Home-theater-designers
Groźba zarażenia wirusem jest bardzo realna. Wszechobecność niewidzialnych sił, które atakują nasze komputery, kradną naszą tożsamość i napadają na nasze konta bankowe, jest stała, ale mamy nadzieję, że dzięki odpowiednia ilość rzeczy technicznych i odrobina szczęścia, wszystko będzie dobrze.
kupujesz dysk twardy przez internet
Jednak tak zaawansowane, jak oprogramowanie antywirusowe i inne oprogramowanie zabezpieczające, potencjalni napastnicy nadal znajdują nowe, diabelskie wektory, które mogą zakłócać działanie systemu. Jednym z nich jest bootkit. Chociaż nie jest to całkowicie nowe na scenie złośliwego oprogramowania, nastąpił ogólny wzrost ich wykorzystania i wyraźna intensyfikacja ich możliwości.
Przyjrzyjmy się, czym jest bootkit, przyjrzyjmy się wariantowi bootkita, Nemesis i zastanów się, co możesz zrobić, aby zachować jasność .
Co to jest bootkit?
Aby zrozumieć, czym jest bootkit, najpierw wyjaśnimy, skąd pochodzi terminologia. Bootkit to wariant rootkita, rodzaj złośliwego oprogramowania, które może ukrywać się przed systemem operacyjnym i oprogramowaniem antywirusowym. Rootkity są niezwykle trudne do wykrycia i usunięcia. Za każdym razem, gdy uruchamiasz system, rootkit zapewni atakującemu ciągły dostęp do systemu na poziomie roota.
Rootkit można zainstalować z wielu powodów. Czasami rootkit zostanie wykorzystany do zainstalowania większej ilości złośliwego oprogramowania, czasami do stworzenia komputera „zombie” w botnecie, może zostać użyty do kradzieży kluczy szyfrowania i haseł lub kombinacji tych i innych wektorów ataku.
Rootkity poziomu programu ładującego (bootkit) zastępują lub modyfikują legalny program ładujący za pomocą jednego z projektów atakujących, wpływając na główny rekord rozruchowy, rekord rozruchowy woluminu lub inne sektory rozruchowe. Oznacza to, że infekcja może zostać załadowana przed systemem operacyjnym, a tym samym może podważyć wszelkie wykryte i zniszczone programy.
Ich wykorzystanie rośnie, a eksperci ds. bezpieczeństwa zauważyli szereg ataków skoncentrowanych na usługach pieniężnych, z których „Nemesis” jest jednym z ostatnio obserwowanych ekosystemów złośliwego oprogramowania.
Nemezis bezpieczeństwa?
Nie, nie Star Trek film, ale szczególnie paskudny wariant bootkita. Ekosystem złośliwego oprogramowania Nemesis oferuje szeroki wachlarz możliwości ataku, w tym przesyłanie plików, przechwytywanie ekranu, rejestrowanie naciśnięć klawiszy, wstrzykiwanie procesów, manipulowanie procesami i planowanie zadań. FireEye, firma zajmująca się cyberbezpieczeństwem, która jako pierwsza zauważyła Nemesis, wskazała również, że szkodliwe oprogramowanie zawiera kompleksowy system obsługi tylnych drzwi dla szeregu protokołów sieciowych i kanałów komunikacji, co po zainstalowaniu pozwala na większą kontrolę i kontrolę.
W systemie Windows główny rekord rozruchowy (MBR) przechowuje informacje dotyczące dysku, takie jak liczba i układ partycji. MBR ma kluczowe znaczenie dla procesu rozruchu i zawiera kod lokalizujący aktywną partycję podstawową. Po jego znalezieniu kontrola jest przekazywana do rekordu rozruchowego woluminu (VBR), który znajduje się w pierwszym sektorze pojedynczej partycji.
Bootkit Nemesis przejmuje kontrolę nad tym procesem. Szkodnik tworzy niestandardowy wirtualny system plików do przechowywania komponentów Nemesis w nieprzydzielonej przestrzeni między partycjami, przejmując oryginalny VBR poprzez nadpisanie oryginalnego kodu własnym, w systemie o nazwie „BOOTRASH”.
„Przed instalacją instalator BOOTRASH gromadzi statystyki dotyczące systemu, w tym wersję i architekturę systemu operacyjnego. Instalator może wdrożyć 32-bitowe lub 64-bitowe wersje komponentów Nemesis, w zależności od architektury procesora systemu. Instalator zainstaluje bootkit na dowolnym dysku twardym z partycją rozruchową MBR, niezależnie od konkretnego typu dysku twardego. Jeśli jednak partycja korzysta z architektury dysku z tabelą partycji GUID, w przeciwieństwie do schematu partycjonowania MBR, złośliwe oprogramowanie nie będzie kontynuowało procesu instalacji.'
