Wat is rootkit?? Hoe werken rootkits?? Rootkits uitgelegd.

Hoewel het mogelijk is om malware te verbergen op een manier die zelfs de traditionele antivirus-/antispywareproducten voor de gek houdt, gebruiken de meeste malwareprogramma's al rootkits om zich diep op uw Windows-pc te verbergen... en ze worden steeds gevaarlijker! De DL3-rootkit is een van de meest geavanceerde rootkits die ooit in het wild is gezien. De rootkit was stabiel en kon 32-bits Windows-besturingssystemen infecteren; hoewel beheerdersrechten nodig waren om de infectie in het systeem te installeren. Maar TDL3 is nu bijgewerkt en kan nu infecteren now zelfs 64-bits versies Windows!

Wat is rootkit?

Een rootkit-virus is een stealth-type malware dat is ontworpen om het bestaan ​​van bepaalde processen of programma's op uw computer te verbergen voor reguliere detectiemethoden, zodat het of een ander kwaadaardig proces bevoorrechte toegang tot uw computer krijgt.

Rootkits voor Windows worden meestal gebruikt om schadelijke software te verbergen voor bijvoorbeeld een antivirusprogramma. Het wordt gebruikt voor kwaadaardige doeleinden door virussen, wormen, achterdeurtjes en spyware. Een virus in combinatie met een rootkit produceert zogenaamde volledige stealth-virussen. Rootkits komen vaker voor op het gebied van spyware en worden nu ook steeds vaker gebruikt door virusauteurs.

Ze zijn nu een opkomend type Super Spyware dat zich effectief verbergt en direct invloed heeft op de kernel van het besturingssysteem. Ze worden gebruikt om de aanwezigheid van kwaadaardige objecten zoals trojans of keyloggers op uw computer te verbergen. Als een bedreiging rootkit-technologie gebruikt om te verbergen, is het erg moeilijk om de malware op uw pc te vinden.

Rootkits op zich zijn niet gevaarlijk. Hun enige doel is om software en de sporen die achterblijven in het besturingssysteem te verbergen. Of dit nu normale software of malwareprogramma's zijn.

Er zijn in principe drie verschillende soorten rootkit:. De eerste soort, de “Kernel-rootkits” voegen meestal hun eigen code toe aan delen van de kern van het besturingssysteem, terwijl de tweede soort, de “Rootkits in gebruikersmodus” zijn speciaal gericht op Windows om normaal op te starten tijdens het opstarten van het systeem, of worden in het systeem geïnjecteerd door een zogenaamde “Dropper”. Het derde type is MBR-rootkits of bootkits.

Als u merkt dat uw antivirus en antispyware niet werken, moet u mogelijk de hulp inroepen van een goed Anti-Rootkit-hulpprogramma. RootkitRevealer van Microsoft Sysinternals is een geavanceerd hulpprogramma voor rootkitdetectie. De uitvoer geeft een overzicht van API-verschillen in het register en het bestandssysteem die kunnen wijzen op de aanwezigheid van een rootkit in de gebruikersmodus of in de kernelmodus.

Microsoft Malware Protection Center-bedreigingsrapport over rootkits

Microsoft Malware Protection Center heeft zijn dreigingsrapport over rootkits beschikbaar gesteld om te downloaden. Het rapport onderzoekt een van de meer verraderlijke soorten malware die organisaties en individuen tegenwoordig bedreigt - de rootkit. Het rapport onderzoekt hoe aanvallers rootkits gebruiken en hoe rootkits werken op getroffen computers. Hier is een samenvatting van het rapport, te beginnen met wat rootkits zijn - voor de beginner.

Rootkit is een set tools die een aanvaller of een maker van malware gebruikt om controle te krijgen over een blootgesteld/onbeveiligd systeem dat normaal gesproken is gereserveerd voor een systeembeheerder. In de afgelopen jaren is de term 'ROOTKIT' of 'ROOTKIT FUNCTIONALITY' vervangen door MALWARE - een programma dat is ontworpen om ongewenste effecten te hebben op een gezonde computer. De belangrijkste functie van malware is om in het geheim waardevolle gegevens en andere bronnen van de computer van een gebruiker te halen en deze aan de aanvaller te verstrekken, waardoor hij de volledige controle over de besmette computer krijgt. Bovendien zijn ze moeilijk te detecteren en te verwijderen en kunnen ze voor langere tijd verborgen blijven, mogelijk zelfs jaren, als ze onopgemerkt blijven.

