starter opp og legger seg.

Gitt infeksjonsmodus for bootkits, kan angripere bruke dem i mer vedvarende former for angrep fordi de er konfigurert til å kjøre når et system starter (selv etter en defensiv tilbakestilling). Videre har de en tendens til å forbli aktive i systemminnet, som er et sted som sjelden skannes av sikkerhetsapplikasjoner eller IT-team for trusler.

  1. Minne rootkit:

Et minne rootkit er en type rootkit designet for å gjemme seg inne i datamaskinens RAM (et akronym for Random Access Memory, som er det samme som midlertidig minne). Disse rootkits (en gang i minnet) jobber deretter med å utføre skadelige operasjoner i bakgrunnen (uten at brukerne vet om dem).

Heldigvis har memory rootkits en tendens til å ha en kort levetid. De kan bare leve i datamaskinens RAM for en økt. Hvis du starter PCen på nytt, vil de forsvinne - i det minste burde de i teorien. I noen scenarier er omstartsprosessen likevel ikke nok; brukere kan ende opp med å måtte gjøre noe for å kvitte seg med rootkits.

  1. Maskinvare eller fastvare rootkit:

Maskinvare- eller fastvarerotsett får navnet sitt fra stedet de er installert på datamaskiner.

Disse rootkits er kjent for å dra nytte av programvare innebygd i firmware på systemer. Firmware refererer til den spesielle programklassen som gir kontroll eller instruksjoner på et lavt nivå for spesifikk maskinvare (eller enhet). For eksempel har den bærbare datamaskinen fastvare (vanligvis BIOS) som ble lastet inn i den av produsenten. Ruteren din har også fastvare.

Siden fastvare-rootkits kan eksistere på enheter som rutere og stasjoner, kan de forbli skjulte veldig lenge - fordi disse maskinvareenhetene sjelden blir sjekket eller inspisert for kodeintegritet (hvis de til og med er sjekket i det hele tatt). Hvis hackere infiserer ruteren din eller kjører med et rootkit, vil de kunne fange opp data som strømmer gjennom enheten.

Slik holder du deg trygg fra rootkits (tips for brukere)

Selv de beste sikkerhetsprogrammene kjemper fremdeles mot rootkits, så det er bedre å gjøre det som er nødvendig for å forhindre at rootkits kommer inn i datamaskinen din i utgangspunktet. Det er ikke så vanskelig å være trygg.

Hvis du følger den beste sikkerhetspraksis, reduseres sjansene for at datamaskinen din blir smittet av et rootkit betydelig. Her er noen av dem:

  1. Last ned og installer alle oppdateringer:

Du har rett og slett ikke råd til å ignorere oppdateringer for noe. Ja, vi forstår at oppdateringer til applikasjoner kan være irriterende, og oppdateringer til operativsystemoppbyggingen kan være forstyrrende, men du kan ikke gjøre uten dem. Å holde programmene og operativsystemet oppdatert sørger for at du får oppdateringer til sikkerhetshull eller sårbarheter som angripere benytter seg av for å injisere rootkits i datamaskinen. Hvis hullene og sårbarhetene lukkes, vil PC-en være bedre for det.

  1. Se opp for phishing-e-post:

Phishing-e-post sendes vanligvis av svindlere som ønsker å lure deg til å gi dem personlig informasjon eller sensitive detaljer (for eksempel påloggingsdetaljer eller passord). Likevel oppfordrer noen phishing-e-postmeldinger brukerne til å laste ned og installere noe programvare (som vanligvis er skadelig eller skadelig).

Slike e-poster kan se ut som om de har kommet fra en legitim avsender eller pålitelig person, så du må passe deg for dem. Ikke svar på dem. Ikke klikk på noe i dem (lenker, vedlegg og så videre).

  1. Se opp for nedlastinger og utilsiktede installasjoner:

Her vil vi at du skal ta hensyn til ting som blir lastet ned på datamaskinen din. Du vil ikke få skadelige filer eller dårlige applikasjoner som installerer ondsinnede programmer. Du må også være oppmerksom på appene du installerer, fordi noen legitime applikasjoner følger med andre programmer (som kan være skadelige).

