Tuvastage rootkit ja kaitske end selle eest
Suur osa kurjategijate kasutatavast pahavarast üle maailma jäävad nende ohvrite poolt avastamata. Selle põhjuseks on ka pahavara, näiteks rootkit. Näitame teile hõlpsasti mõistetaval viisil, mis on juurkomplekt, millised tüübid on olemas ja kuidas saate oma arvutit nende eest õigete tööriistadega kaitsta.
Mis on rootkit?
Rootkit on pahavara, mis on operatsioonisüsteemi väga sügavale peidetud. Programmeerimise tõttu saab juurkomplekte tavaliselt tuvastada ja eemaldada ainult sobiva viirusetõrjetarkvaraga.
Juurkomplektide keskne ülesanne on võimaldada kolmandatele isikutele juurdepääsu võõrale arvutile. Saate seda kaugjuhtida, manipuleerida või andmeid varastada. Rootkiti rünnakuid kasutatakse ka näiteks tarkvara installimiseks, millega ründajad saavad robotivõrku kaugjuhtida.
Rootkit koosneb tavaliselt pahavara komplektist. Rootkit võib sisaldada klahvilogijaid, roboteid või lunavara.
Info: Kust pärineb nimi "rootkit"?
Mõiste “rootkit” koosneb sõnadest “root” (saksa keeles = juur = failisüsteemi kõrgeim kataloog; kõigi administraatori õigustega kasutaja) ja “komplekt” (saksa keeles = komplekt). Rootkit on täiesti neutraalne tarkvararakenduste kogum, mis saab kasutada administraatori õigusi. Kuid kui neid õigusi kasutatakse pahavara uuesti laadimiseks, muutub juurkomplekt ise pahavaraks.
Rootkit: Neid tüüpe on
Juurkomplektid klassifitseeritakse tavaliselt selle põhjal, millisel sügavusel nad asjaomase arvuti failisüsteemis toimivad.
Kasutajarežiimi juurkomplektid |
Need juurkomplektid mõjutavad peamiselt teie arvuti administraatori kontot. Pahavara omab kõiki administraatori juurdepääsu eeliseid failidele või programmidele ja võib näiteks muuta turvaseadeid. Nende juurkomplektide keeruline asi: need käivitatakse automaatselt iga kord, kui arvuti taaskäivitatakse. |
Kerneli mudeli juurkomplektid |
Need juurkomplektid töötavad otse operatsioonisüsteemi tasemel ja seega on neil võimalus manipuleerida kõigi operatsioonisüsteemi piirkondadega. Isegi viirusskanneri skannimine võib tuumarežiimi algatajaga nakatumisel anda valesid tulemusi. Siiski peavad tuuma juurkomplektid ületama väga palju takistusi, enne kui nad saavad kernelisse kinni jääda. Neid märgatakse tavaliselt varem, näiteks seetõttu, et arvuti jookseb pidevalt kokku. |
Püsivara juurkomplektid |
Need juurkomplektid võivad implanteerida arvutisüsteemide püsivara. Kui need on kustutatud, installitakse need iga kord taaskäivitamisel automaatselt uuesti. See muudab püsivara juurkomplektid eriti püsivaks ja raskendab nende eemaldamist. |
Saabaste komplektid |
Need juurkomplektid jäävad alglaadimissektorisse kinni. Arvuti käivitamisel kasutab süsteem alglaadimiskirjet. Sealt leiate ka alglaadimiskomplekti, mis laaditakse iga kord käivitamisel. Uuemate Windowsi operatsioonisüsteemide (nt 8 või 10.) kasutajatel on oluline kaitse. Nendel versioonidel on juba turvasüsteemid, mis takistavad alglaadimiskomplektide käivitamist arvuti sisselülitamisel. |
Virtuaalsed juurkomplektid |
Need juurkomplektid installivad end virtuaalmasinasse ja saavad juurdepääsu nakatunud arvutile väljaspool tegelikku operatsioonisüsteemi. See muudab need viirusetõrjetarkvara jaoks raskesti tuvastatavaks. |
Hübriidsed juurkomplektid | Need juurkomplektid lõhestavad tarkvara ja installivad selle osad kernelisse ja muud osad kasutaja tasandil. Need juurkomplektid on kurjategijatele kasulikud, kuna need töötavad kasutaja tasandil väga stabiilselt ja toimivad samal ajal kernelis, st varjatult. |
Nende salakavalate ohtude eest kaitsmiseks peavad muu hulgas viirusekanneritel olema ajakohased viiruse määratlused.
