Rootkit στον υπολογιστή: Δείτε πώς μπορείτε να προστατευτείτε

Πίνακας περιεχομένων:

Anonim

Εντοπίστε το rootkit και προστατευτείτε από αυτό

Μεγάλο μέρος του κακόβουλου λογισμικού που χρησιμοποιείται από εγκληματίες σε όλο τον κόσμο δεν εντοπίζεται από τα θύματά τους. Αυτό οφείλεται επίσης σε κακόβουλο λογισμικό, όπως το rootkit. Θα σας δείξουμε με έναν εύκολα κατανοητό τρόπο τι είναι το rootkit, ποιοι τύποι υπάρχουν και πώς μπορείτε να προστατέψετε τον υπολογιστή σας από αυτά με τα κατάλληλα εργαλεία.

Τι είναι το rootkit;

Το rootkit είναι κακόβουλο λογισμικό που είναι κρυμμένο πολύ βαθιά στο λειτουργικό σύστημα. Λόγω του προγραμματισμού τους, τα rootkits μπορούν συνήθως να εντοπιστούν και να αφαιρεθούν μόνο με το κατάλληλο λογισμικό προστασίας από ιούς.

Η κεντρική λειτουργία των rootkits είναι να επιτρέπουν σε τρίτους να έχουν πρόσβαση σε έναν ξένο υπολογιστή. Μπορείτε να το ελέγξετε από απόσταση, να το χειριστείτε ή να κλέψετε δεδομένα. Οι επιθέσεις Rootkit χρησιμοποιούνται επίσης, για παράδειγμα, για την εγκατάσταση λογισμικού με το οποίο οι επιτιθέμενοι μπορούν να ελέγχουν ένα botnet από απόσταση.

Ένα rootkit συνήθως αποτελείται από μια δέσμη κακόβουλου λογισμικού. Ένα rootkit μπορεί να περιέχει keyloggers, bots ή ransomware.

Πληροφορίες: Από πού προέρχεται το όνομα "rootkit";

Ο όρος «rootkit» αποτελείται από τις λέξεις «root» (γερμανικά = root = υψηλότερος κατάλογος σε ένα σύστημα αρχείων · χρήστης με όλα τα δικαιώματα διαχειριστή) και «kit» (γερμανικά = set). Το rootkit είναι μια εντελώς ουδέτερη συλλογή εφαρμογών λογισμικού που μπορούν να χρησιμοποιήσουν δικαιώματα διαχειριστή. Αλλά όταν αυτά τα δικαιώματα χρησιμοποιούνται για την επαναφόρτωση κακόβουλου λογισμικού, το ίδιο το rootkit γίνεται κακόβουλο λογισμικό.

Rootkit: Υπάρχουν αυτοί οι τύποι

Τα Rootkits συνήθως ταξινομούνται με βάση το βάθος στο οποίο δρουν στο σύστημα αρχείων του συγκεκριμένου υπολογιστή.

Rootkits λειτουργίας χρήστη

Ο κύριος που επηρεάζεται από αυτά τα rootkits είναι ο λογαριασμός διαχειριστή στον υπολογιστή σας. Το κακόβουλο λογισμικό έχει όλα τα πλεονεκτήματα της πρόσβασης διαχειριστή σε αρχεία ή προγράμματα και μπορεί, για παράδειγμα, να αλλάξει τις ρυθμίσεις ασφαλείας. Το περίπλοκο με αυτά τα rootkits: Ξεκινούν αυτόματα κάθε φορά που γίνεται επανεκκίνηση του υπολογιστή.

Μοντέλο πυρήνα rootkits

Αυτά τα rootkits λειτουργούν απευθείας σε επίπεδο λειτουργικού συστήματος και έτσι έχουν τη δυνατότητα χειρισμού όλων των περιοχών του λειτουργικού συστήματος. Ακόμα και οι σαρώσεις σαρωτή ιών μπορούν να παράγουν λανθασμένα αποτελέσματα εάν μολυνθούν με rookit λειτουργίας πυρήνα. Ωστόσο, τα rootkits του πυρήνα πρέπει να ξεπεράσουν πολλά εμπόδια προτού μπορέσουν να κολλήσουν στον πυρήνα. Συνήθως παρατηρούνται εκ των προτέρων, π.χ. επειδή ο υπολογιστής συνεχίζει να σπάει.

Rootkits υλικολογισμικού

Αυτά τα rootkits μπορούν να εμφυτεύσουν το υλικολογισμικό των συστημάτων υπολογιστών. Μόλις διαγραφούν, επανεγκαθίστανται αυτόματα κάθε φορά που κάνετε επανεκκίνηση. Αυτό καθιστά τα rootkits του firmware ιδιαίτερα επίμονα και καθιστά δύσκολη την κατάργησή τους.

