BlueHat v18 || Return of the kernel rootkit malware (on windows 10)
Microsoft Malware Protection Center ได้จัดทำขึ้นเพื่อดาวน์โหลดรายงานภัยคุกคามของ Rootkits ได้ที่นี่ รายงานนี้จะตรวจสอบประเภทที่ร้ายกาจขององค์กรที่เป็นอันตรายและบุคคลที่เป็นอันตรายในปัจจุบัน - rootkit รายงานจะตรวจสอบว่าผู้โจมตีใช้ rootkits และวิธีการทำงานของ rootkit บนคอมพิวเตอร์ที่ได้รับผลกระทบ นี่คือส่วนสำคัญของรายงานโดยเริ่มจาก Rootkits - สำหรับผู้เริ่มใช้งาน
Rootkit คือชุดเครื่องมือที่ผู้โจมตีหรือผู้สร้างมัลแวร์ใช้ในการควบคุมระบบที่ถูกเปิดเผย / ไม่มีหลักประกันซึ่งเป็นอย่างอื่น สงวนไว้สำหรับผู้ดูแลระบบเท่านั้น ในช่วงไม่กี่ปีที่ผ่านมาคำว่า `ROOTKIT` หรือ `ROOTKIT FUNCTIONALITY` ถูกแทนที่โดย MALWARE ซึ่งเป็นโปรแกรมที่ออกแบบมาเพื่อให้มีผลกระทบที่ไม่พึงประสงค์ต่อคอมพิวเตอร์ที่มีสุขภาพดี ฟังก์ชั่นที่สำคัญของมัลแวร์คือการดึงข้อมูลที่มีค่าและทรัพยากรอื่น ๆ จากคอมพิวเตอร์ของผู้ใช้อย่างลับๆและให้ข้อมูลแก่ผู้โจมตีซึ่งจะทำให้เขาสามารถควบคุมคอมพิวเตอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์ นอกจากนี้ยังสามารถตรวจจับและถอดออกได้ยากและสามารถซ่อนตัวอยู่ได้เป็นเวลานาน ๆ โดยอาจเป็นปีหากไม่มีใครสังเกตเห็นอย่างชัดถ้อยชัดคำอาการของคอมพิวเตอร์ที่ถูกบุกรุกจะต้องถูกสวมหน้ากากและนำมาพิจารณาก่อนที่ผลการพิสูจน์จะเสียชีวิต โดยเฉพาะมาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้นควรมีการค้นพบการโจมตี อย่างไรก็ตามตามที่ระบุไว้เมื่อมีการติดตั้ง rootkits / มัลแวร์ความสามารถในการลักลอบทำให้ยากที่จะนำออกและส่วนประกอบที่อาจดาวน์โหลดออก ด้วยเหตุนี้ Microsoft จึงสร้างรายงานเกี่ยวกับ ROOTKITS
รายงานภัยคุกคามจากมัลแวร์ไมโครซอฟท์เกี่ยวกับ Rootkits
รายงาน 16 หน้าระบุถึงวิธีที่ผู้โจมตีใช้ rootkits และวิธีรูทคิทเหล่านี้ทำงานบนคอมพิวเตอร์ที่ได้รับผลกระทบ
วัตถุประสงค์ของรายงานคือการระบุและตรวจสอบอย่างใกล้ชิดมัลแวร์ที่มีศักยภาพที่คุกคามหลายองค์กรโดยเฉพาะผู้ใช้คอมพิวเตอร์ นอกจากนี้ยังกล่าวถึงบางส่วนของครอบครัวมัลแวร์ที่แพร่หลายและนำมาสู่แสงวิธีการโจมตีที่ใช้ในการติดตั้ง rootkits เหล่านี้เพื่อวัตถุประสงค์ในการเห็นแก่ตัวของตนเองในระบบสุขภาพ ในส่วนที่เหลือของรายงานคุณจะพบผู้เชี่ยวชาญทำการแนะนำเพื่อช่วยผู้ใช้ลดภัยคุกคามจาก rootkit
ประเภท rootkit
มีหลายแห่งที่มัลแวร์สามารถติดตั้งตัวเองลงในระบบปฏิบัติการได้ ดังนั้นส่วนใหญ่ชนิดของ rootkit จะถูกกำหนดโดยตำแหน่งของมันที่จะดำเนินการโค่นล้มของเส้นทางการดำเนินการ
Rootkits / bootkits MBR
- ผลกระทบที่เป็นไปได้ของการประนีประนอม rootkit ในโหมดเคอร์เนลจะแสดงผ่านภาพหน้าจอด้านล่าง
- ประเภทที่สาม, แก้ไข Master Boot Record เพื่อควบคุมระบบและเริ่มกระบวนการโหลดจุดที่เร็วที่สุดในลำดับการบูต 3 มันซ่อนแฟ้มการปรับเปลี่ยนรีจิสทรีหลักฐานของการเชื่อมต่อเครือข่ายรวมทั้งตัวบ่งชี้ที่เป็นไปได้อื่น ๆ ที่สามารถบ่งบอกถึงสถานะของตน
- ตระกูลมัลแวร์เด่นที่ใช้ฟังก์ชันการทำงานของ Rootkit
Win32 / Sinowal
13 - มัลแวร์ที่พยายามขโมยข้อมูลสำคัญเช่นชื่อผู้ใช้และรหัสผ่านสำหรับระบบต่างๆ ซึ่งรวมถึงการพยายามขโมยข้อมูลรับรองความถูกต้องสำหรับบัญชี FTP, HTTP และอีเมลจำนวนมากรวมทั้งข้อมูลรับรองที่ใช้สำหรับการธนาคารออนไลน์และธุรกรรมทางการเงินอื่น ๆ
Win32 / Cutwail
15 - โทรจันที่ดาวน์โหลดและดำเนินการโดยพลการ ไฟล์ ไฟล์ที่ดาวน์โหลดมาอาจทำงานจากดิสก์หรือฉีดเข้าไปในกระบวนการอื่นโดยตรง ในขณะที่ฟังก์ชันการทำงานของไฟล์ที่ดาวน์โหลดมีตัวแปร Cutwail มักจะดาวน์โหลดส่วนประกอบอื่น ๆ ที่ส่งสแปม ใช้ rootkit ในโหมดเคอร์เนลและติดตั้งไดร์เวอร์อุปกรณ์ต่างๆเพื่อซ่อนส่วนประกอบจากผู้ใช้ที่ได้รับผลกระทบ
Win32 / Rustock - ตระกูลแบ็คดอร์ชนิดแบคทีเรียที่มี rootkit หลายตัวได้พัฒนามาเพื่อช่วยในการแจกจ่ายอีเมล "spam" ผ่าน
botnet
botnet เป็นเครือข่ายคอมพิวเตอร์บุกรุกที่ควบคุมโดยผู้โจมตีรายใหญ่ การป้องกัน rootkits การป้องกันการติดตั้ง rootkits เป็นวิธีที่มีประสิทธิภาพมากที่สุดเพื่อหลีกเลี่ยงการติดไวรัสโดย rootkits สำหรับเรื่องนี้จำเป็นต้องลงทุนในเทคโนโลยีป้องกันเช่นผลิตภัณฑ์ป้องกันไวรัสและไฟร์วอลล์ ผลิตภัณฑ์ดังกล่าวควรใช้วิธีการป้องกันแบบครอบคลุมโดยใช้การตรวจจับแบบลายมือชื่อแบบดั้งเดิมการตรวจจับพฤติกรรมแบบฮิวริสติกการตรวจจับพฤติกรรมแบบไดนามิกและตอบสนองและการตรวจสอบพฤติกรรม ชุดลายเซ็นทั้งหมดควรได้รับการอัปเดตโดยใช้กลไกการอัปเดตอัตโนมัติ โซลูชันการป้องกันไวรัสของ Microsoft ประกอบด้วยเทคโนโลยีจำนวนมากที่ออกแบบมาเพื่อลด rootkits ซึ่งรวมถึงการตรวจสอบพฤติกรรมเคอร์เนลแบบสดที่ตรวจจับและรายงานเกี่ยวกับความพยายามแก้ไขเคอร์เนลของระบบที่ได้รับผลกระทบและการแยกวิเคราะห์ไฟล์ระบบโดยตรงที่ช่วยในการระบุและลบไดรเวอร์ที่ซ่อนอยู่ < หากพบว่าระบบถูกบุกรุกแล้วเครื่องมือเพิ่มเติมที่ช่วยให้คุณสามารถบู๊ตสู่สภาพแวดล้อมที่ดีหรือเชื่อถือได้อาจเป็นประโยชน์เพราะอาจแนะนำมาตรการฟื้นฟูที่เหมาะสม
ในกรณีดังกล่าว
เครื่องมือ System Sweeper แบบสแตนด์อโลน
Windows Defender Offline อาจเป็นประโยชน์
สำหรับข้อมูลเพิ่มเติมคุณสามารถดาวน์โหลดรายงาน PDF จาก Microsoft Download Center
พูดคุยเกี่ยวกับ Cloud เกี่ยวกับ Cloud แต่ถือกลับ Fusion
หัวหน้าฝ่ายพัฒนาของ Oracle กล่าวถึงกลยุทธ์ Cloud Computing แต่ยังคงนิ่งเงียบกับ Fusion Applications ในวันอังคาร <
บทสัมภาษณ์: Jeffrey Steefel เกี่ยวกับ LOTRO Mines of Moria ส่วนที่หนึ่ง
เหมืองแร่ของ Turbine ที่ Moria ขยายไปสู่ " พวกเขาทั้งหมด "ในวันนี้และเราได้รับข่าวจากการสัมภาษณ์สี่ส่วนกับ Lord Jefferson Steefel จาก Lord of the Rings Online
บทสัมภาษณ์: Jeffrey Steefel เกี่ยวกับ LOTRO Mines of Moria ส่วนที่สอง
เหมืองแร่ของ Turbine ที่ Moria ขยายไปสู่ "MMO จินตนาการหนึ่งในการปกครอง พวกเขาทั้งหมด "ในวันนี้และเราได้ลุ้นกับ Lord of the Rings Online ผู้อำนวยการสร้าง Jeffrey Steefel