Rapporto sulle minacce del Microsoft Malware Protection Center sui rootkit

Microsoft Malware Protection Center ha reso disponibile per il download il report sulle minacce sui rootkit. Il rapporto esamina uno dei tipi più insidiosi di malware che minacciano le organizzazioni e gli individui oggi: il rootkit. Il report esamina come gli hacker utilizzano i rootkit e come funzionano i rootkit sui computer interessati. Ecco una sintesi del report, a partire da cosa sono i Rootkit - per i principianti.

Rootkit è un insieme di strumenti che un utente malintenzionato o un creatore di malware utilizza per ottenere il controllo su qualsiasi sistema esposto / non protetto che altrimenti è normalmente riservato per un amministratore di sistema. Negli ultimi anni il termine `ROOTKIT` o `ROOTKIT FUNCTIONALITY` è stato sostituito da MALWARE - un programma progettato per avere effetti indesiderati sul computer sano. La funzione principale del malware è quella di estrarre segretamente dati preziosi e altre risorse dal computer di un utente e fornirlo all`utente malintenzionato, ottenendo così il controllo completo sul computer compromesso. Inoltre, sono difficili da individuare e rimuovere e possono rimanere nascosti per periodi prolungati, forse anni, se passati inosservati.

Quindi, naturalmente, i sintomi di un computer compromesso devono essere mascherati e presi in considerazione prima che l`esito si riveli fatale. In particolare, dovrebbero essere prese misure di sicurezza più severe per scoprire l`attacco. Ma, come detto, una volta installati questi rootkit / malware, le sue capacità stealth rendono difficile rimuoverlo e i suoi componenti che potrebbero essere scaricati. Per questo motivo, Microsoft ha creato un report su ROOTKITS.

Rapporto sulle minacce di Microsoft Malware Protection Center sui rootkit

Il report di 16 pagine descrive come un utente malintenzionato utilizza i rootkit e come questi rootkit funzionano sui computer interessati.

La suola Lo scopo del report è identificare ed esaminare attentamente il potente malware che minaccia molte organizzazioni, in particolare gli utenti di computer. Indica anche alcune delle principali famiglie di malware e mette in luce il metodo che gli aggressori usano per installare questi rootkit per i propri scopi egoistici su sistemi sani. Nella parte restante del rapporto, troverai esperti che formulano alcune raccomandazioni per aiutare gli utenti a mitigare la minaccia dai rootkit.

Tipi di rootkit

Ci sono molti posti in cui un malware può installarsi in un sistema operativo. Quindi, principalmente il tipo di rootkit è determinato dalla sua posizione in cui esegue la sua sovversione del percorso di esecuzione. Questo include:

1. Modalità utente Rootkit
2. Kernel Mode Rootkit
3. MBR Rootkit / bootkit

Il possibile effetto di un compromesso rootkit in modalità kernel viene illustrato tramite una schermata di seguito.

Il terzo tipo, modificare il Master Boot Record per ottenere il controllo del sistema e avviare il processo di caricamento del primo punto possibile nella sequenza di avvio3. Nasconde i file, le modifiche al registro, le prove delle connessioni di rete e altri possibili indicatori che possono indicare la sua presenza.

Famiglie di malware notabili che utilizzano la funzionalità Rootkit

Win32 / Sinowal 13 - Una famiglia multicomponente di malware che cerca di rubare dati sensibili come nomi utente e password per sistemi diversi. Questo include il tentativo di rubare i dettagli di autenticazione per una varietà di account FTP, HTTP ed e-mail, nonché le credenziali utilizzate per il banking online e altre transazioni finanziarie.

Win32 / Cutwail 15 - Un Trojan che scarica ed esegue arbitrariamente File. I file scaricati possono essere eseguiti da disco o iniettati direttamente in altri processi. Mentre la funzionalità dei file scaricati è variabile, Cutwail di solito scarica altri componenti che inviano spam.

Utilizza un rootkit in modalità kernel e installa diversi driver di dispositivo per nascondere i suoi componenti agli utenti interessati.

Win32 / Rustock - Una famiglia multicomponente di Trojan backdoor abilitati per rootkit inizialmente sviluppati per aiutare nella distribuzione di email "spam" attraverso una botnet. Una botnet è una grande rete di computer compromessi controllata dagli aggressori.

Protezione dai rootkit

Impedire l`installazione di rootkit è il metodo più efficace per evitare l`infezione da rootkit. Per questo, è necessario investire in tecnologie protettive come i prodotti antivirus e firewall. Tali prodotti dovrebbero adottare un approccio completo alla protezione utilizzando il rilevamento basato su firma tradizionale, il rilevamento euristico, la capacità di firma dinamica e reattiva e il monitoraggio del comportamento.

Tutti questi insiemi di firme dovrebbero essere mantenuti aggiornati utilizzando un meccanismo di aggiornamento automatico. Le soluzioni antivirus Microsoft includono una serie di tecnologie progettate specificamente per mitigare i rootkit, compreso il monitoraggio del comportamento del kernel in tempo reale che rileva e segnala i tentativi di modifica del kernel di un sistema interessato e l`analisi diretta del file system che facilita l`identificazione e la rimozione dei driver nascosti.

Se un sistema viene trovato compromesso, può rivelarsi utile uno strumento aggiuntivo che consente di eseguire l`avvio in un ambiente noto o attendibile in quanto potrebbe suggerire alcune misure di riparazione appropriate.

In tali circostanze,

1. Lo strumento Autostradale autonomo (parte del Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline può essere utile.

Per ulteriori informazioni, è possibile scaricare il report PDF dall`Area download Microsoft.