Kuidas rootkit arvutisse jõuab?
Juurikomplektid vajavad alati "sõidukit", millega nad saaksid end arvutisse siirdada. Seetõttu koosneb juurkomplekt reeglina alati kolmest komponendist - juurkomplekt ise, tilguti ja laadur. Tilguti on võrreldav arvutiviirusega, mis nakatab teie arvutit. Kuna tilguti otsib turvaauku, et rootkit soovitud seadmesse salvestada. Seejärel kasutatakse laadurit. See installib juurkomplekti nakatunud arvutisse, nt kernelisse või kasutaja tasemel, kui see on kasutajarežiimi juurkomplekt.
Juurikomplektid kasutavad kukutamiseks järgmist kandjat:
Messenger |
Näiteks kui saate sõnumitooja kaudu pahatahtliku lingi või faili ja avate lingi või faili, võib tilguti teie seadmesse juurkomplekti paigutada. |
Häkkinud tarkvara ja rakendused: |
Häkkerid võivad juurkomplektid "salakaubana" usaldusväärsesse tarkvarasse või rakendustesse sisestada. Faile levitatakse Internetis näiteks tasuta pakkumistena. Niipea kui need programmid installite, laadite oma arvutisse ka juurkomplekti. |
PDF- või Office -failid: | Juurkomplektid võivad peituda Office'i failides või PDF -failides, olenemata sellest, kas need on manused või allalaaditavad. Niipea kui avate faili, lisab tilguti faili teie arvutisse ja laadija alustab installimist taustal. |
Kuidas ära tunda oma arvutis rootkit (rootkit skanner)?
Juurkomplektide usaldusväärseks tuvastamiseks ja seejärel eemaldamiseks on vaja juurkomplekti skannerit, mis sisaldub võimsate viirusetõrjeprogrammide viiruskontrollis. Näiteks võivad need skannimised ära tunda tavalisi juurkomplekti allkirju. Nende allkirjade korral on koodis olevad numbrid paigutatud teatud vormi. Kuid teie arvutis on ka märke, mis võivad viidata võimalikule juurkomplekti nakatumisele.
- Arvuti ebatavaline käitumine: Juurikomplekte iseloomustab nende silmapaistmatus. Siiski võib juhtuda, et teie arvuti käitub tavapärasest erinevalt, nt avab kogemata programme või käivitab protsesse, mida te ei käivitanud.
- Teie süsteemiseaded muutuvad ilma teiepoolsete toiminguteta: Kui leiate näiteks, et teie arvuti lubab üldiselt kaugjuurdepääsu või avab pordid, võib põhjuseks olla juurkomplekt.
- Mälukaardi analüüs: Kui arvuti jookseb kokku, loob Windows süsteemimälu pildi. Eksperdid saavad seda faili kasutada juurkomplekti loodud ebatavaliste mustrite tuvastamiseks.
- Teie Interneti -ühendus on alati ebastabiilne: Juurkomplektid võivad näiteks tagada suured andmevoogud, mille kaudu häkkerid saavad andmetele juurde pääseda. Need andmeliigutused võivad muuta teie Interneti -liini väga aeglaseks või isegi põhjustada selle krahhi.
Kuidas end rootkit'i eest kaitsta?
Kõige olulisem kaitse rootkitide eest on ajakohase viirusetõrjeprogrammi kasutamine. Viimaste viirusemääratlustega varustatud reaalajakaitse võib hoiatada ohtlike allalaadimiste ja installimiste eest ning kasutada viirusekannerit, et regulaarselt oma arvutit juurkomplektide osas kontrollida.
Lisaks soovitatakse järgmisi meetmeid:
- Kasutage igapäevaelus ainult ühte kasutajakontot ja mitte administraatori juurdepääsu: Kui logite Windowsi või iOS -i sisse külaliskontoga, on teil ainult piiratud õigused. Kui nakatate oma arvuti selle aja jooksul juurkomplektiga, pääseb tilguti juurde ainult sellele kasutajatasandile ja nt mitte otse kernelile.
