Home-theater-designers
De dreiging van het oppikken van een virus is zeer reëel. De alomtegenwoordigheid van onzichtbare krachten die werken om onze computers aan te vallen, onze identiteit te stelen en onze bankrekeningen te plunderen is een constante, maar we hopen dat met de juiste hoeveelheid technische nous en een beetje geluk, alles komt goed.
een film vinden door deze te beschrijven
Hoe geavanceerd antivirus- en andere beveiligingssoftware ook is, potentiële aanvallers blijven nieuwe, duivelse vectoren vinden om uw systeem te verstoren. De bootkit is er daar één van. Hoewel het niet helemaal nieuw is in de malwarescene, is er een algemene toename van het gebruik en een duidelijke intensivering van hun mogelijkheden.
Laten we eens kijken naar wat een bootkit is, een variant van de bootkit, Nemesis, en bedenk wat u kunt doen om helder te blijven .
Wat is een bootkit?
Om te begrijpen wat een bootkit is, leggen we eerst uit waar de terminologie vandaan komt. Een bootkit is een variant van een rootkit, een type malware dat zichzelf kan verbergen voor uw besturingssysteem en antivirussoftware. Rootkits zijn notoir moeilijk te detecteren en te verwijderen. Elke keer dat u uw systeem opstart, zal de rootkit een aanvaller continue root-toegang tot het systeem verlenen.
Een rootkit kan om verschillende redenen worden geïnstalleerd. Soms wordt de rootkit gebruikt om meer malware te installeren, soms wordt het gebruikt om een 'zombie'-computer binnen een botnet te maken, en kan het worden gebruikt om coderingssleutels en wachtwoorden te stelen, of een combinatie van deze en andere aanvalsvectoren.
Rootkits op bootloader-niveau (bootkit) vervangen of wijzigen de legitieme bootloader met een van zijn aanvallersontwerpen, waardoor de Master Boot Record, Volume Boot Record of andere opstartsectoren worden beïnvloed. Dit betekent dat de infectie vóór het besturingssysteem kan worden geladen en dus alle detectie- en vernietigingsprogramma's kan ondermijnen.
Het gebruik ervan neemt toe en beveiligingsexperts hebben een aantal aanvallen opgemerkt die gericht zijn op monetaire diensten, waarvan 'Nemesis' een van de meest recent waargenomen malware-ecosystemen is.
Een veiligheidsnemesis?
Nee, niet een Star Trek film, maar een bijzonder vervelende variant van de bootkit. Het Nemesis-malware-ecosysteem wordt geleverd met een breed scala aan aanvalsmogelijkheden, waaronder bestandsoverdracht, schermopname, toetsaanslagregistratie, procesinjectie, procesmanipulatie en taakplanning. FireEye, het cyberbeveiligingsbedrijf dat Nemesis voor het eerst zag, gaf ook aan dat de malware een uitgebreid systeem van backdoor-ondersteuning bevat voor een reeks netwerkprotocollen en communicatiekanalen, waardoor na installatie meer commando en controle mogelijk is.
In een Windows-systeem slaat de Master Boot Record (MBR) informatie op met betrekking tot de schijf, zoals het aantal en de indeling van partities. De MBR is essentieel voor het opstartproces en bevat de code die de actieve primaire partitie lokaliseert. Zodra dit is gevonden, wordt de controle doorgegeven aan de Volume Boot Record (VBR) die zich op de eerste sector van de individuele partitie bevindt.
De Nemesis-bootkit kaapt dit proces. De malware creëert een aangepast virtueel bestandssysteem om Nemesis-componenten op te slaan in de niet-toegewezen ruimte tussen partities, waarbij de originele VBR wordt gekaapt door de originele code te overschrijven met zijn eigen, in een systeem dat 'BOOTRASH' wordt genoemd.
'Voorafgaand aan de installatie verzamelt het BOOTRASH-installatieprogramma statistieken over het systeem, inclusief de versie van het besturingssysteem en de architectuur. Het installatieprogramma kan 32-bits of 64-bits versies van de Nemesis-componenten implementeren, afhankelijk van de processorarchitectuur van het systeem. Het installatieprogramma installeert de bootkit op elke harde schijf met een MBR-opstartpartitie, ongeacht het specifieke type harde schijf. Als de partitie echter de GUID Partition Table-schijfarchitectuur gebruikt, in tegenstelling tot het MBR-partitioneringsschema, gaat de malware niet verder met het installatieproces.'
Elke keer dat de partitie wordt aangeroepen, injecteert de kwaadaardige code de wachtende Nemesis-componenten in Windows. Als resultaat , 'De installatielocatie van de malware betekent ook dat deze blijft bestaan, zelfs na het opnieuw installeren van het besturingssysteem, dat algemeen wordt beschouwd als de meest effectieve manier om malware uit te roeien', waardoor het een zware strijd is om een schoon systeem te krijgen.
Gek genoeg bevat het Nemesis-malware-ecosysteem zijn eigen verwijderingsfunctie. Dit zou de oorspronkelijke opstartsector herstellen en de malware van uw systeem verwijderen, maar is er alleen als de aanvallers de malware uit eigen beweging moeten verwijderen.
UEFI Veilig opstarten
De Nemesis-bootkit heeft grote invloed gehad op financiële organisaties om gegevens te verzamelen en geld weg te sluizen. Het gebruik ervan verbaast Intel senior technisch marketingingenieur niet, Brian Richardson , WHO notities 'MBR-bootkits en rootkits zijn een virusaanvalsvector sinds de tijd van 'Plaats schijf in A: en druk op ENTER om door te gaan'.' Hij legde verder uit dat, hoewel Nemesis ongetwijfeld een enorm gevaarlijk stuk malware is, het je thuissysteem misschien niet zo snel aantast.
vind de naam van het nummer uit een gedeeltelijke songtekst
Windows-systemen die in de afgelopen jaren zijn gemaakt, zijn waarschijnlijk geformatteerd met behulp van een GUID-partitietabel, met de onderliggende firmware op basis van UEFI. Het BOOTRASH-aanmaakgedeelte van het virtuele bestandssysteem van de malware is afhankelijk van een verouderde schijfonderbreking die niet bestaat op systemen die opstarten met UEFI, terwijl de UEFI Secure Boot-handtekeningcontrole een bootkit zou blokkeren tijdens het opstartproces.
Dus die nieuwere systemen die vooraf zijn geïnstalleerd met Windows 8 of Windows 10, zijn mogelijk voorlopig ontheven van deze dreiging. Het illustreert echter wel een groot probleem met grote bedrijven die hun IT-hardware niet updaten. Die bedrijven gebruiken nog steeds Windows 7, en op veel plaatsen nog altijd die Windows XP gebruiken, stellen zichzelf en hun klanten bloot aan een grote financiële en gegevensbedreiging.
Het gif, de remedie
Rootkits zijn lastige operators. Ze zijn meesters in verduistering en zijn ontworpen om een systeem zo lang mogelijk te besturen en gedurende die tijd zoveel mogelijk informatie te verzamelen. Antivirus- en antimalware-bedrijven hebben kennis genomen van en een aantal rootkit verwijderingstoepassingen zijn nu beschikbaar voor gebruikers :
- Malwarebytes Anti-Rootkit Bèta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER – geavanceerde applicatie waarvoor handmatige verwijdering vereist is
Zelfs met de kans op een succesvolle verwijdering, zijn veel beveiligingsexperts het erover eens dat de enige manier om 99% zeker te zijn van een schoon systeem een compleet schijfformaat is - zorg er dus voor dat u een back-up van uw systeem maakt!
Heb je ervaring met een rootkit, of zelfs een bootkit? Hoe heb je je systeem opgeschoond? Laat het ons hieronder weten!
Deel Deel Tweeten E-mail 3 manieren om te controleren of een e-mail echt of nep isAls je een e-mail hebt ontvangen die er een beetje dubieus uitziet, is het altijd het beste om de authenticiteit ervan te controleren. Hier zijn drie manieren om te zien of een e-mail echt is.
Lees volgende Gerelateerde onderwerpen- Veiligheid
- Schijfpartitie
- Hacken
- Computer beveiliging
- Malware
Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en recenseert regelmatig producten. Hij heeft een BA (Hons) Contemporary Writing met Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan tien jaar professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.
Meer van Gavin PhillipsAbonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren