Kas yra „Bootkit“ ir ar „Nemesis“ yra tikra grėsmė?

Kas yra „Bootkit“ ir ar „Nemesis“ yra tikra grėsmė?

Grėsmė užsikrėsti virusu yra labai reali. Nematomų jėgų, dirbančių atakuoti mūsų kompiuterius, pavogti mūsų tapatybę ir apiplėšti mūsų banko sąskaitas, nuolatinis buvimas, tačiau tikimės, kad su reikiamas techninis kiekis ir truputis sėkmės, viskas bus gerai.





„Wi -Fi“ adapteris neveikia „Windows 10“

Tačiau, kaip pažengusi antivirusinė ir kita saugumo programinė įranga, būsimi užpuolikai ir toliau randa naujų, velniškų vektorių, kurie sutrikdytų jūsų sistemą. „Bootkit“ yra vienas iš jų. Nors tai nėra visiškai nauja kenkėjiškų programų scena, jų naudojimas vis dažniau išaugo ir neabejotinai sustiprėjo jų galimybės.



Pažiūrėkime, kas yra „bootkit“, išnagrinėkime „Bootkit“ variantą „Nemesis“ ir pagalvokite, ką galite padaryti, kad būtumėte aiškus .





Kas yra „Bootkit“?

Norėdami suprasti, kas yra įkrovos rinkinys, pirmiausia paaiškinsime, iš kur kilusi terminija. „Bootkit“ yra „rootkit“ variantas, kenkėjiškų programų tipas, galintis paslėpti jūsų operacinę sistemą ir antivirusinę programinę įrangą. Šaknų rinkinius yra labai sunku aptikti ir pašalinti. Kiekvieną kartą įjungus sistemą, rootkit suteiks užpuolikui nuolatinę prieigą prie sistemos.

„Rootkit“ galima įdiegti dėl daugybės priežasčių. Kartais „rootkit“ bus naudojamas įdiegti daugiau kenkėjiškų programų, kartais jis bus sukurtas „zombių“ kompiuteriui robotų tinkle, jis gali būti naudojamas pavogti šifravimo raktus ir slaptažodžius arba šių ir kitų atakų vektorių derinį.



„Boot-loader“ lygio („bootkit“) šakniniai rinkiniai pakeičia arba modifikuoja teisėtą įkrovos įkėlimo programą, sukurdami vieną iš jos užpuolikų dizaino, paveikdami pagrindinį įkrovos įrašą, „Volume Boot Record“ ar kitus įkrovos sektorius. Tai reiškia, kad infekcija gali būti įkelta prieš operacinę sistemą ir taip gali sugriauti bet kokias aptikimo ir sunaikinimo programas.

Jų vis daugėja, o saugumo ekspertai pastebėjo daugybę išpuolių, nukreiptų į pinigines paslaugas, iš kurių „Nemesis“ yra viena iš naujausių kenkėjiškų programų ekosistemų.



Saugumo nemesis?

Ne, ne a Žvaigždžių kelias filmas, bet ypač bjaurus „bootkit“ variantas. „Nemesis“ kenkėjiškų programų ekosistemoje yra daugybė atakos galimybių, įskaitant failų perdavimą, ekrano užfiksavimą, klavišų paspaudimų registravimą, procesų įvedimą, proceso manipuliavimą ir užduočių planavimą. „FireEye“, kibernetinio saugumo bendrovė, pirmą kartą pastebėjusi „Nemesis“, taip pat nurodė, kad kenkėjiška programa apima išsamią užpakalinių durų palaikymo sistemą, skirtą įvairiems tinklo protokolams ir ryšio kanalams, leidžiančius geriau valdyti ir valdyti, kai tik jie bus įdiegti.

„Windows“ sistemoje pagrindinis įkrovos įrašas (MBR) saugo su disku susijusią informaciją, pvz., Skaidinių skaičių ir išdėstymą. MBR yra gyvybiškai svarbus įkrovos procesui, jame yra kodas, kuris nustato aktyvų pirminį skaidinį. Kai tai bus nustatyta, valdymas bus perduotas „Volume Boot Record“ (VBR), esančiam pirmajame atskiro skaidinio sektoriuje.



„Nemesis“ įkrovos rinkinys užgrobia šį procesą. Kenkėjiška programa sukuria pasirinktinę virtualią failų sistemą, kad „Nemesis“ komponentai būtų saugomi nepaskirstytoje erdvėje tarp skaidinių, užgrobiant pradinį VBR, perrašant originalų kodą savo sistemoje sistemoje, pavadintoje „BOOTRASH“.

