Home-theater-designers
Hrozba přenosu viru je velmi reálná. Všudypřítomnost neviditelných sil, které pracují na útocích na naše počítače, na krádeži naší identity a na přepadení našich bankovních účtů, je konstantní, ale doufáme, že s správné množství technického nousu a trocha štěstí, všechno bude v pořádku.
počítač se v nouzovém režimu nespouští
Jakkoli pokročilý je antivirový a další bezpečnostní software, potenciální útočníci nadále nacházejí nové ďábelské vektory, které narušují váš systém. Bootkit je jedním z nich. I když to není na scéně malwaru zcela nové, došlo k obecnému nárůstu jejich používání a jednoznačnému zintenzivnění jejich schopností.
Podívejme se, co je to bootkit, prozkoumejme variantu bootkitu Nemesis a zvažte, co můžete udělat, abyste měli jasno .
Co je to Bootkit?
Abychom pochopili, co je to bootkit, nejprve vysvětlíme, odkud pochází terminologie. Bootkit je varianta rootkitu, což je typ malwaru se schopností skrýt se před operačním systémem a antivirovým softwarem. Rootkity je notoricky obtížné detekovat a odstranit. Při každém spuštění systému rootkit poskytne útočníkovi nepřetržitý přístup na root úrovni.
Rootkit lze nainstalovat z libovolného počtu důvodů. Někdy bude rootkit použit k instalaci více malwaru, někdy bude použit k vytvoření počítače „zombie“ v rámci botnetu, může být použit ke krádeži šifrovacích klíčů a hesel nebo kombinace těchto a dalších vektorů útoku.
Rootkity na úrovni bootovacího zavaděče (bootkit) nahrazují nebo upravují legitimní zavaděč podle návrhu jednoho z útočníků, což ovlivňuje hlavní spouštěcí záznam, spouštěcí záznam svazku nebo jiné zaváděcí sektory. To znamená, že infekce může být načtena před operační systém, a tak může rozvrátit všechny programy detekce a zničení.
Jejich používání je na vzestupu a bezpečnostní experti zaznamenali řadu útoků zaměřených na peněžní služby, z nichž „Nemesis“ je jedním z naposledy pozorovaných malwarových ekosystémů.
Bezpečnostní Nemesis?
Ne, ne a Star Trek film, ale obzvláště ošklivá varianta bootkitu. Ekosystém malware Nemesis přichází s širokou škálou možností útoku, včetně přenosů souborů, snímání obrazovky, protokolování úhozů, vkládání procesů, manipulace s procesy a plánování úkolů. Společnost FireEye, společnost zabývající se kybernetickou bezpečností, která jako první spatřila Nemesis, rovněž uvedla, že malware obsahuje komplexní systém podpory zadních vrátků pro řadu síťových protokolů a komunikačních kanálů, což po instalaci umožňuje lepší ovládání a ovládání.
V systému Windows Master Boot Record (MBR) ukládá informace týkající se disku, například počet a rozložení oddílů. MBR je zásadní pro proces zavádění, obsahuje kód, který lokalizuje aktivní primární oddíl. Jakmile je toto nalezeno, je řízení předáno do Volume Boot Record (VBR), který je umístěn v prvním sektoru individuálního oddílu.
Nemesis bootkit tento proces unese. Malware vytváří vlastní virtuální souborový systém pro ukládání komponent Nemesis do nepřiděleného prostoru mezi oddíly, únos původního VBR přepsáním původního kódu vlastním, v systému nazvaném 'BOOTRASH'.
„Instalační program BOOTRASH shromažďuje před instalací statistiky systému, včetně verze operačního systému a architektury. Instalační program je schopen nasadit 32bitové nebo 64bitové verze komponent Nemesis v závislosti na architektuře procesoru systému. Instalační program nainstaluje bootkit na jakýkoli pevný disk, který má zaváděcí oddíl MBR, bez ohledu na konkrétní typ pevného disku. Pokud však oddíl používá architekturu disku GUID Partition Table na rozdíl od schématu rozdělení MBR, malware nebude pokračovat v procesu instalace. '
Potom pokaždé, když je oddíl volán, škodlivý kód vloží čekající součásti Nemesis do systému Windows. Jako výsledek „Umístění instalace malwaru také znamená, že bude přetrvávat i po přeinstalaci operačního systému, který je obecně považován za nejefektivnější způsob, jak odstranit malware,“ což zanechává těžký boj o čistý systém.