Ideelt sett bør du bare få de offisielle versjonene av programmer fra offisielle sider eller nedlastingssentre, ta de riktige valgene under installasjonene, og ta hensyn til installasjonsprosessene for alle apper.

  1. Installer et beskyttelsesverktøy:

Hvis et rootkit skal komme inn i datamaskinen din, vil oppføringen sannsynligvis være koblet til tilstedeværelsen eller eksistensen av et annet skadelig program på datamaskinen din. Sjansene er at et godt antivirus- eller antimalware-program vil oppdage den opprinnelige trusselen før et rootkit blir introdusert eller aktivert.

Du kan få Anti-Malware. Du vil gjøre det bra med å stole på den anbefalte applikasjonen fordi gode sikkerhetsprogrammer fremdeles utgjør ditt beste forsvar mot alle former for trusler.

Slik oppdager du rootkits (og noen tips for organisasjoner og IT-administratorer)

Det er få verktøy som er i stand til å oppdage og fjerne rootkits. Selv kompetente sikkerhetsapplikasjoner (kjent for å håndtere slike ondsinnede programmer) sliter noen ganger med eller klarer ikke å gjøre jobben ordentlig. Feil ved fjerning av rootkit er vanligere når skadelig programvare eksisterer og fungerer på kjernenivå (kjernemodus rootkits).

Noen ganger er ominstallering av operativsystemet på en maskin det eneste som kan gjøres for å kvitte seg med et rootkit. Hvis du har å gjøre med fastvare-rootkits, kan det hende du må bytte ut noen maskinvaredeler inne i den berørte enheten eller få spesialutstyr.

En av de beste rootkit-deteksjonsprosessene krever at brukerne utfører skanning på toppnivå for rootkits. Med 'toppnivå skanning' mener vi en skanning som drives av et eget rent system mens den infiserte maskinen er slått av. I teorien bør en slik skanning gjøre nok for å se etter signaturer etter angriperne, og kunne være i stand til å identifisere eller gjenkjenne noe stygt spill på nettverket.

Du kan også bruke en minnedumpanalyse for å oppdage rootkits, spesielt hvis du mistenker at et bootkit - som henger fast i systemminnet for å fungere - er involvert. Hvis det er et rootkit i en vanlig datamaskins nettverk, vil det sannsynligvis ikke bli skjult hvis det utfører kommandoer som involverer bruk av minne - og Managed Service Provider (MSP) vil kunne se instruksjonene som det ondsinnede programmet sender ut .

Atferdsanalyse er en annen pålitelig prosedyre eller metode som noen ganger brukes til å oppdage eller spore rootkits. Her, i stedet for at du ser etter et rootkit direkte ved å sjekke systemminnet eller observere angrepssignaturer, må du se etter rootkit-symptomer på datamaskinen. Ting som lave driftshastigheter (betydelig langsommere enn normalt), merkelig nettverkstrafikk (som ikke burde være der) og andre vanlige avvikende atferdsmønstre burde gi rootkits unna.

Manager-tjenesteleverandører kan faktisk distribuere prinsippet om minst privilegier (PoLP) som en spesiell strategi i kundenes systemer for å håndtere eller redusere effekten av en rootkit-infeksjon. Når PoLP brukes, er systemene konfigurert til å begrense hver modul i et nettverk, noe som betyr at individuelle moduler bare får tilgang til informasjonen og ressursene de trenger for sitt arbeid (spesifikke formål).

Vel, det foreslåtte oppsettet sikrer strengere sikkerhet mellom armene til et nettverk. Det gjør også nok for å blokkere installasjonen av skadelig programvare til nettverkskjerner av uautoriserte brukere, noe som betyr at det forhindrer rootkits i å bryte inn og forårsake problemer.

Heldigvis er rootkits i gjennomsnitt i tilbakegang (sammenlignet med volumet av andre ondsinnede programmer som har spredt seg de siste årene) fordi utviklere kontinuerlig forbedrer sikkerheten i operativsystemene. Endepunktsforsvar blir sterkere, og et større antall prosessorer (eller prosessorer) blir designet for å bruke innebygde kjernebeskyttelsesmoduser. For øyeblikket eksisterer det fortsatt rotkits, og de må identifiseres, avsluttes og fjernes uansett hvor de finnes.