Rootkit na PC: Oto jak możesz się chronić

Spisie treści:

Anonim

Wykryj rootkita i chroń się przed nim

Wiele złośliwego oprogramowania wykorzystywanego przez przestępców na całym świecie pozostaje niewykrytych przez ich ofiary. Wynika to również ze złośliwego oprogramowania, takiego jak rootkit. Pokażemy Ci w łatwy do zrozumienia sposób, czym jest rootkit, jakie są jego typy i jak możesz chronić przed nimi swój komputer za pomocą odpowiednich narzędzi.

Co to jest rootkit?

Rootkit to złośliwe oprogramowanie ukryte głęboko w systemie operacyjnym. Ze względu na ich programowanie rootkity można zazwyczaj wykryć i usunąć tylko za pomocą odpowiedniego oprogramowania antywirusowego.

Główną funkcją rootkitów jest umożliwienie osobom trzecim dostępu do obcego komputera. Możesz nim sterować zdalnie, manipulować nim lub wykraść dane. Ataki typu rootkit są również wykorzystywane na przykład do instalowania oprogramowania, za pomocą którego atakujący mogą zdalnie kontrolować botnet.

Rootkit zazwyczaj składa się z pakietu złośliwego oprogramowania. Rootkit może zawierać keyloggery, boty lub oprogramowanie ransomware.

Info: Skąd wzięła się nazwa „rootkit”?

Termin „rootkit” składa się ze słów „root” (niemiecki = root = najwyższy katalog w systemie plików; użytkownik ze wszystkimi prawami administratora) i „kit” (niemiecki = zestaw). Rootkit to całkowicie neutralny zbiór aplikacji, które mogą korzystać z praw administratora. Ale kiedy te prawa są wykorzystywane do ponownego ładowania złośliwego oprogramowania, sam rootkit staje się złośliwym oprogramowaniem.

Rootkit: Są takie typy

Rootkity są zwykle klasyfikowane na podstawie głębokości działania w systemie plików danego komputera.

Rootkity w trybie użytkownika

Głównym dotknięciem tych rootkitów jest konto administratora na twoim komputerze. Złośliwe oprogramowanie ma wszystkie zalety dostępu administratora do plików lub programów i może na przykład zmieniać ustawienia zabezpieczeń. Trudna sprawa tych rootkitów: są one automatycznie uruchamiane przy każdym ponownym uruchomieniu komputera.

Rootkity modelu jądra

Te rootkity działają bezpośrednio na poziomie systemu operacyjnego, dzięki czemu mają możliwość manipulowania wszystkimi obszarami systemu operacyjnego. Nawet skanowanie skanerem antywirusowym może dawać nieprawidłowe wyniki, jeśli zostanie zainfekowany rootkitem w trybie jądra. Jednak rootkity jądra muszą pokonać wiele przeszkód, zanim utkną w jądrze. Zwykle są one zauważane wcześniej, np. dlatego, że komputer ciągle się zawiesza.

Rootkity oprogramowania układowego

Te rootkity mogą wszczepiać oprogramowanie układowe systemów komputerowych. Po usunięciu są one automatycznie ponownie instalowane przy każdym ponownym uruchomieniu. Powoduje to, że rootkity oprogramowania układowego są szczególnie trwałe i utrudnia ich usunięcie.

Zestawy rozruchowe

Te rootkity utknęły w sektorze rozruchowym. Po uruchomieniu komputera system używa głównego rekordu rozruchowego. Znajdziesz tam również zestaw startowy, który jest ładowany przy każdym uruchomieniu. Ważną ochronę mają użytkownicy nowszych systemów operacyjnych Windows, takich jak 8 lub 10. Te wersje mają już systemy zabezpieczające, które uniemożliwiają uruchomienie zestawów rozruchowych po włączeniu komputera.

Wirtualne rootkity

Te rootkity instalują się na maszynie wirtualnej i mogą uzyskać dostęp do zainfekowanego komputera poza rzeczywistym systemem operacyjnym. Utrudnia to ich wykrycie przez oprogramowanie antywirusowe.

Hybrydowe rootkityTe rootkity dzielą oprogramowanie i instalują jego części w jądrze oraz inne części na poziomie użytkownika. Te rootkity są korzystne dla przestępców, ponieważ działają bardzo stabilnie na poziomie użytkownika, a jednocześnie działają w jądrze, czyli są zakamuflowane.

Aby chronić się przed tymi podstępnymi zagrożeniami, między innymi skanery antywirusowe muszą mieć aktualne definicje wirusów.

Jak rootkit dostaje się do komputera?

Rootkity zawsze potrzebują „pojazdu”, za pomocą którego mogą wszczepić się do komputera. Z reguły zatem rootkit zawsze składa się z trzech komponentów: samego rootkita, droppera i programu ładującego. Dropper jest porównywalny do wirusa komputerowego, który infekuje komputer. Ponieważ dropper szuka dziury w zabezpieczeniach, aby zapisać rootkita na żądanym urządzeniu. Następnie używana jest ładowarka. Instaluje rootkit na zainfekowanym komputerze, np. w jądrze lub na poziomie użytkownika, jeśli jest to rootkit trybu użytkownika.

Rootkity wykorzystują do upuszczania następujące media:

Posłaniec

Na przykład, jeśli otrzymasz złośliwy link lub plik za pośrednictwem komunikatora i otworzysz link lub plik, dropper może umieścić rootkita na Twoim urządzeniu.

Zhakowane oprogramowanie i aplikacje:

Rootkity mogą być „przemycane” do zaufanego oprogramowania lub aplikacji przez hakerów. Pliki są rozpowszechniane w Internecie na przykład jako bezpłatne oferty. Jak tylko zainstalujesz te programy, pobierzesz także rootkita na swój komputer.

Pliki PDF lub Office:Rootkity mogą ukrywać się w plikach pakietu Office lub plikach PDF, zarówno jako załącznik do wiadomości e-mail, jak i do pobrania. Gdy tylko otworzysz plik, dropper wstawi plik do komputera, a program ładujący rozpocznie instalację w tle.

Jak rozpoznać rootkita na moim komputerze (skaner rootkita)?

W celu niezawodnego wykrywania rootkitów, a następnie ich usuwania, wymagany jest skaner rootkitów, który jest zawarty w skanowaniu antywirusowym potężnych programów antywirusowych. Na przykład te skany mogą rozpoznać typowe sygnatury rootkitów. Dzięki tym podpisom cyfry w kodzie są ułożone w określoną formę. Ale są też pewne znaki na twoim komputerze, które mogą wskazywać na możliwą infekcję rootkitem.

  • Nietypowe zachowanie komputera: Rootkity charakteryzują się niepozornością. Może się jednak zdarzyć, że Twój komputer zachowuje się inaczej niż zwykle, np. nieumyślnie otwiera programy lub uruchamia procesy, których nie uruchomiłeś.
  • Twoje ustawienia systemowe zmieniają się bez żadnych działań z Twojej strony: Jeśli na przykład dowiesz się, że Twój komputer generalnie umożliwia zdalny dostęp lub otwiera porty, przyczyną może być rootkit.
  • Analiza zrzutu pamięci: W przypadku awarii komputera system Windows tworzy obraz pamięci systemowej. Eksperci mogą używać tego pliku do identyfikowania nietypowych wzorców tworzonych przez rootkita.
  • Twoje połączenie internetowe jest zawsze niestabilne: Rootkity mogą na przykład zapewnić duży przepływ danych, przez który hakerzy mogą uzyskać dostęp do danych. Te ruchy danych mogą bardzo spowolnić połączenie internetowe, a nawet spowodować jego awarię.

Jak mogę się zabezpieczyć przed rootkitem?

Najważniejszą ochroną przed rootkitami jest korzystanie z aktualnego programu antywirusowego. Wyposażona w najnowsze definicje wirusów ochrona w czasie rzeczywistym może ostrzegać przed niebezpiecznymi pobraniami i instalacjami oraz używać skanera antywirusowego do regularnego sprawdzania komputera pod kątem rootkitów.