Σετ μπότες

Αυτά τα rootkits κολλάνε στον τομέα εκκίνησης. Όταν ξεκινάτε τον υπολογιστή σας, το σύστημα χρησιμοποιεί την κύρια εγγραφή εκκίνησης. Εκεί θα βρείτε επίσης το κιτ εκκίνησης, το οποίο φορτώνεται κάθε φορά που ξεκινάτε. Οι χρήστες νεότερων λειτουργικών συστημάτων Windows, όπως 8 ή 10. Έχουν σημαντική προστασία. Αυτές οι εκδόσεις διαθέτουν ήδη συστήματα ασφαλείας που εμποδίζουν την εκκίνηση των κιτ εκκίνησης όταν ο υπολογιστής είναι ενεργοποιημένος.

Εικονικά rootkits

Αυτά τα rootkits εγκαθίστανται σε μια εικονική μηχανή και μπορούν να έχουν πρόσβαση σε έναν μολυσμένο υπολογιστή εκτός του πραγματικού λειτουργικού συστήματος. Αυτό καθιστά δύσκολο τον εντοπισμό του λογισμικού προστασίας από ιούς.

Υβριδικά rootkitsΑυτά τα rootkits χωρίζουν το λογισμικό και εγκαθιστούν τμήματα του στον πυρήνα και άλλα μέρη σε επίπεδο χρήστη. Αυτά τα rootkits είναι πλεονεκτικά για εγκληματίες επειδή λειτουργούν πολύ σταθερά σε επίπεδο χρήστη και ταυτόχρονα ενεργούν στον πυρήνα, δηλαδή καμουφλαρισμένα.

Για να προστατευτούν από αυτές τις ύπουλες απειλές, οι σαρωτές ιών, μεταξύ άλλων, πρέπει να έχουν ενημερωμένους ορισμούς ιών.

Πώς μπαίνει ένα rootkit στον υπολογιστή;

Τα Rootkits χρειάζονται πάντα ένα «όχημα» με το οποίο μπορούν να εμφυτευτούν σε έναν υπολογιστή. Κατά κανόνα, ένα rootkit αποτελείται πάντα από τρία συστατικά, το ίδιο το rootkit, το σταγονόμετρο και το φορτωτή. Το σταγονόμετρο είναι συγκρίσιμο με έναν ιό υπολογιστή που μολύνει τον υπολογιστή σας. Επειδή το σταγονόμετρο ψάχνει μια τρύπα ασφαλείας προκειμένου να αποθηκεύσει το rootkit στην επιθυμητή συσκευή. Στη συνέχεια χρησιμοποιείται ο φορτωτής. Εγκαθιστά το rootkit στον μολυσμένο υπολογιστή, π.χ. στον πυρήνα ή σε επίπεδο χρήστη εάν πρόκειται για rootkit λειτουργίας χρήστη.

Τα Rootkits χρησιμοποιούν τα ακόλουθα μέσα για την απόρριψη:

Αγγελιαφόρος

Για παράδειγμα, εάν λάβετε έναν κακόβουλο σύνδεσμο ή αρχείο μέσω ενός messenger και ανοίξετε τον σύνδεσμο ή το αρχείο, το σταγονόμετρο μπορεί να τοποθετήσει το rootkit στη συσκευή σας.

Χακαρισμένο λογισμικό και εφαρμογές:

Τα Rootkits μπορούν να «διακινηθούν» σε αξιόπιστο λογισμικό ή εφαρμογές από χάκερ. Τα αρχεία διανέμονται στο διαδίκτυο ως δωρεάν προσφορές, για παράδειγμα. Μόλις εγκαταστήσετε αυτά τα προγράμματα, θα κατεβάσετε επίσης το rootkit στον υπολογιστή σας.

Αρχεία PDF ή Office:Τα Rootkits μπορούν να κρυφτούν σε αρχεία του Office ή PDF, είτε ως συνημμένο αλληλογραφίας είτε ως λήψη. Μόλις ανοίξετε το αρχείο, το σταγονόμετρο εισάγει το αρχείο στον υπολογιστή σας και ο φορτωτής αρχίζει να εγκαθίσταται στο παρασκήνιο.

Πώς αναγνωρίζω ένα rootkit στον υπολογιστή μου (rootkit scanner);

Προκειμένου να εντοπιστούν αξιόπιστα τα rootkits και στη συνέχεια να τα αφαιρεθούν, απαιτείται ένας σαρωτής rootkit, ο οποίος περιλαμβάνεται στη σάρωση ιών των ισχυρών προγραμμάτων προστασίας από ιούς. Για παράδειγμα, αυτές οι σαρώσεις μπορούν να αναγνωρίσουν κοινές υπογραφές rootkit. Με αυτές τις υπογραφές, οι αριθμοί στον κώδικα είναι διατεταγμένοι σε μια συγκεκριμένη μορφή. Υπάρχουν όμως και κάποια σημάδια στον υπολογιστή σας που μπορεί να υποδηλώνουν πιθανή μόλυνση με rootkit.

