Mikä on Bootkit ja onko Nemesis aito uhka?

Mikä on Bootkit ja onko Nemesis aito uhka?

Viruksen tarttumisen uhka on hyvin todellinen. Näkymättömien voimien kaikkialla läsnäolo, jotka työskentelevät hyökätäksemme tietokoneitamme vastaan, varastaaksemme henkilöllisyytemme ja ryöstääksemme pankkitilimme, on jatkuvaa, mutta toivomme, että oikea määrä teknistä kohinaa ja onnea, kaikki on kunnossa.





joku hakkasi psn -tilini, miten saan sen takaisin

Kuitenkin niin edistyneenä kuin virustorjunta ja muut suojausohjelmistot ovat, mahdolliset hyökkääjät löytävät edelleen uusia, pirullisia vektoreita järjestelmän häiritsemiseksi. Bootkit on yksi niistä. Vaikka ne eivät ole täysin uusia haittaohjelmakohtauksissa, niiden käyttö on yleistynyt ja niiden ominaisuuksia on selkeästi tehostettu.



Katsotaanpa mitä bootkit on, tutkitaan bootkitin variantti Nemesis ja mieti mitä voit tehdä pysyäksesi selvänä .





Mikä on Bootkit?

Jotta ymmärrämme, mitä bootkit on, selitämme ensin, mistä terminologia tulee. Bootkit on muunnelma rootkitista, haittaohjelmatyypistä, joka kykenee piilottamaan käyttöjärjestelmän ja virustentorjuntaohjelmiston. Juuripaketteja on tunnetusti vaikea havaita ja poistaa. Aina kun käynnistät järjestelmän, rootkit antaa hyökkääjälle jatkuvan pääsyn järjestelmään.

Rootkit voidaan asentaa useista syistä. Joskus juuripakettia käytetään asentamaan enemmän haittaohjelmia, joskus sitä käytetään zombie -tietokoneen luomiseen botnet -verkkoon, sitä voidaan käyttää salausavainten ja salasanojen varastamiseen tai näiden ja muiden hyökkäysvektoreiden yhdistelmään.



Boot-loader-tason (bootkit) juuripaketit korvaavat tai muokkaavat laillista käynnistyslatainta jollakin sen hyökkääjien suunnittelemalla tavalla, mikä vaikuttaa Master Boot Record-, Volume Boot Record- tai muihin käynnistysaloihin. Tämä tarkoittaa, että infektio voidaan ladata ennen käyttöjärjestelmää, ja se voi kumota kaikki havaitsemis- ja tuhoamisohjelmat.

Niiden käyttö on kasvussa, ja turvallisuusasiantuntijat ovat havainneet useita rahapalveluihin kohdistuvia hyökkäyksiä, joista Nemesis on yksi viimeisimmistä havaituista haittaohjelmien ekosysteemeistä.



Turva Nemesis?

Ei, ei a Star Trek elokuva, mutta erityisen ilkeä muunnelma bootkitista. Nemesis -haittaohjelmien ekosysteemissä on laaja valikoima hyökkäysominaisuuksia, kuten tiedostonsiirto, näytön kaappaus, näppäinpainallusten kirjaus, prosessin injektio, prosessin käsittely ja tehtävien ajoitus. FireEye, kyberturvallisuusyritys, joka havaitsi Nemesisin ensimmäisen kerran, ilmoitti myös, että haittaohjelma sisältää kattavan takaoven tukijärjestelmän useille verkkoprotokollille ja viestintäkanaville, mikä mahdollistaa paremman hallinnan ja hallinnan asennuksen jälkeen.

Windows -järjestelmässä Master Boot Record (MBR) tallentaa levylle liittyvät tiedot, kuten osioiden määrän ja asettelun. MBR on elintärkeä käynnistysprosessille, ja se sisältää koodin, joka löytää aktiivisen ensisijaisen osion. Kun tämä on löydetty, ohjaus siirretään Volume Boot Record (VBR) -levylle, joka sijaitsee yksittäisen osion ensimmäisellä sektorilla.



Nemesis -käynnistyspaketti kaappaa tämän prosessin. Haittaohjelma luo mukautetun virtuaalisen tiedostojärjestelmän Nemesis -komponenttien tallentamiseksi jakamattomalle alueelle osioiden välille ja kaappaa alkuperäisen VBR -tiedoston korvaamalla alkuperäisen koodin omallaan järjestelmässä, jonka nimi on BOOTRASH.

'BOOTRASH -asennusohjelma kerää ennen asennusta tilastoja järjestelmästä, mukaan lukien käyttöjärjestelmän version ja arkkitehtuurin. Asentaja pystyy ottamaan käyttöön Nemesis-komponenttien 32- tai 64-bittiset versiot järjestelmän suoritinarkkitehtuurista riippuen. Asentaja asentaa käynnistyspaketin mille tahansa kiintolevylle, jossa on MBR -käynnistysosio kiintolevyn tyypistä riippumatta. Jos osio kuitenkin käyttää GUID -osiotaulukon levyarkkitehtuuria, toisin kuin MBR -osiointimallia, haittaohjelma ei jatka asennusta. ''

Sitten, aina kun osio kutsutaan, haittaohjelma syöttää odottavat Nemesis -komponentit Windowsiin. Tuloksena , 'haittaohjelman asennuspaikka tarkoittaa myös sitä, että se säilyy myös käyttöjärjestelmän uudelleenasennuksen jälkeen, ja sitä pidetään laajalti tehokkaimpana tapana poistaa haittaohjelmat', mikä jättää ylämäkeen taistelun puhtaan järjestelmän puolesta.

Hassua kyllä, Nemesis -haittaohjelmien ekosysteemi sisältää oman poistotoiminnon. Tämä palauttaisi alkuperäisen käynnistyssektorin ja poistaisi haittaohjelman järjestelmästäsi - mutta vain siinä tapauksessa, että hyökkääjien on poistettava haittaohjelma omasta tahdostaan.

UEFI Secure Boot

Nemesis -käynnistyspaketti on vaikuttanut suurelta osin rahoitusorganisaatioihin tietojen keräämiseksi ja varojen poistamiseksi. Niiden käyttö ei yllätä Intelin vanhempaa teknistä markkinointiinsinööriä, Brian Richardson , WHO muistiinpanoja 'MBR -käynnistys- ja juuripaketit ovat olleet virushyökkäysvektoreita' Levyn lisääminen A: hen: ja jatka painamalla ENTER -päivää '. Hän selitti, että vaikka Nemesis on epäilemättä erittäin vaarallinen haittaohjelma, se ei välttämättä vaikuta kotijärjestelmään niin helposti.

kuinka saada raitoja snapchatista

Viime vuosina luodut Windows -järjestelmät on todennäköisesti alustettu käyttämällä GUID -osiotaulukkoa, jonka taustalla on UEFI -pohjainen laiteohjelmisto. Haittaohjelman BOOTRASH -virtuaalitiedostojärjestelmän luomisosa perustuu vanhaan levyn keskeytykseen, jota ei ole UEFI -järjestelmässä käynnistyvissä järjestelmissä, kun taas UEFI -suojatun käynnistyksen allekirjoituksen tarkistus estäisi käynnistyspaketin käynnistysprosessin aikana.

Joten ne uudemmat järjestelmät, jotka on esiasennettu Windows 8: een tai Windows 10: een, voidaan ehkä vapauttaa tästä uhasta ainakin toistaiseksi. Se kuvaa kuitenkin suurta ongelmaa, jossa suuret yritykset eivät pysty päivittämään IT -laitteistoaan. Nämä yritykset käyttävät edelleen Windows 7: tä ja monissa paikoissa edelleen Windows XP: tä käyttäessään altistavat itsensä ja asiakkaansa suurelle taloudelliselle ja tietoturvauhalle.

Myrkky, Korjaus

Rootkitit ovat hankalia operaattoreita. Hämmennyksen päälliköt, ne on suunniteltu hallitsemaan järjestelmää mahdollisimman pitkään ja keräämään mahdollisimman paljon tietoa koko ajan. Virustentorjunta- ja haittaohjelmistoyritykset ovat ottaneet huomioon ja useita rootkit -paketteja poistosovellukset ovat nyt käyttäjien saatavilla :

Vaikka mahdollisuus onnistuneeseen poistamiseen on tarjolla, monet tietoturva -asiantuntijat ovat yhtä mieltä siitä, että ainoa tapa olla 99% varma puhtaasta järjestelmästä on täydellinen asema - joten muista varmuuskopioida järjestelmäsi!

Oletko kokenut rootkit tai jopa bootkit? Miten puhdistat järjestelmän? Kerro meille alla!

Jaa Jaa Tweet Sähköposti 3 tapaa tarkistaa, onko sähköposti oikea tai väärennetty

Jos olet saanut sähköpostin, joka näyttää hieman kyseenalaiselta, on aina parasta tarkistaa sen aitous. Tässä on kolme tapaa kertoa, onko sähköposti oikea.

Lue seuraava Liittyvät aiheet
  • Turvallisuus
  • Levyosio
  • Hakkerointi
  • Tietokoneen turvallisuus
  • Haittaohjelma
Kirjailijasta Gavin Phillips(945 artikkelia julkaistu)

Gavin on Windows- ja Technology Explainedin Junior Editor, säännöllisesti Really Hyödyllisen podcastin toimittaja ja säännöllinen tuotearvioija. Hänellä on BA (Hons) Contemporary Writing ja digitaaliset taidekäytännöt, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattikirjallinen kokemus. Hän nauttii runsaasti teetä, lautapelejä ja jalkapalloa.

Lisää Gavin Phillipsiltä

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi