Relatório de Ameaças do Centro de Proteção contra Malware da Microsoft sobre Rootkits

O Centro de Proteção contra Malware da Microsoft disponibilizou para download o Relatório de Ameaças sobre Rootkits. O relatório examina um dos tipos mais insidiosos de organizações e indivíduos ameaçadores de malware atualmente - o rootkit. O relatório examina como os invasores usam rootkits e como os rootkits funcionam nos computadores afetados. Aqui está uma essência do relatório, começando com o que são Rootkits - para o iniciante.

Rootkit é um conjunto de ferramentas que um atacante ou um criador de malware usa para obter controle sobre qualquer sistema exposto / não protegido que normalmente reservado para um administrador do sistema. Nos últimos anos, o termo `ROOTKIT` ou `ROOTKIT FUNCTIONALITY` foi substituído pelo MALWARE - um programa projetado para ter efeitos indesejáveis ​​em computadores saudáveis. A principal função do malware é retirar secretamente dados valiosos e outros recursos do computador de um usuário e fornecê-lo ao atacante, dando a ele controle total sobre o computador comprometido. Além disso, eles são difíceis de detectar e remover e podem permanecer ocultos por longos períodos, possivelmente anos, se passados ​​despercebidos

Então, naturalmente, os sintomas de um computador comprometido precisam ser mascarados e levados em consideração antes que o resultado se torne fatal. Particularmente, medidas de segurança mais rigorosas devem ser tomadas para descobrir o ataque. Mas, como mencionado, uma vez que esses rootkits / malware estejam instalados, seus recursos furtivos dificultam a remoção e os componentes que podem ser baixados. Por esse motivo, a Microsoft criou um relatório sobre ROOTKITS.

Relatório de Ameaças do Microsoft Malware Protection Center sobre Rootkits

O relatório de 16 páginas descreve como um invasor usa rootkits e como esses rootkits funcionam nos computadores afetados.

O objetivo do relatório é identificar e examinar de perto o malware potente que ameaça muitas organizações, em particular os usuários de computador. Ele também menciona algumas das famílias de malware predominantes e traz à luz o método que os invasores usam para instalar esses rootkits para seus próprios fins egoístas em sistemas saudáveis. No restante do relatório, você encontrará especialistas fazendo algumas recomendações para ajudar os usuários a mitigar a ameaça dos rootkits.

Tipos de rootkits

Há muitos locais em que um malware pode se instalar em um sistema operacional. Então, principalmente, o tipo de rootkit é determinado por sua localização onde ele executa sua subversão do caminho de execução. Isso inclui:

1. Rootkits do modo de usuário
2. Rootkits do Modo Kernel
3. Rootkits / bootkits MBR

O efeito possível de um comprometimento do rootkit no modo kernel é ilustrado por uma captura de tela abaixo.

modifique o Master Boot Record para obter o controle do sistema e iniciar o processo de carregamento do primeiro ponto possível na sequência de inicialização3. Ele oculta arquivos, modificações de registro, evidências de conexões de rede e outros possíveis indicadores que podem indicar sua presença.

Famílias notáveis ​​de malware que usam a funcionalidade do Rootkit

Win32 / Sinowal 13 - Uma família de componentes múltiplos malware que tenta roubar dados confidenciais, como nomes de usuário e senhas de sistemas diferentes. Isso inclui tentar roubar detalhes de autenticação para uma variedade de contas FTP, HTTP e de email, bem como credenciais usadas para operações bancárias online e outras transações financeiras.

Win32 / Cutwail 15 - Um cavalo de Troia que baixa e executa arbitrariamente arquivos. Os arquivos baixados podem ser executados a partir do disco ou injetados diretamente em outros processos. Embora a funcionalidade dos arquivos baixados seja variável, o Cutwail geralmente baixa outros componentes que enviam spam.

Ele usa um rootkit no modo kernel e instala vários drivers de dispositivo para ocultar seus componentes dos usuários afetados.

Win32 / Rustock - Uma família de múltiplos componentes de Trojans de backdoor habilitados para rootkit, inicialmente desenvolvida para auxiliar na distribuição de email de “spam” por meio de um botnet. Uma rede de bots é uma grande rede de computadores comprometidos controlada pelo invasor

Proteção contra rootkits

Evitar a instalação de rootkits é o método mais eficaz para evitar a infecção por rootkits. Para isso, é necessário investir em tecnologias de proteção, como antivírus e firewall. Esses produtos devem ter uma abordagem abrangente à proteção usando detecção baseada em assinatura tradicional, detecção heurística, capacidade de assinatura dinâmica e responsiva e monitoramento de comportamento.

Todos esses conjuntos de assinaturas devem ser mantidos atualizados usando um mecanismo de atualização automatizado. As soluções antivírus da Microsoft incluem uma série de tecnologias projetadas especificamente para mitigar rootkits, incluindo monitoramento de comportamento de kernel ativo que detecta e relata tentativas de modificar o kernel de um sistema afetado e direciona a análise do sistema de arquivos que facilita a identificação e remoção de drivers ocultos. Se um sistema for encontrado comprometido, uma ferramenta adicional que permita inicializar em um ambiente conhecido ou confiável pode ser útil, pois pode sugerir algumas medidas de correção apropriadas.

Em tais circunstâncias,

A ferramenta Varredura de Sistema Independente (parte do conjunto de ferramentas de recuperação e diagnósticos da Microsoft (DaRT)

1. Windows Defender Offline pode ser útil.
2. Para obter mais informações, você pode baixar o relatório em PDF do Centro de Download da Microsoft.