ATT&CK® Deep Dive: How to Detect Rootkits
Microsoft Zararlı Yazılımlardan Koruma Merkezi, Kök Kütüğü üzerinde Tehdit Raporu`nu indirmek için hazırlanmıştır. Raporda, kötücül tehdit oluşturan kurum ve bireylerin daha sinsi türlerinden biri olan rootkit. Rapor, saldırganların rootkit`leri nasıl kullandığını ve rootkit`lerin etkilenen bilgisayarlarda nasıl çalıştığını inceler. İşte Rootkit`lerden başlayarak - başlangıç için Rootkits ile başlayan raporun bir özüdür.
Rootkit , bir saldırganın veya kötü amaçlı yazılımın yaratıcısı herhangi bir açık / güvenli olmayan sistem üzerinde kontrol sağlamak için kullandığı araçlardır. normalde sistem yöneticisi için ayrılmıştır. Son yıllarda, “ROOTKIT” veya “ROOTKIT FONKSİYONLUK” kelimelerinin yerine MALWARE (sağlıklı bilgisayar üzerinde istenmeyen etkilere sahip olacak şekilde tasarlanmış bir program) getirilmiştir. Kötü amaçlı yazılımın temel işlevi, bir kullanıcının bilgisayarından gizli verileri ve diğer kaynakları gizli bir şekilde geri çekmek ve saldırganı kendisine sağlamak ve bu sayede güvenliği ihlal edilen bilgisayar üzerinde tam denetim sağlamaktır. Üstelik, fark edilmeden farkedildikleri takdirde, uzun yıllar boyunca, muhtemelen uzun yıllar boyunca saklanmakta ve gizlenebilmektedirler.
Doğal olarak, tehlikeye atılmadan önce tehlikede olan bir bilgisayarın semptomlarının maskelenmesi ve dikkate alınması gerekir. Özellikle, saldırıyı açığa çıkarmak için daha sıkı güvenlik önlemleri alınmalıdır. Ancak, belirtildiği gibi, bu kök setleri / kötü amaçlı yazılımlar yüklendikten sonra, gizli yetenekleri onu ve onu indirebileceği bileşenlerini kaldırmayı zorlaştırır. Bu nedenle, Microsoft, ROOTKITS hakkında bir rapor oluşturmuştur.
Rootkits`taki Microsoft Zararlı Yazılım Koruma Merkezi Tehdit Raporu
16 sayfalık raporda, bir saldırganın rootkit`leri nasıl kullandığı ve bu rootkit`lerin etkilenen bilgisayarlarda nasıl çalıştığı anlatılmaktadır.
Raporun amacı, başta bilgisayar kullanıcıları olmak üzere pek çok kuruluşu tehdit eden güçlü zararlı yazılımları tanımlamak ve yakından incelemektir. Ayrıca, yaygın kötü amaçlı yazılım ailelerinden bazılarına değinir ve saldırganların bu kök setleri kendi bencil amaçları için sağlıklı sistemlere yüklemek için kullandıkları yöntemi ortaya çıkarır. Raporun geri kalanında, kullanıcıların rootkit`lerin tehdidini azaltmasına yardımcı olacak bazı önerilerde bulunacak uzmanlar bulacaksınız.
Rootkits Türleri
Kötü amaçlı yazılımların kendini bir işletim sistemine yükleyebileceği birçok yer vardır. Bu nedenle, çoğunlukla rootkit türü, yürütme yolunun kendi alt sürümlerini gerçekleştirdiği yer tarafından belirlenir. Bu içerir:
- Kullanıcı Modu Kökler
- Çekirdek Modu Kökler
- MBR Kökler / bootkits
Bir çekirdek modu rootkit uzlaşma olası etkisi aşağıdaki ekran görüntüsü ile gösterilmiştir.