„Prieš diegdamas„ BOOTRASH “diegimo programa renka sistemos statistiką, įskaitant operacinės sistemos versiją ir architektūrą. Diegimo programa gali įdiegti 32 arba 64 bitų „Nemesis“ komponentų versijas, priklausomai nuo sistemos procesoriaus architektūros. Diegimo programa įdiegs įkrovos paketą bet kuriame standžiajame diske, kuriame yra MBR įkrovos skaidinys, neatsižvelgiant į konkretaus tipo kietąjį diską. Tačiau jei skaidinys naudoja GUID skaidinių lentelės disko architektūrą, o ne MBR skaidymo schemą, kenkėjiška programa nebus tęsiama diegiant. “

Tada, kiekvieną kartą iškviečiant skaidinį, kenkėjiškas kodas į „Windows“ įveda laukiančius „Nemesis“ komponentus. Kaip rezultatas , „kenkėjiškos programos diegimo vieta taip pat reiškia, kad ji išliks net ir iš naujo įdiegus operacinę sistemą, kuri plačiai laikoma efektyviausiu kenkėjiškų programų naikinimo būdu“, ir tai palieka įkalnę dėl švarios sistemos.

Įdomu tai, kad „Nemesis“ kenkėjiškų programų ekosistema turi savo pašalinimo funkciją. Tai atkurtų pradinį įkrovos sektorių ir pašalintų kenkėjiškas programas iš jūsų sistemos, tačiau tai yra tik tuo atveju, jei užpuolikai turi pašalinti kenkėjiškas programas savo noru.

„UEFI Secure Boot“

„Nemesis“ įkrovos rinkinys iš esmės paveikė finansines organizacijas, siekdamas surinkti duomenis ir pašalinti lėšas. Jų naudojimas nestebina „Intel“ vyresniojo techninės rinkodaros inžinieriaus, Brianas Richardsonas , PSO Pastabos „MBR įkrovos rinkiniai ir šakniniai rinkiniai buvo virusų atakų vektorius nuo„ Įterpti diską į A: “ir paspauskite ENTER, kad tęstumėte. Jis paaiškino, kad nors „Nemesis“ neabejotinai yra labai pavojinga kenkėjiškų programų dalis, ji gali ne taip greitai paveikti jūsų namų sistemą.

kaip pakeisti „Instagram“ pokalbių spalvą

Per pastaruosius kelerius metus sukurtos „Windows“ sistemos greičiausiai bus suformatuotos naudojant GUID skaidinių lentelę, o pagrindinė programinė įranga bus pagrįsta UEFI. Kenkėjiškos programos BOOTRASH virtualios failų sistemos kūrimo dalis priklauso nuo pasenusio disko pertraukimo, kurio nebus sistemose, paleistose naudojant UEFI, o UEFI saugaus įkrovos parašo tikrinimas užblokuotų įkrovos paketą įkrovos proceso metu.

Taigi tos naujesnės sistemos, iš anksto įdiegtos su „Windows 8“ arba „Windows 10“, bent jau dabar gali būti atleistos nuo šios grėsmės. Tačiau tai iliustruoja pagrindinę problemą, kai didelės įmonės nesugeba atnaujinti savo IT įrangos. Tos įmonės vis dar naudoja „Windows 7“ ir daugelyje vietų vis dar naudojantys „Windows XP“, jie patys ir savo klientai susiduria su didele finansine ir duomenų grėsme.

Nuodai, vaistas

„Rootkits“ yra sudėtingi operatoriai. Sumišimo meistrai, jie skirti kuo ilgiau valdyti sistemą, surinkti kuo daugiau informacijos per tą laiką. Antivirusinės ir kenkėjiškų programų bendrovės atkreipė dėmesį ir į daugybę „rootkit“ pašalinimo programos dabar yra prieinamos vartotojams :

Net ir turėdami galimybę sėkmingai pašalinti siūlomą turinį, daugelis saugumo ekspertų sutinka, kad vienintelis būdas 99% įsitikinti, kad sistema yra švari, yra visas disko formatas - todėl būtinai sukurkite atsarginę sistemos kopiją!

Ar patyrėte „rootkit“ ar net „bootkit“? Kaip jūs išvalėte savo sistemą? Praneškite mums žemiau!

Dalintis Dalintis „Tweet“ Paštu 3 būdai, kaip patikrinti, ar el

Jei gavote el. Laišką, kuris atrodo šiek tiek abejotinas, visada geriausia patikrinti jo autentiškumą. Štai trys būdai, kaip sužinoti, ar el.

Skaityti toliau Susijusios temos
  • Saugumas
  • Disko skaidinys
  • Įsilaužimas
  • Kompiuterio saugumas
  • Kenkėjiška programa
Apie autorių Gavinas Phillipsas(Paskelbti 945 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Tikrai naudingos podcast“ dalyvis ir nuolatinis produktų apžvalgininkas. Jis turi šiuolaikinio rašymo bakalauro laipsnį (Hons) ir skaitmeninio meno praktiką, išplėštą iš Devono kalvų, taip pat turi daugiau nei dešimtmetį profesinės rašymo patirties. Jis mėgsta daugybę arbatos, stalo žaidimų ir futbolo.

Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia