Mi az a Bootkit, és a Nemesis valódi fenyegetés?

Mi az a Bootkit, és a Nemesis valódi fenyegetés?

A vírusfertőzés veszélye nagyon is valós. A láthatatlan erők mindenütt jelenléte a számítógépünk megtámadásán, személyazonosságunk ellopásán és a bankszámláink rajtaütésén állandó, de reméljük, hogy a megfelelő mennyiségű technikai nous és egy kis szerencse, minden rendben lesz.





szükségem van egy dedikált grafikus kártyára?

Bármennyire fejlett is a víruskereső és más biztonsági szoftverek, a leendő támadók továbbra is új, ördögi vektorokat találnak a rendszer megzavarására. A bootkit az egyik. Bár nem teljesen új a rosszindulatú programok terén, a használatuk általános növekedése és a képességeik határozott erősödése figyelhető meg.



Nézzük meg, mi az a bootkit, vizsgáljuk meg a bootkit egyik változatát, a Nemesis és a fontolja meg, mit tehet, hogy világos maradjon .





Mi az a Bootkit?

Ahhoz, hogy megértsük, mi a bootkit, először elmagyarázzuk, honnan származik a terminológia. A rendszerindító csomag a rootkit egyik változata, egy rosszindulatú program, amely képes elrejteni magát az operációs rendszer és a víruskereső szoftver elől. A rootkiteket köztudottan nehéz felismerni és eltávolítani. A rendszer minden indításakor a rootkit folyamatos gyökér szintű hozzáférést biztosít a támadónak a rendszerhez.

A rootkit számos okból telepíthető. Néha a rootkit több kártevő telepítésére szolgál, néha egy „zombi” számítógép létrehozására egy botneten belül, titkosítási kulcsok és jelszavak ellopására, vagy ezek és más támadási vektorok kombinálására.



A rendszerindító betöltő szintű (bootkit) rootkitek lecserélik vagy módosítják a törvényes rendszerbetöltőt a támadóinak egyikével, ami hatással van a Master Boot Recordra, a Volume Boot Recordra vagy más rendszerindítási szektorokra. Ez azt jelenti, hogy a fertőzés betölthető az operációs rendszer előtt, és így felboríthatja az észlelési és megsemmisítési programokat.

Használatuk növekszik, és a biztonsági szakértők számos támadást észleltek, amelyek a monetáris szolgáltatásokra összpontosítanak, amelyek közül a „Nemesis” az egyik legutóbb megfigyelt kártevő ökoszisztéma.



Biztonsági Nemesis?

Nem, nem a Star Trek film, de a bootkit különösen csúnya változata. A Nemesis rosszindulatú programok ökoszisztémája számos támadó képességgel rendelkezik, beleértve a fájlátvitelt, a képernyő rögzítését, a billentyűleütés naplózását, a folyamatinjekciót, a folyamatkezelést és a feladatütemezést. A FireEye, a kiberbiztonsági vállalat, amely először észlelte a Nemesis -t, azt is jelezte, hogy a rosszindulatú program átfogó hátsó ajtótámogatási rendszert tartalmaz számos hálózati protokoll és kommunikációs csatorna számára, lehetővé téve a telepítés után a jobb irányítást és irányítást.

Windows rendszerben a Master Boot Record (MBR) tárolja a lemezre vonatkozó információkat, például a partíciók számát és elrendezését. Az MBR létfontosságú a rendszerindítási folyamat szempontjából, és tartalmazza az aktív elsődleges partíciót megkereső kódot. Miután ezt megtalálta, a vezérlés átadódik a Volume Boot Record (VBR) kötetnek, amely az egyes partíciók első szektorában található.



A Nemesis bootkit eltéríti ezt a folyamatot. A rosszindulatú program egyéni virtuális fájlrendszert hoz létre, hogy tárolja a Nemesis összetevőit a partíciók közötti kiosztott térben, és eltéríti az eredeti VBR -t azáltal, hogy felülírja az eredeti kódot a sajátjával, a 'BOOTRASH' névre keresztelt rendszerben.

A telepítés előtt a BOOTRASH telepítő statisztikákat gyűjt a rendszerről, beleértve az operációs rendszer verzióját és architektúráját. A telepítő a rendszer processzor architektúrájától függően képes telepíteni a Nemesis összetevők 32 vagy 64 bites verzióit. A telepítő telepíti a rendszerindító készletet bármely merevlemezre, amely rendelkezik MBR rendszerindító partícióval, függetlenül a merevlemez típusától. Ha azonban a partíció a GUID Partition Table lemez architektúráját használja, szemben az MBR particionálási sémával, akkor a rosszindulatú program nem folytatja a telepítési folyamatot. '

Ezután a partíció minden meghívásakor a rosszindulatú kód beinjektálja a várakozó Nemesis összetevőket a Windowsba. Ennek eredményeként , 'a rosszindulatú program telepítési helye azt is jelenti, hogy az operációs rendszer újratelepítése után is fennmarad, amelyet a kártékony programok felszámolásának leghatékonyabb módjának tartanak', és felfelé irányuló küzdelmet hagy a tiszta rendszerért.

