Угроза заражения вирусом очень реальна. Вездесущность невидимых сил, работающих над атаками на наши компьютеры, с целью кражи наших личных данных и обыска на наших банковских счетах, является постоянной величиной, но мы надеемся, что при правильном количестве технических средств и немного удачи, все будет хорошо.
Тем не менее, несмотря на то, что антивирусы и другие программы обеспечения безопасности являются продвинутыми, потенциальные злоумышленники продолжают находить новые дьявольские векторы, способные нарушить работу вашей системы. Буткит является одним из них. Несмотря на то, что они не совсем новы на сцене вредоносных программ, наблюдается их общий рост и определенное расширение их возможностей.
Давайте посмотрим, что такое буткит, рассмотрим вариант буткита, Nemesis, и рассмотрим, что вы можете сделать, чтобы оставаться в стороне. .
Что такое буткит?
Чтобы понять, что такое буткит, мы сначала объясним, откуда взялась терминология. Буткит — это разновидность руткита, типа вредоносного ПО, способного скрывать себя от вашей операционной системы и антивирусного программного обеспечения. Руткиты, как известно, трудно обнаружить и удалить. Каждый раз, когда вы запускаете свою систему, руткит будет предоставлять злоумышленнику непрерывный доступ на уровне root.
Руткит может быть установлен по ряду причин. Иногда руткит будет использоваться для установки большего количества вредоносных программ, иногда он будет использоваться для создания «зомби» компьютера внутри ботнета. , его можно использовать для кражи ключей и паролей шифрования или комбинации этих и других векторов атак.
Руткиты на уровне загрузчика (bootkit) заменяют или изменяют законный загрузчик на дизайн одного из атакующих, влияя на основную загрузочную запись, объемную загрузочную запись или другие загрузочные сектора. Это означает, что заражение может быть загружено раньше операционной системы, и, таким образом, может подорвать любые программы обнаружения и уничтожения.
Их использование находится на подъеме, и эксперты по безопасности отметили ряд атак, направленных на денежные сервисы, из которых «Немезида» является одной из самых последних наблюдаемых вредоносных экосистем.
Немезида безопасности?
Нет, не фильм « Звездный путь », а особенно неприятный вариант буткита. Вредоносная экосистема Nemesis обладает широким спектром возможностей атаки, включая передачу файлов, захват экрана, запись нажатий клавиш, внедрение процессов, манипулирование процессами и планирование задач. FireEye, компания по кибербезопасности, которая впервые обнаружила Nemesis, также указала, что вредоносная программа включает в себя комплексную систему поддержки бэкдора для ряда сетевых протоколов и каналов связи, позволяющую обеспечить более высокий уровень команд и контроля после установки.
В системе Windows главная загрузочная запись (MBR) хранит информацию, касающуюся диска, такую как количество и расположение разделов. MBR жизненно важен для процесса загрузки, содержит код, который находит активный первичный раздел. Как только это найдено, управление передается в загрузочную запись тома (VBR), которая находится в первом секторе отдельного раздела.
Буткит Nemesis захватывает этот процесс. Вредоносная программа создает пользовательскую виртуальную файловую систему для хранения компонентов Nemesis в нераспределенном пространстве между разделами, угоняя исходный VBR путем перезаписи исходного кода собственным, в системе, получившей название «BOOTRASH».
«Перед установкой установщик BOOTRASH собирает статистику о системе, включая версию операционной системы и архитектуру. Программа установки может развертывать 32-разрядные или 64-разрядные версии компонентов Nemesis в зависимости от архитектуры процессора системы. Установщик установит загрузочный комплект на любой жесткий диск с загрузочным разделом MBR, независимо от конкретного типа жесткого диска. Однако, если раздел использует архитектуру диска таблицы разделов GUID, в отличие от схемы разбиения MBR, вредоносная программа не будет продолжать процесс установки ».
Затем каждый раз, когда вызывается раздел, вредоносный код внедряет ожидающие компоненты Nemesis в Windows. В результате «место установки вредоносного ПО также означает, что оно будет сохраняться даже после переустановки операционной системы, которая считается наиболее эффективным способом уничтожения вредоносного ПО», оставляя тяжелую борьбу за чистую систему.
Как ни странно, экосистема вредоносных программ Nemesis действительно имеет собственную функцию удаления. Это восстановит исходный загрузочный сектор и удалит вредоносное ПО из вашей системы, но только в том случае, если злоумышленникам потребуется удалить вредоносное ПО по собственному желанию.
UEFI Безопасная загрузка
Загрузочный комплект Nemesis сильно повлиял на финансовые организации, чтобы собрать данные и отобрать средства. Их использование не удивляет старшего инженера по техническому маркетингу Intel Брайана Ричардсона , который отмечает, что «загрузочные руткиты и руткиты MBR были вектором вирусной атаки со времен« Вставьте диск в A: и нажмите ENTER, чтобы продолжить ». Он объяснил, что Несмотря на то, что Nemesis, несомненно, представляет собой чрезвычайно опасную вредоносную программу, она может не так легко повлиять на вашу домашнюю систему.
Системы Windows, созданные за последние несколько лет, вероятно, будут отформатированы с использованием таблицы разделов GUID, а базовое встроенное ПО основано на UEFI. Вредоносная часть создания виртуальной файловой системы BOOTRASH основана на устаревшем прерывании диска, которого не будет в системах, загружающихся с UEFI, в то время как проверка подписи UEFI Secure Boot блокирует загрузочный комплект во время процесса загрузки.
Таким образом, те более новые системы, предустановленные с Windows 8 или Windows 10, вполне могут быть избавлены от этой угрозы, по крайней мере сейчас. Тем не менее, это иллюстрирует серьезную проблему с крупными компаниями, которые не могут обновить свое ИТ-оборудование. Те компании, которые все еще используют Windows 7, и во многих местах все еще используют Windows XP , подвергают себя и своих клиентов серьезной финансовой угрозе и угрозе данных.
Яд, Средство
Руткиты — хитрые операторы. Мастера запутывания, они предназначены для управления системой как можно дольше, собирая как можно больше информации в течение этого времени. Компании-производители антивирусов и вредоносных программ приняли к сведению, и теперь пользователям доступно несколько приложений для удаления руткитов :
- Malwarebytes Anti-Rootkit Beta
- Лаборатория Касперского TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER — расширенное приложение, требующее удаления вручную
Даже имея шанс на успешное удаление в продаже, многие эксперты по безопасности соглашаются с тем, что единственный способ быть уверенным в чистоте системы на 99% — это полный формат диска, поэтому обязательно сохраняйте резервную копию своей системы!
Вы испытали руткит или даже буткит? Как вы очистили свою систему? Дайте нам знать ниже!