Microsoft Malware Protection Center ha reso disponibile per il download il report sulle minacce sui rootkit. Il rapporto esamina uno dei tipi più insidiosi di malware che minacciano le organizzazioni e gli individui oggi: il rootkit. Il report esamina come gli hacker utilizzano i rootkit e come funzionano i rootkit sui computer interessati. Ecco una sintesi del rapporto, a partire da cosa sono i rootkit - per i principianti.
rootkit è un insieme di strumenti che un utente malintenzionato o un creatore di malware utilizza per ottenere il controllo su qualsiasi sistema esposto / non protetto che altrimenti è normalmente riservato per un amministratore di sistema. Negli ultimi anni il termine 'ROOTKIT' o 'ROOTKIT FUNCTIONALITY' è stato sostituito da MALWARE - un programma progettato per avere effetti indesiderati sul computer sano. La funzione principale del malware è quella di estrarre segretamente dati preziosi e altre risorse dal computer di un utente e fornirlo all'utente malintenzionato, ottenendo così il controllo completo sul computer compromesso. Inoltre, sono difficili da individuare e rimuovere e possono rimanere nascosti per periodi prolungati, forse anni, se passati inosservati.
Quindi, naturalmente, i sintomi di un computer compromesso devono essere mascherati e presi in considerazione prima che l'esito si riveli fatale. In particolare, dovrebbero essere prese misure di sicurezza più severe per scoprire l'attacco. Ma, come detto, una volta installati questi rootkit / malware, le sue capacità stealth rendono difficile rimuoverlo e i suoi componenti che potrebbero essere scaricati. Per questo motivo, Microsoft ha creato un report su ROOTKITS.
Rapporto sulle minacce di Microsoft Malware Protection Center sui rootkit
Il report di 16 pagine illustra in che modo un utente malintenzionato utilizza i rootkit e il funzionamento di questi rootkit sui computer interessati.
Tipi di rootkit
Esistono molti luoghi in cui un malware può installarsi in un sistema operativo. Quindi, principalmente il tipo di rootkit è determinato dalla sua posizione in cui esegue la sua sovversione del percorso di esecuzione. Ciò comprende:
- Modalità utente Rootkit
- Rootkit per la modalità kernel
- MBR Rootkit / bootkit
Il possibile effetto di un compromesso rootkit in modalità kernel è illustrato tramite una schermata qui sotto.
Famiglie di malware notabili che utilizzano la funzionalità Rootkit
Win32 / Sinowal13 - Una famiglia di malware multicomponente che tenta di rubare dati sensibili come nomi utente e password per sistemi diversi. Ciò include il tentativo di rubare i dettagli di autenticazione per una varietà di account FTP, HTTP ed e-mail, nonché le credenziali utilizzate per le operazioni bancarie online e altre transazioni finanziarie.
Win32 / Cutwail15 - Un Trojan che scarica ed esegue file arbitrari. I file scaricati possono essere eseguiti da disco o iniettati direttamente in altri processi. Mentre la funzionalità dei file scaricati è variabile, Cutwail di solito scarica altri componenti che inviano spam.
Utilizza un rootkit in modalità kernel e installa diversi driver di dispositivo per nascondere i suoi componenti agli utenti interessati.
Win32 / Rustock - Una famiglia multicomponente di Trojan backdoor abilitati per rootkit inizialmente sviluppati per aiutare nella distribuzione di email "spam" attraverso un botnet. Una botnet è una grande rete di computer compromessi controllata dagli aggressori.
Protezione dai rootkit
Prevenire l'installazione di rootkit è il metodo più efficace per evitare l'infezione da rootkit. Per questo, è necessario investire in tecnologie protettive come i prodotti antivirus e firewall. Tali prodotti dovrebbero adottare un approccio completo alla protezione utilizzando il rilevamento basato su firma tradizionale, il rilevamento euristico, la capacità di firma dinamica e reattiva e il monitoraggio del comportamento.
Tutti questi insiemi di firme dovrebbero essere mantenuti aggiornati utilizzando un meccanismo di aggiornamento automatico. Le soluzioni antivirus Microsoft includono una serie di tecnologie progettate specificamente per mitigare i rootkit, incluso il monitoraggio del comportamento del kernel in tempo reale che rileva e segnala i tentativi di modifica del kernel di un sistema interessato e l'analisi diretta del file system che facilita l'identificazione e la rimozione dei driver nascosti.
Se un sistema viene trovato compromesso, può risultare utile uno strumento aggiuntivo che consente di avviare un ambiente noto o attendibile in quanto potrebbe suggerire alcune misure di riparazione appropriate.
In tali circostanze,
- Lo strumento Standalone System Sweeper (parte del Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline potrebbe essere utile.
Per ulteriori informazioni, è possibile scaricare il report PDF dall'Area download Microsoft.
Articoli correlati:
- Elenco del software gratuito di rimozione rootkit per Windows
- Scarica McAfee Rootkit Remover per Windows
- Rilasciato Bitdefender Rootkit Remover per Windows
- Come proteggere il processo di avvio di Windows 10
- Cos'è il rootkit? Come funzionano i rootkit? I rootkit hanno spiegato.
