Androide

Informe de amenazas del Centro de protección contra malware de Microsoft sobre rootkits

MITOS Y VERDADES DE LA #ID-2020 el proyecto del chip Hoy con Mauricio Moritz

MITOS Y VERDADES DE LA #ID-2020 el proyecto del chip Hoy con Mauricio Moritz
Anonim

El Centro de protección contra malware de Microsoft ha puesto a disposición para descargar su Informe de amenaza sobre los rootkits. El informe examina uno de los tipos más insidiosos de malware que amenazan a las organizaciones y las personas en la actualidad: el rootkit. El informe examina cómo los atacantes usan rootkits y cómo funcionan los rootkits en las computadoras afectadas. Aquí está una esencia del informe, comenzando con lo que son Rootkits: para el principiante.

Rootkit es un conjunto de herramientas que un atacante o creador de malware usa para obtener control sobre cualquier sistema expuesto / no seguro que de otra manera normalmente reservado para un administrador del sistema. En los últimos años, el término `ROOTKIT` o `ROOTKIT FUNCTIONALITY` ha sido reemplazado por MALWARE, un programa diseñado para tener efectos no deseados en la computadora saludable. La función principal del malware es retirar datos valiosos y otros recursos de la computadora de un usuario en secreto y proporcionárselos al atacante, lo que le da control total sobre la computadora comprometida. Además, son difíciles de detectar y eliminar y pueden permanecer ocultos por períodos prolongados, posiblemente años, si no se detectan.

Entonces, naturalmente, los síntomas de una computadora comprometida deben ser enmascarados y tomados en consideración antes de que el resultado sea fatal. En particular, se deben tomar medidas de seguridad más estrictas para descubrir el ataque. Pero, como se mencionó, una vez que estos rootkits / malware están instalados, sus capacidades ocultas dificultan su eliminación y los componentes que puede descargar. Por esta razón, Microsoft ha creado un informe sobre ROOTKITS.

Informe de amenaza del Centro de protección contra malware de Microsoft sobre rootkits

El informe de 16 páginas describe cómo un atacante usa rootkits y cómo funcionan estos rootkits en los equipos afectados.

El propósito del informe es identificar y examinar de cerca el potente malware que amenaza a muchas organizaciones, usuarios de computadoras en particular. También menciona algunas de las familias de malware prevalecientes y saca a la luz el método que usan los atacantes para instalar estos rootkits para sus propios propósitos egoístas en sistemas saludables. En el resto del informe, encontrará expertos que hacen algunas recomendaciones para ayudar a los usuarios a mitigar la amenaza de los rootkits.

Tipos de rootkits

Hay muchos lugares donde un malware puede instalarse en un sistema operativo. Entonces, principalmente el tipo de rootkit está determinado por su ubicación donde realiza su subversión de la ruta de ejecución. Esto incluye:

  1. Rootkits en modo de usuario
  2. Rootkits en modo kernel
  3. Rootkits / bootkits MBR

El efecto posible de un compromiso de rootkit en modo kernel se ilustra mediante una captura de pantalla a continuación.

El tercer tipo modificar el registro de arranque maestro para obtener el control del sistema y comenzar el proceso de carga del primer punto posible en la secuencia de arranque3. Oculta archivos, modificaciones de registro, evidencia de conexiones de red y otros posibles indicadores que pueden indicar su presencia.

Familias notables de Malware que usan la funcionalidad Rootkit

Win32 / Sinowal 13 - Una familia de componentes múltiples malware que intenta robar datos confidenciales como nombres de usuario y contraseñas para diferentes sistemas. Esto incluye intentar robar detalles de autenticación para una variedad de cuentas FTP, HTTP y de correo electrónico, así como credenciales usadas para banca en línea y otras transacciones financieras.

Win32 / Cutwail 15 - Un troyano que descarga y ejecuta arbitrariamente archivos. Los archivos descargados se pueden ejecutar desde el disco o inyectarse directamente en otros procesos. Si bien la funcionalidad de los archivos descargados es variable, Cutwail generalmente descarga otros componentes que envían spam.

Utiliza un rootkit en modo núcleo e instala varios controladores de dispositivos para ocultar sus componentes a los usuarios afectados.

Win32 / Rustock : una familia de componentes múltiples de troyanos de puerta trasera habilitados para rootkit desarrollados inicialmente para ayudar en la distribución de correo electrónico "no deseado" a través de un botnet. Una red de bots es una gran red controlada por atacantes de computadoras comprometidas.

Protección contra rootkits

La prevención de la instalación de rootkits es el método más efectivo para evitar la infección por rootkits. Para esto, es necesario invertir en tecnologías protectoras como antivirus y productos de firewall. Dichos productos deben adoptar un enfoque integral de protección mediante el uso de la detección tradicional basada en firmas, detección heurística, capacidad de firma dinámica y receptiva y monitoreo del comportamiento.

Todos estos conjuntos de firmas deben mantenerse actualizados utilizando un mecanismo de actualización automática. Las soluciones antivirus de Microsoft incluyen varias tecnologías diseñadas específicamente para mitigar los rootkits, incluida la supervisión del comportamiento del kernel en vivo que detecta e informa sobre los intentos de modificar el kernel de un sistema afectado y el análisis directo del sistema de archivos que facilita la identificación y eliminación de controladores ocultos. Si se considera que un sistema está comprometido, una herramienta adicional que le permita arrancar en un entorno conocido o confiable puede resultar útil, ya que puede sugerir algunas medidas correctivas adecuadas.

Bajo tales circunstancias,

La herramienta Standerone System Sweeper (parte del Conjunto de Herramientas de Diagnóstico y Recuperación de Microsoft (DaRT)

  1. Windows Defender sin conexión puede ser útil.
  2. Para obtener más información, puede descargar el informe en PDF del Centro de descarga de Microsoft.