Откријте рооткит и заштитите се од њега
Велики део злонамерног софтвера који користе криминалци широм света не откривају њихове жртве. То је такође због злонамерног софтвера као што је рооткит. Показаћемо вам на лако разумљив начин шта је то рооткит, које врсте постоје и како можете заштитити рачунар од њих правим алатима.
Шта је рооткит?
Рооткит је злонамерни софтвер који је скривен веома дубоко у оперативном систему. Због свог програмирања, рооткитови се стога обично могу открити и уклонити само одговарајућим антивирусним софтвером.
Централна функција рооткита је да дозволи трећим странама приступ страном рачунару. Можете даљински управљати њиме, управљати њиме или украсти податке. Рооткит напади се такође користе, на пример, за инсталирање софтвера помоћу којег нападачи могу даљински управљати ботнетом.
Рооткит се обично састоји од скупа злонамерног софтвера. Рооткит може да садржи кеилоггер -е, ботове или рансомваре.
Инфо: Одакле потиче назив "рооткит"?
Термин „рооткит“ се састоји од речи „роот“ (немачки = роот = највиши директоријум у датотечном систему; корисник са свим администраторским правима) и „комплет“ (немачки = скуп). Рооткит је потпуно неутрална колекција софтверских апликација које могу користити администраторска права. Али када се ова права користе за поновно учитавање злонамерног софтвера, сам рооткит постаје злонамерни софтвер.
Рооткит: Постоје ове врсте
Рооткитови се обично класификују на основу дубине на којој делују у датотечном систему дотичног рачунара.
|
Роковници корисничког режима |
На ове рутките највише утиче администраторски налог на вашем рачунару. Злонамерни софтвер има све предности администраторског приступа датотекама или програмима и може, на пример, да промени безбедносне поставке. Шкакљива ствар у вези ових руткита: Они се аутоматски покрећу сваки пут када се рачунар поново покрене. |
|
Рооткитови модела језгра |
Ови рооткитови раде директно на нивоу оперативног система и стога имају могућност манипулације свим областима оперативног система. Чак и скенирање скенера вируса може дати погрешне резултате ако је инфицирано рукитом у режиму језгра. Међутим, рооткитови језгра морају да савладају многе препреке да би могли да се заглаве у језгру. Обично се примећују унапред, на пример зато што се рачунар стално руши. |
|
Рооткитови фирмвера |
Ови рооткитови могу да уграде фирмвер рачунарских система. Након брисања, аутоматски се поново инсталирају сваки пут када поново покренете. Ово чини роотките фирмвера посебно постојаним и отежава њихово уклањање. |
|
Комплети за покретање |
Ови руткитови се заглављују у сектору за покретање. Када покренете рачунар, систем користи главни запис о покретању. Тамо ћете пронаћи и комплет за покретање који се учитава сваки пут када покренете. Важну заштиту имају корисници новијих оперативних система Виндовс, попут 8 или 10. Ове верзије већ имају безбедносне системе који спречавају покретање комплета за покретање система када је рачунар укључен. |
|
Виртуелни руткитови |
Ови руткитови се сами инсталирају на виртуелној машини и могу приступити зараженом рачунару изван стварног оперативног система. Ово отежава откривање софтвера за заштиту од вируса. |
| Хибридни руткитови | Ови рооткитови деле софтвер и инсталирају његове делове у кернел и остале делове на нивоу корисника. Ови рооткитови су корисни за криминалце јер раде врло стабилно на нивоу корисника и истовремено делују у језгру, тј. Камуфлирани. |
Да би се заштитили од ових подмуклих претњи, скенери вируса, између осталог, морају имати ажуриране дефиниције вируса.
Како рооткит долази на рачунар?
Рооткитовима је увек потребно „возило“ помоћу којег се могу имплантирати на рачунар. По правилу, рооткит се стога увек састоји од три компоненте, самог рооткита, капаљке и учитавача. Дроппер је упоредив са рачунарским вирусом који инфицира ваш рачунар. Пошто капаљка тражи сигурносну рупу како би сачувала рооткит на жељеном уређају. Затим се користи утоваривач. Инсталира рооткит на зараженом рачунару, на пример у кернелу или на нивоу корисника ако се ради о рооткиту у корисничком режиму.
Рооткитови користе следеће медије за испуштање:
|
Мессенгер |
На пример, ако примите злонамерну везу или датотеку путем гласника и отворите везу или датотеку, капаљка може да постави рооткит на ваш уређај. |
|
Хаковани софтвер и апликације: |
Хакери могу да „прокријумчаре“ рутките у поуздани софтвер или апликације. Датотеке се, на пример, дистрибуирају на интернету као бесплатне понуде. Чим инсталирате ове програме, такође ћете преузети рооткит на свој рачунар. |
| ПДФ или Оффице датотеке: | Рооткитови се могу сакрити у Оффице датотекама или ПДФ -овима, било као прилог е -поште или као преузимање. Чим отворите датотеку, капаљка убацује датотеку у ваш рачунар и програм за учитавање почиње да се инсталира у позадини. |
Како да препознам рооткит на свом рачунару (рооткит скенер)?
Да би се руткитови поуздано открили, а затим уклонили, потребан је скенер за рутките, који је укључен у скенирање вируса моћних антивирусних програма. На пример, ова скенирања могу препознати уобичајене потписе рооткита. Са овим потписима, бројеви у коду су распоређени у одређеном облику. Али на вашем рачунару постоје и неки знакови који могу указивати на могућу инфекцију рооткитом.
- Необично понашање рачунара: Рооткитове одликује њихова неупадљивост. Међутим, може се догодити да се ваш рачунар понаша другачије него обично, на пример ненамерно отварање програма или покретање процеса које нисте покренули.
- Системске поставке се мењају без икакве акције са ваше стране: На пример, ако сазнате да ваш рачунар генерално дозвољава даљински приступ или отвара портове, рооткит је можда узрок.
- Анализа думпа меморије: Када се рачунар поквари, Виндовс ствара слику системске меморије. Стручњаци могу користити ову датотеку за идентификацију необичних образаца које ствара рооткит.
- Интернет веза је увек нестабилна: Рооткитови могу, на пример, осигурати велике протоке података кроз које хакери могу приступити подацима. Ова кретања података могу успорити вашу интернетску линију или чак узроковати њен пад.
Како се могу заштитити од рооткита?
Најважнија заштита од рооткита је употреба ажурираног програма за заштиту од вируса. Опремљена најновијим дефиницијама вируса, заштита у стварном времену може вас упозорити на опасна преузимања и инсталације и користити скенер вируса за редовну проверу вашег рачунара на рутките.
Осим тога, препоручују се следеће мере:
- Користите само један кориснички налог у свакодневном животу, а не администраторски приступ: Ако се пријавите на Виндовс или иОС са гостујућим налогом, имате само ограничена права. Ако у овом периоду инфицирате рачунар руткитом, капаљка може приступити само овом нивоу корисника, а не може директно приступити језгру.
- Редовно ажурирајте оперативни систем и софтвер: Произвођачи затварају познате сигурносне празнине редовним ажурирањима. Стога је императив да извршите сва потребна ажурирања.
- Преузимајте датотеке са Интернета само са реномираних веб локација: Избегавајте потенцијално опасна преузимања, минимизирајте ризик да постанете жртва рооткита.
- Отварајте прилоге е-поште само од пошиљалаца којима верујете: Ако примате е-пошту од пошиљалаца са скривеним адресама е-поште, најбоље је да их избришете. Ако вам прилог е-поште са познате адресе звучи чудно, боље је да пре отварања прилога е-поште поново проверите код пошиљаоца.
- Инсталирајте апликације за паметне телефоне само из званичних продавница апликација: Ако преузимате апликације из званичних извора, оне већ пролазе безбедносну проверу. Ово ће смањити ризик од учитавања рооткита на ваш паметни телефон.
Уклоните рооткит - како поступити
Увек морате уклонити роотките са посебним антивирусним софтвером. Будући да се овај злонамерни софтвер може задржати дубоко у оперативном систему вашег рачунара, ручно уклањање је обично веома тешко. Ако заборавите мале остатке рооткита када га избришете, он ће се обично поново инсталирати при поновном покретању.
Најбољи начин за уклањање рооткита је употреба најновијег антивирусног програма који има најновије дефиниције вируса. Затим се препоручује скенирање вируса у сигурном режиму тако да рооткит не може, на пример, поново учитати податке са Интернета. Често је потребно неколико пута покренути скенирање вируса или злонамерног софтвера да бисте у потпуности елиминисали рооткит.
Овај чланак ће вам пружити детаљна упутства о томе како пронаћи и избрисати роотките.
Познати руткитови
Рооткитови су веома старе интернетске претње. Један од првих познатих руткитова је злонамерни софтвер који је углавном нападао Уник оперативне системе 1990. Први познати рооткит за Виндовс рачунаре био је НТР рооткит, који је био у оптицају 1999. Ово је рооткит језгра.
Између 2003. и 2005. било је разних великих напада са рооткитовима, укључујући напад на мобилне телефоне који су активирани у мрежи Водафоне Грееце. Овај рооткит постао је познат као "грчки Ватергате" јер је, између осталог, погођен грчки премијер.
Године 2008. беснео је комплет за покретање ТДЛ-1. Сајбер криминалци су га користили за изградњу великог ботнета уз помоћ тројанског коња.
Први пут је откривен рооткит 2009. године који такође инфицира Аппле оперативне системе. Крштен је "Мацхиавелли".
2010. је беснео црв Стукнет. Између осталог, користио је рооткит који је требало да извиди ирански нуклеарни програм. Израелске и америчко-америчке тајне службе сумњиче се да су програмери и нападачи.
Са ЛоЈаком, 2022-2023 је откривен рооткит који први пут инфицира фирмвер на матичној плочи рачунара. Ово омогућава злонамерном софтверу да се поново активира када се оперативни систем поново инсталира.
Закључак: Тешко је открити, али уз ажуриран антивирусни софтвер и опрез, ризик се може смањити
Пошто су руткитови дубоко уграђени у оперативни систем рачунара, превенција је посебно важна. Након што је рооткит инсталиран, лаицима је тешко открити инфекцију. Међутим, свако ко је опрезан на Интернету са савременим системом заштите од вируса и одговарајућим алатима и који не отвара непознате датотеке безбрижно смањује вероватноћу да постане жртва рооткита.