Üçüncü tip, Sistemin kontrolünü elde etmek ve önyükleme sırasındaki olası en erken noktayı yükleme işlemine başlamak için Ana Önyükleme Kaydını değiştirin. Dosya, kayıt defteri değişikliklerini, ağ bağlantılarının kanıtlarını ve varlığını gösterebilen diğer olası göstergeleri gizler.
Rootkit işlevselliğini kullanan kötü amaçlı kötü amaçlı yazılım aileleri
Win32 / Sinowal 13 - Çok bileşenli bir aile Farklı sistemler için kullanıcı adları ve şifreler gibi hassas verileri çalmaya çalışan kötü amaçlı yazılım. Bu, çeşitli FTP, HTTP ve e-posta hesaplarının yanı sıra çevrimiçi bankacılık ve diğer finansal işlemler için kullanılan kimlik bilgileri için kimlik doğrulama ayrıntılarını çalmayı denemeyi içerir.
Win32 / Cutwail 15 - Rasgele yüklenen ve çalıştırılan bir Truva atı Dosyalar. İndirilen dosyalar diskten yürütülebilir veya doğrudan diğer işlemlere enjekte edilebilir. İndirilen dosyaların işlevselliği değişken olsa da, Cutwail genellikle spam gönderen diğer bileşenleri indirir.
Bir çekirdek modu rootkit kullanır ve bileşenlerini etkilenen kullanıcılardan gizlemek için birkaç aygıt sürücüsü yükler.
Win32 / Rustock - Kök seti özellikli bir arka kapı Truva atlarının çok bileşenli bir ailesi, başlangıçta "spam" e-postasının botnet aracılığıyla dağıtılmasına yardımcı olmak için geliştirildi. Bir botnet, saldırıya uğramış bilgisayarlardan oluşan büyük bir saldırgan tarafından kontrol edilen bir ağdır.
Kök setlerine karşı koruma
Kök setlerinin kurulumunun önlenmesi, rootkit`lerin bulaşmasını önlemek için en etkili yöntemdir. Bunun için anti-virüs ve güvenlik duvarı ürünleri gibi koruyucu teknolojilere yatırım yapılması gerekmektedir. Bu ürünler, geleneksel imza tabanlı algılama, sezgisel algılama, dinamik ve yanıt veren imza yeteneği ve davranış izlemeyi kullanarak korumaya kapsamlı bir yaklaşım getirmelidir.
Tüm bu imza setleri, otomatik bir güncelleme mekanizması kullanılarak güncel tutulmalıdır. Microsoft antivirüs çözümleri arasında, etkilenen sistemin çekirdeğini değiştirme girişimlerini algılayan ve raporlayan canlı çekirdek davranışı izleme ve gizli sürücülerin tanımlanmasını ve kaldırılmasını kolaylaştıran doğrudan dosya sistemi ayrıştırması da dahil olmak üzere özel olarak rootkit`leri azaltmak için tasarlanmış bir dizi teknoloji bulunmaktadır.
Bir sistemde güvenlik bozukluğu bulunursa, bilinen iyi veya güvenilir bir ortama önyükleme yapmanıza olanak tanıyan ek bir araç, bazı uygun düzeltme önlemleri önerebileceği için yararlı olabilir.
Bu koşullar altında
- Bağımsız Sistem Süpürme aracı (
FCC Veri Koruma Kurallarına İlişkin Para Cezalarını Tehdit Ediyor
FCC, yıllık uygunluk raporlarını nasıl koruyacakları konusunda uygun bir şekilde dosya veremeyen 600 operatör için para cezaları önerdi.
Büyük Malware & tehlikeli malware`leri karıştığı Malwarebytes Tehdit Raporu Bilgi güvenliği saldırılarına göre Çevrimiçi Tehditler
Daha sık gelecek yıl olması beklenmektedir.
SecureAPlus: Kötü amaçlı yazılımlara karşı ikinci bir savunma hattı
SecureAge SecureAPlus, antivirüs koruması ve uygulama beyaz liste oluşturma yetenekleri sunan ücretsiz bir kötü amaçlı yazılımdır. İncelemeyi ve karşıdan yükle.