Następnie za każdym razem, gdy partycja jest wywoływana, złośliwy kod wstrzykuje do systemu Windows oczekiwane komponenty Nemesis. W rezultacie , „lokalizacja instalacji złośliwego oprogramowania oznacza również, że będzie się utrzymywać nawet po ponownej instalacji systemu operacyjnego, powszechnie uważanego za najskuteczniejszy sposób na wyeliminowanie złośliwego oprogramowania”, co prowadzi do trudnej walki o czysty system.
Co zabawne, ekosystem złośliwego oprogramowania Nemesis zawiera własną funkcję dezinstalacji. Spowoduje to przywrócenie oryginalnego sektora rozruchowego i usunięcie złośliwego oprogramowania z systemu — ale dzieje się tak tylko w przypadku, gdy atakujący muszą usunąć złośliwe oprogramowanie z własnej inicjatywy.
Bezpieczny rozruch UEFI
Bootkit Nemesis w dużej mierze wpłynął na organizacje finansowe w celu gromadzenia danych i wyprowadzania funduszy. Ich użycie nie dziwi starszego inżyniera ds. marketingu firmy Intel, Brian Richardson , który notatki „Bootkity i rootkity MBR są wektorem ataku wirusów od czasów „Włóż dysk do A: i naciśnij ENTER, aby kontynuować”. Następnie wyjaśnił, że chociaż Nemesis jest niewątpliwie bardzo niebezpiecznym złośliwym oprogramowaniem, może nie wpływać tak łatwo na system domowy.
jakiego rodzaju rośliny jest to zdjęcie
Systemy Windows utworzone w ciągu ostatnich kilku lat prawdopodobnie zostały sformatowane przy użyciu tabeli partycji GUID, z podstawowym oprogramowaniem układowym opartym na UEFI . Część szkodliwego oprogramowania do tworzenia wirtualnego systemu plików BOOTRASH opiera się na starszym przerwaniu dysku, które nie będzie istniało w systemach uruchamianych z UEFI, podczas gdy kontrola sygnatury bezpiecznego rozruchu UEFI blokowałaby bootkit podczas procesu uruchamiania.
Tak więc nowsze systemy z preinstalowanym systemem Windows 8 lub Windows 10 mogą być przynajmniej na razie uwolnione od tego zagrożenia. Jednak ilustruje poważny problem polegający na tym, że duże firmy nie aktualizują swojego sprzętu IT. Te firmy nadal używają Windows 7 i w wielu miejscach nadal korzystając z systemu Windows XP, narażają siebie i swoich klientów na poważne zagrożenie finansowe i związane z danymi.
Trucizna, lekarstwo
Rootkity to podstępni operatorzy. Mistrzowie zaciemniania, mają za zadanie jak najdłużej kontrolować system, zbierając w tym czasie jak najwięcej informacji. Firmy antywirusowe i antymalware zwróciły uwagę na szereg rootkitów aplikacje do usuwania są teraz dostępne dla użytkowników :
- Malwarebytes Anti-Rootkit Beta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER – zaawansowana aplikacja wymagająca ręcznego usunięcia
Nawet jeśli istnieje szansa na pomyślne usunięcie, wielu ekspertów ds. bezpieczeństwa zgadza się, że jedynym sposobem, aby mieć 99% pewności, że system jest czysty, jest pełny format dysku - więc upewnij się, że masz kopię zapasową systemu!
Czy doświadczyłeś rootkita, a nawet bootkita? Jak oczyściłeś swój system? Daj nam znać poniżej!
Udział Udział Ćwierkać E-mail 3 sposoby sprawdzenia, czy wiadomość e-mail jest prawdziwa czy fałszywaJeśli otrzymałeś wiadomość e-mail, która wygląda nieco podejrzanie, zawsze najlepiej sprawdzić jej autentyczność. Oto trzy sposoby sprawdzenia, czy wiadomość e-mail jest prawdziwa.
Czytaj dalej Powiązane tematy- Bezpieczeństwo
- Partycja dysku
- Hakerstwo
- Bezpieczeństwo komputera
- Złośliwe oprogramowanie
Gavin jest młodszym redaktorem ds. Windows i technologii, stałym współpracownikiem podcastu Really Useful i regularnym recenzentem produktów. Posiada tytuł licencjata (z wyróżnieniem) współczesnego pisania z praktykami sztuki cyfrowej splądrowanej ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie zawodowe w pisaniu. Lubi obfite ilości herbaty, gry planszowe i piłkę nożną.
Więcej od Gavina PhillipsaZapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować