Laporan Ancaman Pusat Perlindungan Malware Microsoft pada Rootkits

Pusat Perlindungan Malware Microsoft telah tersedia untuk mengunduh Laporan Ancamannya di Rootkits. Laporan ini meneliti salah satu jenis malware berbahaya yang mengancam organisasi dan individu saat ini - rootkit. Laporan ini memeriksa bagaimana penyerang menggunakan rootkit, dan bagaimana fungsi rootkit pada komputer yang terpengaruh. Berikut adalah intisari laporan, dimulai dengan apa yang Rootkits - untuk pemula.

Rootkit adalah seperangkat alat yang digunakan penyerang atau pencipta malware untuk mengontrol sistem apa pun yang terbuka / tidak aman yang sebaliknya adalah biasanya disediakan untuk administrator sistem. Dalam beberapa tahun terakhir, istilah `ROOTKIT` atau `ROOTKIT FUNCTIONALITY` telah digantikan oleh MALWARE - program yang dirancang untuk memiliki efek yang tidak diinginkan pada komputer yang sehat. Fungsi utama malware adalah untuk menarik data berharga dan sumber daya lainnya dari komputer pengguna secara diam-diam dan memberikannya kepada penyerang, sehingga memberinya kendali penuh atas komputer yang disusupi. Selain itu, mereka sulit untuk mendeteksi dan menghapus dan dapat tetap tersembunyi untuk waktu yang lama, mungkin bertahun-tahun, jika tidak terdeteksi.

Jadi secara alami, gejala komputer yang dikompromikan perlu disamarkan dan dipertimbangkan sebelum hasilnya terbukti fatal. Khususnya, tindakan pengamanan yang lebih ketat harus dilakukan untuk mengungkap serangan. Namun, seperti yang disebutkan, setelah rootkit / malware ini dipasang, kemampuan silumannya menyulitkan untuk menghapusnya dan komponennya yang dapat diunduh. Untuk alasan ini, Microsoft telah membuat laporan tentang ROOTKITS.

Laporan Ancaman Pusat Perlindungan Malware Microsoft pada Rootkits

Laporan halaman 16 menguraikan bagaimana penyerang menggunakan rootkit dan bagaimana fungsi rootkit ini pada komputer yang terpengaruh.

Satu-satunya Tujuan dari laporan ini adalah untuk mengidentifikasi dan meneliti secara ketat malware yang berpotensi mengancam banyak organisasi, khususnya pengguna komputer. Ini juga menyebutkan beberapa keluarga malware yang lazim dan membawa cahaya metode yang digunakan penyerang untuk menginstal rootkit ini untuk tujuan egois mereka sendiri pada sistem yang sehat. Dalam sisa laporan, Anda akan menemukan ahli membuat beberapa rekomendasi untuk membantu pengguna mengurangi ancaman dari rootkit.

Jenis-Jenis Rootkit

Ada banyak tempat di mana malware dapat menginstal dirinya sendiri ke dalam sistem operasi. Jadi, sebagian besar jenis rootkit ditentukan oleh lokasinya di mana ia melakukan subversi dari jalur eksekusi. Ini termasuk:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkit / bootkit

Kemungkinan efek kompromi rootkit kernel mode diilustrasikan melalui screen-shot di bawah ini.

Jenis ketiga, memodifikasi Master Boot Record untuk mendapatkan kontrol sistem dan memulai proses memuat titik awal yang mungkin dalam urutan boot3. Ini menyembunyikan file, modifikasi registri, bukti koneksi jaringan serta indikator lain yang mungkin yang dapat mengindikasikan keberadaannya.

Keluarga Malware Terkemuka yang menggunakan fungsi Rootkit

Win32 / Sinowal 13 - Sebuah keluarga multi-komponen malware yang mencoba mencuri data sensitif seperti nama pengguna dan kata sandi untuk sistem yang berbeda. Ini termasuk mencoba mencuri rincian otentikasi untuk berbagai akun FTP, HTTP, dan email, serta kredensial yang digunakan untuk perbankan online dan transaksi keuangan lainnya.

Win32 / Cutwail 15 - Sebuah Trojan yang mengunduh dan menjalankan sewenang-wenang file. File yang diunduh dapat dijalankan dari disk atau disuntikkan langsung ke proses lain. Sementara fungsi dari file yang diunduh adalah variabel, Cutwail biasanya mengunduh komponen lain yang mengirim spam.

Menggunakan rootkit mode kernel dan menginstal beberapa driver perangkat untuk menyembunyikan komponennya dari pengguna yang terpengaruh.

Win32 / Rustock - Sebuah keluarga multi-komponen dari backdoor Trojan yang diaktifkan pada rootkit awalnya dikembangkan untuk membantu distribusi "spam" email melalui botnet. Botnet adalah jaringan komputer yang dikompromikan oleh penyerang yang dikendalikan besar.

Perlindungan terhadap rootkit

Mencegah instalasi rootkit adalah metode paling efektif untuk menghindari infeksi oleh rootkit. Untuk ini, perlu berinvestasi dalam teknologi pelindung seperti produk anti-virus dan firewall. Produk tersebut harus mengambil pendekatan komprehensif untuk perlindungan dengan menggunakan deteksi berbasis tanda tangan tradisional, deteksi heuristik, kemampuan tanda tangan dan pemantauan perilaku yang dinamis dan responsif.

Semua set tanda tangan ini harus selalu diperbarui menggunakan mekanisme pembaruan otomatis. Solusi antivirus Microsoft menyertakan sejumlah teknologi yang dirancang khusus untuk mengurangi rootkit, termasuk pemantauan perilaku kernel langsung yang mendeteksi dan melaporkan upaya untuk memodifikasi kernel sistem yang terpengaruh, dan penguraian sistem file langsung yang memfasilitasi identifikasi dan penghapusan driver tersembunyi.

Jika suatu sistem ditemukan dikompromikan maka alat tambahan yang memungkinkan Anda untuk boot ke lingkungan yang dikenal baik atau tepercaya mungkin terbukti bermanfaat karena mungkin menyarankan beberapa langkah perbaikan yang tepat.

Dalam keadaan seperti itu,

1. Alat Penyapu Sistem Standalone (bagian dari Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline mungkin berguna.

Untuk informasi lebih lanjut, Anda dapat mengunduh laporan PDF dari Microsoft Download Center.