- Värskendage oma operatsioonisüsteemi ja tarkvara regulaarselt: Tootjad sulgevad teadaolevad turvaaugud regulaarsete värskendustega. Seetõttu on hädavajalik teha kõik vajalikud värskendused.
- Laadige failid Internetist alla ainult usaldusväärsetelt veebisaitidelt: Vältige potentsiaalselt ohtlikke allalaadimisi, minimeerige juurkomplekti ohvriks langemise oht.
- Avage ainult usaldusväärsete saatjate e-posti manused: kui saate e-kirju saatjatelt, kelle e-posti aadressid on salajased, on parem need kustutada. Kui e-kirja manus tuttavalt aadressilt tundub teile kummaline, on parem enne e-kirja manuse avamist saatjaga uuesti ühendust võtta.
- Installige nutitelefonirakendused ainult ametlikest rakendustepoodidest: Kui saate rakendusi ametlikest allikatest, läbivad need juba turvakontrolli. See vähendab juurkomplekti nutitelefoni laadimise ohtu.
Eemaldage rootkit - kuidas edasi minna
Juurikomplektid tuleks alati eemaldada spetsiaalse viirusetõrjetarkvaraga. Kuna see pahavara võib tungida sügavale teie arvuti operatsioonisüsteemi, on käsitsi eemaldamine tavaliselt väga keeruline. Kui unustate juurkomplekti kustutamisel väikesed jäänused, installib see selle taaskäivitamisel tavaliselt uuesti.
Parim viis rootkitide eemaldamiseks on ajakohase viirusetõrjeprogrammi kasutamine, millel on kõige ajakohasemad viiruse määratlused. Seejärel soovitatakse turvarežiimis viirust skannida, et rootkit ei saaks näiteks andmeid Internetist uuesti laadida. Sageli tuleb juurkomplekti täielikuks kõrvaldamiseks viirust või pahavara skannida mitu korda.
See artikkel annab teile üksikasjalikud juhised juurkomplektide leidmiseks ja kustutamiseks.
Tuntud juurkomplektid
Juurkomplektid on väga vanad Interneti -ohud. Üks esimesi teadaolevaid juurkomplekte on pahavara, mis ründas peamiselt Unixi operatsioonisüsteeme 1990. Esimene teadaolev juurkomplekt Windowsi arvutite jaoks oli NTR juurkomplekt, mis oli käibel 1999. aastal. See on kerneli juurkomplekt.
Aastatel 2003–2005 toimus rootkitidega mitmeid suuri rünnakuid, sealhulgas rünnak mobiiltelefonidele, mis aktiveeriti Vodafone Greece võrgus. See juurkomplekt sai tuntuks kui "Kreeka Watergate", sest muuhulgas mõjutas see Kreeka peaministrit.
2008. aastal möllas TDL-1 saapakomplekt. Küberkurjategijad ehitasid selle abil Trooja hobuse abil suure robotivõrgu.
Esmakordselt avastati 2009. aastal juurkomplekt, mis nakatab ka Apple'i operatsioonisüsteeme. See ristiti "Machiavelliks".
2010. aastal möllas Stuxneti uss. Muuhulgas kasutas ta juurkomplekti, mis pidi luurama Iraani tuumaprogrammi. Iisraeli ja USA-Ameerika salateenistusi kahtlustatakse arendajate ja ründajatena.
LoJaxiga avastati aastatel 2022-2023 juurkomplekt, mis nakatab esmakordselt arvuti emaplaadi püsivara. See võimaldab pahavaral end operatsioonisüsteemi uuesti installimisel uuesti aktiveerida.
Järeldus: raske tuvastada, kuid ajakohase viirusetõrjetarkvara ja ettevaatusega saab riski vähendada
Kuna juurkomplektid on sügavalt sisse lülitatud arvuti operatsioonisüsteemi, on ennetamine eriti oluline. Kui juurkomplekt on installitud, on ilmikutel raske nakkust avastada. Kuid igaüks, kes on Internetis ettevaatlik, kasutades kaasaegset viirusetõrjesüsteemi ja sobivaid tööriistu ning kes ei ava hooletult tundmatuid faile, vähendab tõenäosust, et langeb rootkit'i ohvriks.