  • Ασυνήθιστη συμπεριφορά του υπολογιστή σας: Τα Rootkits χαρακτηρίζονται από τη διακριτικότητα τους. Ωστόσο, μπορεί να συμβεί ότι ο υπολογιστής σας συμπεριφέρεται διαφορετικά από το συνηθισμένο, π.χ. ανοίγοντας ακούσια προγράμματα ή ξεκινώντας διαδικασίες που δεν ξεκινήσατε.
  • Οι ρυθμίσεις του συστήματός σας αλλάζουν χωρίς καμία ενέργεια από την πλευρά σας: Εάν διαπιστώσετε, για παράδειγμα, ότι ο υπολογιστής σας επιτρέπει γενικά απομακρυσμένη πρόσβαση ή ανοίγει θύρες, μπορεί να είναι η αιτία ένα rootkit.
  • Ανάλυση της χωματερή μνήμης: Όταν ένας υπολογιστής καταρρεύσει, τα Windows δημιουργούν μια εικόνα μνήμης συστήματος. Οι ειδικοί μπορούν να χρησιμοποιήσουν αυτό το αρχείο για να εντοπίσουν ασυνήθιστα μοτίβα που δημιουργεί ένα rootkit.
  • Η σύνδεσή σας στο διαδίκτυο είναι πάντα ασταθής: Τα Rootkits μπορούν, για παράδειγμα, να εξασφαλίσουν μεγάλες ροές δεδομένων μέσω των οποίων οι χάκερ μπορούν να έχουν πρόσβαση σε δεδομένα. Αυτές οι κινήσεις δεδομένων μπορούν να κάνουν τη γραμμή διαδικτύου σας πολύ αργή ή ακόμη και να προκαλέσουν βλάβη.

Πώς μπορώ να προστατευτώ από ένα rootkit;

Η πιο σημαντική προστασία από τα rootkits είναι η χρήση ενός ενημερωμένου προγράμματος προστασίας από ιούς. Εξοπλισμένη με τους τελευταίους ορισμούς ιών, η προστασία σε πραγματικό χρόνο μπορεί να σας προειδοποιήσει για επικίνδυνες λήψεις και εγκαταστάσεις και να χρησιμοποιήσει σαρωτή ιών για τον τακτικό έλεγχο του υπολογιστή σας για rootkits.

Επιπλέον, συνιστώνται τα ακόλουθα μέτρα:

  • Χρησιμοποιήστε μόνο έναν λογαριασμό χρήστη στην καθημερινή ζωή και όχι πρόσβαση διαχειριστή: Εάν συνδεθείτε σε Windows ή iOS με λογαριασμό επισκέπτη, έχετε μόνο περιορισμένα δικαιώματα. Εάν μολύνετε τον υπολογιστή σας με rootkit κατά τη διάρκεια αυτής της περιόδου, το σταγονόμετρο μπορεί να έχει πρόσβαση μόνο σε αυτό το επίπεδο χρήστη και π.χ. να μην έχει άμεση πρόσβαση στον πυρήνα.
  • Ενημερώνετε τακτικά το λειτουργικό σας σύστημα και το λογισμικό σας: Οι κατασκευαστές κλείνουν γνωστά κενά ασφαλείας με τακτικές ενημερώσεις. Επομένως, είναι επιτακτική ανάγκη να πραγματοποιήσετε όλες τις απαραίτητες ενημερώσεις.
  • Λήψη αρχείων από το Διαδίκτυο μόνο από αξιόπιστους ιστότοπους: Αποφύγετε δυνητικά επικίνδυνες λήψεις, ελαχιστοποιήστε τον κίνδυνο να γίνετε θύμα rootkit.
  • Ανοίξτε μόνο συνημμένα e-mail από αποστολείς που εμπιστεύεστε: Εάν λαμβάνετε e-mail από αποστολείς με κρυπτικές διευθύνσεις e-mail, είναι καλύτερο να τα διαγράψετε. Εάν ένα συνημμένο e-mail από μια γνωστή διεύθυνση σας ακούγεται περίεργο, είναι προτιμότερο να επικοινωνήσετε ξανά με τον αποστολέα πριν ανοίξετε το συνημμένο e-mail.
  • Εγκαταστήστε εφαρμογές smartphone μόνο από τα επίσημα καταστήματα εφαρμογών: Εάν λαμβάνετε εφαρμογές από επίσημες πηγές, αυτές περνούν ήδη από έλεγχο ασφαλείας. Αυτό θα μειώσει τον κίνδυνο φόρτωσης ενός rootkit στο smartphone σας.