Ponadto zalecane są następujące środki:

  • Używaj tylko jednego konta użytkownika w życiu codziennym, bez dostępu administracyjnego: Jeśli logujesz się do systemu Windows lub iOS za pomocą konta gościa, masz tylko ograniczone prawa. Jeśli w tym czasie zainfekujesz swój komputer rootkitem, dropper może uzyskać dostęp tylko do tego poziomu użytkownika i np. nie ma bezpośredniego dostępu do jądra.
  • Regularnie aktualizuj system operacyjny i oprogramowanie: Producenci zamykają znane luki w zabezpieczeniach dzięki regularnym aktualizacjom. Dlatego konieczne jest przeprowadzenie wszystkich niezbędnych aktualizacji.
  • Pobieraj pliki z Internetu tylko z renomowanych serwisów: Unikaj potencjalnie niebezpiecznych pobrań, minimalizuj ryzyko stania się ofiarą rootkita.
  • Otwieraj tylko załączniki wiadomości e-mail od nadawców, którym ufasz: Jeśli otrzymujesz wiadomości e-mail od nadawców z zaszyfrowanymi adresami e-mail, najlepiej je usunąć. Jeśli załącznik wiadomości e-mail ze znanego adresu brzmi dla Ciebie dziwnie, lepiej jest ponownie skontaktować się z nadawcą przed otwarciem załącznika wiadomości e-mail.
  • Instaluj aplikacje na smartfony tylko z oficjalnych sklepów z aplikacjami: Jeśli otrzymujesz aplikacje z oficjalnych źródeł, przechodzą one już kontrolę bezpieczeństwa. Zmniejszy to ryzyko załadowania rootkita na smartfona.

Usuń rootkita - jak postępować

Rootkity należy zawsze usuwać za pomocą specjalnego oprogramowania antywirusowego. Ponieważ to złośliwe oprogramowanie może zagnieździć się głęboko w systemie operacyjnym komputera, ręczne usunięcie jest zwykle bardzo trudne. Jeśli zapomnisz małe pozostałości rootkita po jego usunięciu, zwykle zainstaluje się on ponownie po ponownym uruchomieniu.

Najlepszym sposobem na usunięcie rootkitów jest użycie aktualnego programu antywirusowego, który ma najbardziej aktualne definicje wirusów. Zalecane jest wtedy skanowanie antywirusowe w trybie awaryjnym, aby rootkit nie mógł na przykład ponownie załadować danych z Internetu. Często konieczne jest kilkakrotne uruchomienie skanowania antywirusowego lub złośliwego oprogramowania, aby całkowicie wyeliminować rootkita.

W tym artykule znajdziesz szczegółowe instrukcje dotyczące wyszukiwania i usuwania rootkitów.

Znane rootkity

Rootkity to bardzo stare zagrożenia internetowe. Jednym z pierwszych znanych rootkitów jest złośliwe oprogramowanie, które atakowało głównie systemy operacyjne Unix w 1990 roku. Pierwszym znanym rootkitem dla komputerów z systemem Windows był rootkit NTR, który był w obiegu w 1999 roku. To jest rootkit jądra.

W latach 2003-2005 miały miejsce różne poważne ataki z użyciem rootkitów, w tym atak na telefony komórkowe aktywowane w sieci Vodafone Greece. Ten rootkit stał się znany jako „grecki Watergate”, ponieważ dotyczył między innymi greckiego premiera.

W 2008 r. szalał zestaw startowy TDL-1. Cyberprzestępcy wykorzystali go do zbudowania dużego botnetu przy pomocy konia trojańskiego.

Rootkit został po raz pierwszy wykryty w 2009 roku, który infekuje również systemy operacyjne Apple. Został ochrzczony „Machiavelli”.

W 2010 r. szalał robak Stuxnet. Między innymi użył rootkita, który miał szpiegować irański program nuklearny. Podejrzewa się, że tajne służby izraelskie i amerykańsko-amerykańskie są programistami i atakującymi.

Dzięki LoJaxowi w latach 2022-2023 wykryto rootkita, który po raz pierwszy infekuje oprogramowanie układowe na płycie głównej komputera. Dzięki temu złośliwe oprogramowanie może się ponownie aktywować po ponownej instalacji systemu operacyjnego.

Wniosek: Trudne do wykrycia, ale dzięki aktualnemu oprogramowaniu antywirusowemu i ostrożności można zmniejszyć ryzyko

Ponieważ rootkity są głęboko osadzone w systemie operacyjnym komputera, zapobieganie jest szczególnie ważne. Po zainstalowaniu rootkita laikom trudno jest wykryć infekcję. Jednak każdy, kto jest ostrożny w Internecie z aktualnym systemem ochrony antywirusowej i odpowiednimi narzędziami oraz kto nie otwiera nieostrożnie nieznanych plików, zmniejsza prawdopodobieństwo padnięcia ofiarą rootkita.