Wat is rootkit? Hoe werken rootkits? Rootkits uitgelegd.

Hoewel het mogelijk is om malware te verbergen op een manier die zelfs de traditionele antivirus-/antispywareproducten voor de gek houdt, gebruiken de meeste malwareprogramma's al rootkits om zich diep op uw Windows -pc te verbergen … en ze worden gevaarlijker! De DL3- rootkit is een van de meest geavanceerde rootkits die ooit in het wild is gezien. De rootkit was stabiel en kon 32-bits Windows -besturingssystemen infecteren; hoewel beheerdersrechten nodig waren om de infectie in het systeem te installeren. Maar TDL3 is nu bijgewerkt en kan nu zelfs 64-bits versies van Windows(even 64-bit versions  Windows) infecteren !

Wat is rootkit?

virus

Een rootkit-virus is een stealth -type malware  dat is ontworpen om het bestaan ​​van bepaalde processen of programma's op uw computer te verbergen voor reguliere detectiemethoden, zodat het of een ander kwaadaardig proces geprivilegieerde toegang tot uw computer krijgt.

Rootkits voor Windows(Rootkits for Windows) worden meestal gebruikt om schadelijke software te verbergen voor bijvoorbeeld een antivirusprogramma. Het wordt gebruikt voor kwaadaardige doeleinden door virussen, wormen, achterdeurtjes en spyware. Een virus in combinatie met een rootkit produceert zogenaamde volledige stealth-virussen. Rootkits komen vaker voor op het gebied van spyware en worden nu ook steeds vaker gebruikt door virusauteurs.

Ze zijn nu een opkomend type Super Spyware dat zich effectief verbergt en rechtstreeks invloed heeft op de kernel van het besturingssysteem. Ze worden gebruikt om de aanwezigheid van kwaadaardige objecten zoals trojans of keyloggers op uw computer te verbergen. Als een bedreiging rootkit-technologie gebruikt om te verbergen, is het erg moeilijk om de malware op uw pc te vinden.

Rootkits zijn op zich niet gevaarlijk. Hun enige doel is om software en de sporen die in het besturingssysteem zijn achtergelaten, te verbergen. Of dit nu normale software of malwareprogramma's zijn.

Er zijn in principe drie verschillende soorten rootkits(Rootkit) . Het eerste type, de " Kernel Rootkits " voegen gewoonlijk hun eigen code toe aan delen van de kern van het besturingssysteem, terwijl het tweede type, de " User-mode Rootkits " speciaal gericht zijn op Windows om normaal op te starten tijdens het opstarten van het systeem, of geïnjecteerd in het systeem door een zogenaamde "Dropper". Het derde type is MBR Rootkits of Bootkits(MBR Rootkits or Bootkits) .

Als u merkt dat uw antivirus en antispyware niet werken, moet u mogelijk de hulp inroepen van een goed anti-rootkithulpprogramma(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer van Microsoft Sysinternals is een geavanceerd hulpprogramma voor het detecteren van rootkits. De uitvoer geeft een overzicht van API -verschillen in het (API)register(Registry) en het bestandssysteem die kunnen wijzen op de aanwezigheid van een rootkit in de gebruikersmodus of in de kernelmodus.

Microsoft Malware Protection Center-bedreigingsrapport(Microsoft Malware Protection Center Threat Report) over  rootkits

Microsoft Malware Protection Center heeft zijn Threat Report on Rootkits beschikbaar gesteld om te downloaden . Het rapport onderzoekt een van de meer verraderlijke soorten malware die organisaties en individuen tegenwoordig bedreigt: de rootkit. Het rapport onderzoekt hoe aanvallers rootkits gebruiken en hoe rootkits werken op getroffen computers. Hier is een kern van het rapport, te beginnen met wat rootkits zijn - voor de beginner.

Rootkit is een set tools die een aanvaller of een maker van malware gebruikt om controle te krijgen over elk blootgesteld/onbeveiligd systeem dat normaal gesproken is gereserveerd voor een systeembeheerder. In de afgelopen jaren is de term 'ROOTKIT' of 'ROOTKIT FUNCTIONALITY' vervangen door MALWARE – een programma dat is ontworpen om ongewenste effecten te hebben op een gezonde computer. De belangrijkste functie van malware is om in het geheim waardevolle gegevens en andere bronnen van de computer van een gebruiker te halen en deze aan de aanvaller te verstrekken, waardoor hij de volledige controle over de besmette computer krijgt. Bovendien zijn ze moeilijk op te sporen en te verwijderen en kunnen ze voor langere tijd, mogelijk zelfs jaren verborgen blijven als ze onopgemerkt blijven.

Dus natuurlijk moeten de symptomen van een gecompromitteerde computer worden gemaskeerd en in overweging worden genomen voordat de uitkomst fataal is. Er moeten met name strengere beveiligingsmaatregelen worden genomen om de aanval te ontdekken. Maar, zoals gezegd, als deze rootkits/malware eenmaal zijn geïnstalleerd, maken de stealth-mogelijkheden het moeilijk om het te verwijderen en de componenten die het zou kunnen downloaden. Om deze reden heeft Microsoft een rapport over ROOTKITS gemaakt(ROOTKITS) .

Het 16 pagina's tellende rapport schetst hoe een aanvaller rootkits gebruikt en hoe deze rootkits werken op getroffen computers.

Het enige doel van het rapport is het identificeren en nauwkeurig onderzoeken van krachtige malware die veel organisaties bedreigt, met name computergebruikers. Het vermeldt ook enkele van de meest voorkomende malwarefamilies en brengt de methode aan het licht die de aanvallers gebruiken om deze rootkits voor hun eigen egoïstische doeleinden op gezonde systemen te installeren. In de rest van het rapport vindt u experts die enkele aanbevelingen doen om gebruikers te helpen de dreiging van rootkits te verminderen.

Soorten rootkits

Er zijn veel plaatsen waar malware zichzelf in een besturingssysteem kan installeren. Het type rootkit wordt dus meestal bepaald door de locatie waar het zijn subversie van het uitvoeringspad uitvoert. Dit bevat:

  1. Rootkits in gebruikersmodus
  2. Rootkits in kernelmodus
  3. MBR-rootkits/bootkits

Het mogelijke effect van een rootkit-compromis in de kernelmodus wordt geïllustreerd aan de hand van een screenshot hieronder.

Het derde type, wijzig de Master Boot Record om controle over het systeem te krijgen en het proces te starten voor het laden van het vroegst mogelijke punt in de opstartvolgorde3. Het verbergt bestanden, registerwijzigingen, bewijs van netwerkverbindingen en andere mogelijke indicatoren die de aanwezigheid ervan kunnen aangeven.

Opmerkelijke Malware- families die Rootkit- functionaliteit gebruiken

  • Win32/Sinowal 13 – Een familie van malware met meerdere componenten die probeert gevoelige gegevens te stelen, zoals gebruikersnamen en wachtwoorden voor verschillende systemen. Dit omvat pogingen om authenticatiegegevens te stelen voor verschillende FTP- , HTTP- en e-mailaccounts, evenals inloggegevens die worden gebruikt voor online bankieren en andere financiële transacties.
  • Win32/Cutwail 15 – Een trojan die willekeurige bestanden downloadt en uitvoert. De gedownloade bestanden kunnen vanaf schijf worden uitgevoerd of direct in andere processen worden geïnjecteerd. Hoewel de functionaliteit van de gedownloade bestanden variabel is, downloadt Cutwail meestal andere componenten die spam verzenden. Het gebruikt een rootkit in de kernelmodus en installeert verschillende apparaatstuurprogramma's om de componenten te verbergen voor getroffen gebruikers.
  • Win32/Rustock  – Een familie met meerdere componenten van rootkit-enabled backdoor- trojans die oorspronkelijk werden ontwikkeld om te helpen bij de verspreiding van “spam”-e-mail via een botnet . Een botnet is een groot, door een aanvaller bestuurd netwerk van gecompromitteerde computers.

Bescherming tegen rootkits

Het voorkomen van de installatie van rootkits is de meest effectieve methode om infectie door rootkits te voorkomen. Hiervoor is het noodzakelijk om te investeren in beschermende technologieën zoals antivirus- en firewallproducten. Dergelijke producten moeten een alomvattende benadering van bescherming hanteren door gebruik te maken van traditionele op handtekeningen gebaseerde detectie, heuristische detectie, dynamische en responsieve handtekeningmogelijkheden en gedragsbewaking.

Al deze handtekeningsets moeten up-to-date worden gehouden met behulp van een geautomatiseerd updatemechanisme. Antivirusoplossingen van Microsoft(Microsoft) bevatten een aantal technologieën die specifiek zijn ontworpen om rootkits te verminderen, waaronder live-controle van het kernelgedrag die pogingen om de kernel van een getroffen systeem te wijzigen detecteert en rapporteert, en directe parsing van bestandssystemen die de identificatie en verwijdering van verborgen stuurprogramma's vergemakkelijkt.

Als een systeem gecompromitteerd blijkt te zijn, kan een extra tool waarmee u kunt opstarten naar een bekende goede of vertrouwde omgeving nuttig zijn, aangezien het enkele passende herstelmaatregelen kan voorstellen.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Onder dergelijke omstandigheden,

  1. De Standalone System Sweeper -tool (onderdeel van de Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. Windows Defender Offline kan handig zijn.

Voor meer informatie kunt u het PDF- rapport downloaden van het Microsoft Downloadcentrum.(Microsoft Download Center.)



Mohamed van der Velde

About the author

Ik ben een computerprogrammeur en ben dat al meer dan 15 jaar. Mijn vaardigheden liggen in het ontwikkelen en onderhouden van softwareapplicaties en het bieden van technische ondersteuning voor die applicaties. Ik heb ook computerprogrammering gegeven aan middelbare scholieren en ben momenteel een professionele instructeur.


Related posts