Κατάργηση rootkit - πώς να προχωρήσετε

Θα πρέπει πάντα να αφαιρείτε τα rootkits με ειδικό λογισμικό προστασίας από ιούς. Δεδομένου ότι αυτό το κακόβουλο λογισμικό μπορεί να παραμείνει βαθιά μέσα στο λειτουργικό σύστημα του υπολογιστή σας, η χειροκίνητη αφαίρεση είναι συνήθως πολύ δύσκολη. Εάν ξεχάσετε μικρά υπολείμματα του rootkit όταν το διαγράψετε, συνήθως θα επανεγκατασταθεί όταν κάνετε επανεκκίνηση.

Ο καλύτερος τρόπος για να αφαιρέσετε τα rootkits είναι να χρησιμοποιήσετε ένα ενημερωμένο πρόγραμμα προστασίας από ιούς που έχει τους πιο ενημερωμένους ορισμούς ιών. Στη συνέχεια, συνιστάται η σάρωση ιών σε ασφαλή λειτουργία, έτσι ώστε το rootkit να μην μπορεί, για παράδειγμα, να φορτώσει ξανά δεδομένα από το Διαδίκτυο. Συχνά είναι απαραίτητο να εκτελέσετε πολλές φορές τον ιό ή το κακόβουλο λογισμικό για να εξαλείψετε πλήρως ένα rootkit.

Αυτό το άρθρο θα σας παρέχει λεπτομερείς οδηγίες σχετικά με τον τρόπο εύρεσης και διαγραφής rootkits.

Γνωστά rootkits

Τα Rootkits είναι πολύ παλιές απειλές στο Διαδίκτυο. Ένα από τα πρώτα γνωστά rootkits είναι το κακόβουλο λογισμικό που επιτέθηκε κυρίως στα λειτουργικά συστήματα Unix το 1990. Το πρώτο γνωστό rootkit για υπολογιστές Windows ήταν το rootkit NTR, το οποίο κυκλοφόρησε το 1999. Αυτό είναι ένα rootkit πυρήνα.

Μεταξύ 2003 και 2005 υπήρξαν διάφορες μεγάλες επιθέσεις με rootkits, συμπεριλαμβανομένης μιας επίθεσης σε κινητά τηλέφωνα που ενεργοποιήθηκαν στο δίκτυο της Vodafone Ελλάδας. Αυτό το rootkit έγινε γνωστό ως "Greek Watergate" επειδή, μεταξύ άλλων, επηρεάστηκε ο Έλληνας πρωθυπουργός.

Το 2008 το κιτ εκκίνησης TDL-1 μαινόταν. Οι εγκληματίες στον κυβερνοχώρο το χρησιμοποίησαν για να δημιουργήσουν ένα μεγάλο botnet με τη βοήθεια ενός δούρειου αλόγου.

Ένα rootkit ανακαλύφθηκε για πρώτη φορά το 2009 που μολύνει επίσης τα λειτουργικά συστήματα της Apple. Βαφτίστηκε «Μακιαβέλι».

Το 2010 το σκουλήκι Stuxnet μαινόταν. Μεταξύ άλλων, χρησιμοποίησε ένα rootkit που υποτίθεται ότι κατασκοπεύει το ιρανικό πυρηνικό πρόγραμμα. Οι μυστικές ισραηλινές και αμερικανοαμερικανικές υπηρεσίες υποπτεύονται ότι είναι προγραμματιστές και επιτιθέμενοι.

Με το LoJax, ένα rootkit ανακαλύφθηκε το 2022-2023 που μολύνει το υλικολογισμικό στη μητρική πλακέτα ενός υπολογιστή για πρώτη φορά. Αυτό επιτρέπει στο κακόβουλο λογισμικό να επανενεργοποιηθεί όταν επανεγκατασταθεί το λειτουργικό σύστημα.

Συμπέρασμα: Δύσκολο να εντοπιστεί, αλλά με ενημερωμένο λογισμικό προστασίας από ιούς και προσοχή, ο κίνδυνος μπορεί να μειωθεί

Δεδομένου ότι τα rootkits είναι βαθιά ενσωματωμένα στο λειτουργικό σύστημα ενός υπολογιστή, η πρόληψη είναι ιδιαίτερα σημαντική. Μόλις εγκατασταθεί ένα rootkit, είναι δύσκολο για τους ανθρώπους να εντοπίσουν μια μόλυνση. Ωστόσο, όποιος είναι προσεκτικός στο Διαδίκτυο με ένα ενημερωμένο σύστημα προστασίας από ιούς και τα κατάλληλα εργαλεία και που δεν ανοίγει άγνωστα αρχεία μειώνει απρόσεκτα την πιθανότητα να πέσει θύμα rootkit.