Vicces módon a Nemesis rosszindulatú programok ökoszisztémája tartalmaz saját eltávolítási funkciót. Ez visszaállítaná az eredeti rendszerindítási szektort, és eltávolítaná a rosszindulatú programokat a rendszerből - de csak abban az esetben, ha a támadóknak saját maguknak kell eltávolítaniuk a rosszindulatú programokat.

UEFI biztonságos rendszerindítás

A Nemesis bootkit nagymértékben érintette a pénzügyi szervezeteket, hogy adatokat gyűjtsön és elkülönítse a pénzeszközöket. Használatuk nem lepte meg az Intel vezető műszaki marketingmérnökét, Brian Richardson , ki megjegyzi 'Az MBR bootkitek és rootkitek vírus támadási vektorok voltak a' Beszúrás a lemezbe: és nyomja meg az ENTER gombot a folytatáshoz 'óta. Elmagyarázta, hogy bár a Nemesis kétségtelenül tömegesen veszélyes kártevő, nem feltétlenül befolyásolja az otthoni rendszert.

hogyan kell telepíteni az ubuntut a mac -re

Az elmúlt néhány évben létrehozott Windows rendszereket valószínűleg GUID partíciós táblával formázták, az alapul szolgáló firmware -t UEFI -n alapulva. A rosszindulatú programok BOOTRASH virtuális fájlrendszer -létrehozási része egy régi lemezmegszakításra támaszkodik, amely nem létezik az UEFI -vel induló rendszereken, míg az UEFI Secure Boot aláírás -ellenőrzés blokkolja a rendszerindító rendszert a rendszerindítási folyamat során.

Tehát azok az újabb rendszerek, amelyeket előre telepítettek a Windows 8 vagy a Windows 10 rendszerrel, legalább egyelőre mentesülnek ettől a fenyegetéstől. Ez azonban egy nagy problémát illusztrál, amikor a nagyvállalatok nem frissítik informatikai hardverüket. Azok a cégek, amelyek még mindig használják a Windows 7 -et, és sok helyen még mindig a Windows XP rendszert használva komoly pénzügyi és adatveszélynek teszik ki magukat és ügyfeleiket.

A méreg, A gyógymód

A rootkitek trükkös operátorok. Az elhomályosodás mesterei, úgy tervezték őket, hogy a rendszert a lehető leghosszabb ideig irányítsák, és a lehető legtöbb információt gyűjtsék be ez idő alatt. A vírus- és kártevőirtó cégek tudomásul vették és számos rootkit -et az eltávolító alkalmazások már elérhetők a felhasználók számára :

Még akkor is, ha fennáll a sikeres eltávolítás lehetősége, sok biztonsági szakértő egyetért abban, hogy az egyetlen módja annak, hogy 99% -ban biztos legyen a tiszta rendszerben, a teljes meghajtóformátum - ezért ügyeljen arra, hogy a rendszerről biztonsági másolatot készítsen!

Tapasztaltál rootkit -et, vagy akár bootkit -et? Hogyan tisztította meg a rendszert? Tudassa velünk alább!

Részvény Részvény Csipog Email 3 módszer annak ellenőrzésére, hogy az e -mail valódi vagy hamis

Ha olyan e -mailt kapott, amely kissé kétesnek tűnik, mindig a legjobb ellenőrizni annak hitelességét. Íme három módszer annak megállapítására, hogy egy e -mail valódi -e.

Olvassa tovább Kapcsolódó témák
  • Biztonság
  • Lemezpartíció
  • Hackelés
  • Számítógép biztonság
  • Rosszindulatú
A szerzőről Gavin Phillips(945 megjelent cikk)

Gavin a Windows és a Technology Explained junior szerkesztője, rendszeresen közreműködik a Valóban hasznos podcastban, és rendszeres termékértékelő. BA (Hons) kortárs írással és digitális művészeti gyakorlatokkal rendelkezik a devoni domboktól, valamint több mint egy évtizedes szakmai írói tapasztalattal rendelkezik. Rengeteg teát, társasjátékokat és focit élvez.

Továbbiak Gavin Phillips -től

Iratkozzon fel hírlevelünkre

Csatlakozz hírlevelünkhöz, ahol technikai tippeket, értékeléseket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!

Feliratkozáshoz kattintson ide