Dus natuurlijk moeten de symptomen van een gecompromitteerde computer worden gemaskeerd en in overweging worden genomen voordat de uitkomst fataal is. Er moeten met name strengere beveiligingsmaatregelen worden genomen om de aanval te ontdekken. Maar, zoals gezegd, als deze rootkits/malware eenmaal zijn geïnstalleerd, maken de stealth-mogelijkheden het moeilijk om het te verwijderen en de componenten die het zou kunnen downloaden. Om deze reden heeft Microsoft een rapport gemaakt over ROOTKITS.

Het rapport van 16 pagina's beschrijft hoe een aanvaller rootkits gebruikt en hoe deze rootkits werken op getroffen computers.

Het enige doel van het rapport is het identificeren en nauwkeurig onderzoeken van krachtige malware die veel organisaties bedreigt, met name computergebruikers. Het vermeldt ook enkele van de meest voorkomende malwarefamilies en brengt de methode aan het licht die de aanvallers gebruiken om deze rootkits voor hun eigen egoïstische doeleinden op gezonde systemen te installeren. In de rest van het rapport vindt u experts die enkele aanbevelingen doen om gebruikers te helpen de dreiging van rootkits te verminderen.

Soorten rootkits

Er zijn veel plaatsen waar malware zichzelf in een besturingssysteem kan installeren. Het type rootkit wordt dus meestal bepaald door de locatie waar het zijn subversie van het uitvoeringspad uitvoert. Dit bevat:

1. Rootkits in gebruikersmodus
2. Rootkits in kernelmodus
3. MBR rootkits/bootkits

Het mogelijke effect van een rootkit-compromis in de kernelmodus wordt geïllustreerd via een screenshot hieronder:.

Het derde type, wijzig de Master Boot Record om controle over het systeem te krijgen en het proces te starten voor het laden van het vroegst mogelijke punt in de opstartvolgorde3. Het verbergt bestanden, registerwijzigingen, bewijs van netwerkverbindingen en andere mogelijke indicatoren die de aanwezigheid ervan kunnen aangeven.

Opmerkelijke Malware-families die Rootkit-functionaliteit gebruiken

• Win32/Sinowal13 - Een familie van malware met meerdere componenten die probeert gevoelige gegevens te stelen, zoals gebruikersnamen en wachtwoorden voor verschillende systemen. Dit omvat pogingen om authenticatiegegevens te stelen voor verschillende FTP-, HTTP- en e-mailaccounts, evenals inloggegevens die worden gebruikt voor online bankieren en andere financiële transacties.
• Win32/Cutwai15 - Een trojan die willekeurige bestanden downloadt en uitvoert. De gedownloade bestanden kunnen vanaf schijf worden uitgevoerd of direct in andere processen worden geïnjecteerd. Hoewel de functionaliteit van de gedownloade bestanden variabel is, downloadt Cutwail meestal andere componenten die spam verzenden. Het gebruikt een rootkit in de kernelmodus en installeert verschillende apparaatstuurprogramma's om de componenten te verbergen voor getroffen gebruikers.
• Win32/Rustock - Een familie met meerdere componenten van rootkit-enabled backdoor-trojans die oorspronkelijk zijn ontwikkeld om te helpen bij de verspreiding van 'spam'-e-mail via een botnet. Een botnet is een groot door een aanvaller bestuurd netwerk van gecompromitteerde computers.

Bescherming tegen rootkits

Het voorkomen van de installatie van rootkits is de meest effectieve methode om infectie door rootkits te voorkomen. Hiervoor is het noodzakelijk om te investeren in beschermende technologieën zoals antivirus- en firewallproducten. Dergelijke producten moeten een alomvattende benadering van bescherming hanteren door gebruik te maken van traditionele op handtekeningen gebaseerde detectie, heuristische detectie, dynamische en responsieve handtekeningmogelijkheden en gedragsbewaking.

Al deze handtekeningsets moeten up-to-date worden gehouden met behulp van een geautomatiseerd updatemechanisme. Antivirusoplossingen van Microsoft omvatten een aantal technologieën die specifiek zijn ontworpen om rootkits te verminderen, waaronder live-kernelgedragscontrole die pogingen om de kernel van een getroffen systeem te wijzigen detecteert en rapporteert, en directe parsing van bestandssystemen die de identificatie en verwijdering van verborgen stuurprogramma's vergemakkelijkt.

Als een systeem gecompromitteerd blijkt te zijn, kan een extra tool waarmee u kunt opstarten naar een bekende goede of vertrouwde omgeving nuttig zijn, omdat dit enkele passende herstelmaatregelen kan voorstellen.

Onder dergelijke omstandigheden,

1. De Standalone System Sweeper-tool (onderdeel van de Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline kan handig zijn.

Voor meer informatie kunt u het PDF-rapport downloaden van het Microsoft Downloadcentrum.