Je zábavné, že malware ekosystém Nemesis obsahuje vlastní funkci odinstalace. Tím by se obnovil původní zaváděcí sektor a odstranil se malware z vašeho systému - existuje však pouze v případě, že útočníci potřebují malware odstranit sami.
Zabezpečené spouštění UEFI
Nemesis bootkit do značné míry ovlivnil finanční organizace za účelem shromažďování dat a odčerpávání finančních prostředků. Jejich použití nepřekvapuje vedoucího technického marketingového inženýra společnosti Intel, Brian Richardson , SZO poznámky „Bootkity a rootkity MBR jsou vektorem útoku virů od dob„ Vložte disk do A: a pokračujte stisknutím klávesy ENTER “. Pokračoval vysvětlením, že zatímco Nemesis je nepochybně masivně nebezpečný malware, nemusí tak snadno ovlivnit váš domácí systém.
podívejte se, kdo je k vám přihlášen na youtube
Systémy Windows vytvořené v posledních několika letech budou pravděpodobně formátovány pomocí tabulky oddílů GUID se základním firmwarem založeným na UEFI. Část malwaru vytvářející virtuální souborový systém BOOTRASH spoléhá na přerušení staršího disku, které při zavádění systémů s UEFI nebude existovat, zatímco kontrola podpisu zabezpečeného spouštění UEFI by během bootovacího procesu zablokovala bootkit.
Takže tyto novější systémy předinstalované s Windows 8 nebo Windows 10 mohou být této hrozby alespoň prozatím zbaveny. Ukazuje to však hlavní problém, kdy velké společnosti nedokáží aktualizovat svůj IT hardware. Tyto společnosti stále používají Windows 7 a na mnoha místech ještě pořád pomocí systému Windows XP vystavují sebe i své zákazníky velké finanční a datové hrozbě.
Jed, Náprava
Rootkity jsou složité operátory. Mistři zmatku jsou navrženi tak, aby ovládali systém tak dlouho, jak je to jen možné, a po celou dobu sbírali co nejvíce informací. Antivirové a antimalwarové společnosti vzaly na vědomí a řadu rootkitů uživatelům jsou nyní k dispozici aplikace pro odstranění :
- Malwarebytes Anti-Rootkit Beta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - pokročilá aplikace vyžadující ruční odstranění
I když je v nabídce šance na úspěšné odebrání, mnoho bezpečnostních expertů souhlasí s tím, že jediným způsobem, jak si být na 99% jistý čistým systémem, je kompletní formát disku - proto mějte svůj systém zálohovaný!
Zažili jste rootkit nebo dokonce bootkit? Jak jste vyčistili systém? Dejte nám vědět níže!
Podíl Podíl tweet E-mailem 3 způsoby, jak zkontrolovat, zda je e -mail skutečný nebo falešnýPokud jste obdrželi e -mail, který vypadá trochu pochybně, je vždy nejlepší zkontrolovat jeho pravost. Zde jsou tři způsoby, jak zjistit, zda je e -mail skutečný.
Číst dále Související témata- Bezpečnostní
- Oddíl disku
- Hackování
- Zabezpečení počítače
- Malware
Gavin je juniorský editor pro Windows a vysvětlenou technologii, pravidelný přispěvatel do Skutečně užitečného podcastu a pravidelný recenzent produktů. Má BA (Hons) Contemporary Writing with Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let zkušeností s profesionálním psaním. Má rád velké množství čaje, deskových her a fotbalu.
Více od Gavina PhillipsePřihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!
Kliknutím sem se přihlásíte k odběru