Microsoft恶意软件防护中心已经可以下载其关于Rootkit的威胁报告。该报告研究了当今恶意软件威胁组织和个人之一 - 更为恶意的类型 - rootkit。该报告研究了攻击者如何使用rootkit以及rootkits在受影响的计算机上的功能。下面是报告的要点,从Rootkit开始 - 对于初学者。
Rootkit 是一组攻击者或恶意软件创建者用来控制任何暴露/非安全系统的工具,否则它是通常保留给系统管理员。近年来,`ROOTKIT`或`ROOTKIT FUNCTIONALITY`这个术语已被MALWARE取代 - 该计划旨在对健康的计算机产生不良影响。恶意软件的主要功能是秘密地从用户计算机中提取有价值的数据和其他资源,并将其提供给攻击者,从而使他能够完全控制受感染的计算机。而且,它们很难被发现和移除,并且如果不被注意的话可能会保持隐藏很长时间,甚至可能是几年。
自然,在结果证明致命之前,需要掩盖并考虑受损计算机的症状。特别是应该采取更严格的安全措施来发现攻击。但是,如前所述,一旦安装了这些Rootkit /恶意软件,其隐形功能就很难删除它及其下载的组件。因此,Microsoft已创建了ROOTKITS报告
Microsoft恶意软件防护中心威胁报告关于Rootkit
16页报告概述了攻击者如何使用rootkit以及这些rootkit如何在受影响的计算机上运行。报告的目的是确定并仔细检查威胁许多组织,尤其是计算机用户的强大恶意软件。它还提到了一些流行的恶意软件家族,并将攻击者用于在健康系统中为自己的私心目的安装这些Rootkit的方法。在本报告的其余部分中,您将找到专家提出一些建议来帮助用户减轻rootkit的威胁。
Rootkit的类型
恶意软件可以安装到操作系统中的许多地方。所以,大多数类型的rootkit是由它执行其执行路径颠覆的位置决定的。其中包括:
用户模式Rootkit
- 内核模式Rootkit
- MBR Rootkit / bootkits
- 内核模式rootkit折衷的可能影响通过下面的屏幕截图来说明
第三种类型,修改主引导记录以获得对系统的控制并启动加载引导序列中最早可能点的过程3。它隐藏文件,注册表修改,网络连接的证据以及其他可能表明其存在的指示器。
使用Rootkit功能的着名恶意软件系列
Win32 / Sinowal
13 - 多组件系列试图窃取敏感数据(例如不同系统的用户名和密码)的恶意软件。这包括尝试窃取各种FTP,HTTP和电子邮件帐户的认证详细信息,以及用于网上银行和其他金融交易的凭证。 Win32 / Cutwail
15 - 一种可下载并执行任意操作的木马文件。下载的文件可能从磁盘执行或直接注入其他进程。尽管下载文件的功能是可变的,但Cutwail通常会下载其他发送垃圾邮件的组件。它使用内核模式rootkit,并安装多个设备驱动程序以将其组件从受影响的用户隐藏
Win32 / Rustock
- 一个多组件系列的启用rootkit的后门木马,最初开发的目的是帮助通过 botnet 分发“垃圾邮件”电子邮件。僵尸网络是受攻击者控制的大型计算机网络。 防止rootkits
防止rootkit的安装是避免rootkit感染的最有效方法。为此,有必要投资防护技术,如防病毒和防火墙产品。通过使用传统的基于签名的检测,启发式检测,动态响应签名功能和行为监控,这些产品应该采取全面的保护措施。
所有这些签名集应该使用自动更新机制保持最新。 Microsoft防病毒解决方案包括许多专门用于缓解Rootkit的技术,包括实时内核行为监控,检测并报告修改受影响系统内核的尝试,以及直接文件系统分析,以便识别和删除隐藏的驱动程序。
如果发现某个系统受到威胁,那么可以使用另一个工具来启动一个已知的良好或可信的环境,因为它可能会提供一些适当的补救措施。
在这种情况下,
独立系统清理程序工具部分Microsoft诊断和恢复工具集(DaRT)
- Windows Defender脱机可能很有用
- 有关详细信息,可以从Microsoft下载中心下载PDF报告