Ce este un set de boot și Nemesis este o amenințare autentică?

Ce este un set de boot și Nemesis este o amenințare autentică?

Amenințarea de a detecta un virus este foarte reală. Omniprezența forțelor nevăzute care lucrează pentru a ne ataca computerele, pentru a ne fura identitățile și a ne jefui conturile bancare este o constantă, dar sperăm că odată cu cantitate corectă de noi tehnice și un pic de noroc, totul va fi în regulă.





computerul recunoaște iPhone, dar iTunes nu

Cu toate acestea, oricât de avansat este antivirusul și alte programe de securitate, potențialii atacatori continuă să găsească vectori noi diabolici care să vă perturbe sistemul. Kitul de boot este unul dintre ele. Deși nu este complet nou pe scena malware-ului, a existat o creștere generală a utilizării lor și o intensificare definitivă a capacităților lor.



Să ne uităm la ce este un bootkit, să examinăm o variantă a bootkit-ului, Nemesis și ia în considerare ce poți face pentru a rămâne liber .





Ce este un bootkit?

Pentru a înțelege ce este un bootkit, vom explica mai întâi de unde vine terminologia. Un bootkit este o variantă a unui rootkit, un tip de malware cu capacitatea de a se ascunde de sistemul de operare și de software-ul antivirus. Seturile de rădăcini sunt notoriu dificile de detectat și de eliminat. De fiecare dată când porniți sistemul, rootkit-ul va acorda unui atacator acces continuu la nivel de root la sistem.

Un rootkit poate fi instalat din mai multe motive. Uneori, rootkit-ul va fi folosit pentru a instala mai multe programe malware, alteori va fi folosit pentru a crea un computer „zombie” într-o botnet, poate fi folosit pentru a fura chei de criptare și parole, sau o combinație a acestora și a altor vectori de atac.



Seturile rootkit la nivel de încărcător de boot (bootkit) înlocuiesc sau modifică încărcătorul de încărcare legitim cu unul dintre proiectanții atacatorilor săi, afectând Master Boot Record, Volume Boot Record sau alte sectoare de boot. Aceasta înseamnă că infecția poate fi încărcată înainte de sistemul de operare și, astfel, poate subverifica orice programe de detectare și distrugere.

Utilizarea lor este în creștere, iar experții în securitate au observat o serie de atacuri axate pe servicii monetare, dintre care „Nemesis” este unul dintre cele mai recente ecosisteme malware observate.



O Nemeză de securitate?

Nu, nu Star Trek film, dar o variantă deosebit de urâtă a bootkit-ului. Ecosistemul malware Nemesis vine cu o gamă largă de capabilități de atac, inclusiv transferuri de fișiere, captură de ecran, înregistrarea tastelor, injectarea proceselor, manipularea proceselor și programarea sarcinilor. FireEye, compania de securitate cibernetică care a văzut prima dată Nemesis, a indicat, de asemenea, că malware-ul include un sistem cuprinzător de suport pentru backdoor pentru o gamă largă de protocoale de rețea și canale de comunicații, permițând o comandă și un control mai mari odată instalate.

Într-un sistem Windows, Master Boot Record (MBR) stochează informații referitoare la disc, cum ar fi numărul și aspectul partițiilor. MBR este vital pentru procesul de boot, conținând codul care localizează partiția primară activă. Odată ce acest lucru este găsit, controlul este trecut la Recordul de încărcare a volumului (VBR) care se află pe primul sector al partiției individuale.



Nemesis bootkit deturnă acest proces. Programul malware creează un sistem de fișiere virtual personalizat pentru a stoca componentele Nemesis în spațiul nealocat dintre partiții, deturnând VBR-ul original prin suprascrierea codului original cu propriul său, într-un sistem denumit „BOOTRASH”.

„Înainte de instalare, programul de instalare BOOTRASH colectează statistici despre sistem, inclusiv versiunea și arhitectura sistemului de operare. Programul de instalare este capabil să implementeze versiuni pe 32 sau 64 de biți ale componentelor Nemesis, în funcție de arhitectura procesorului sistemului. Programul de instalare va instala kitul de boot pe orice hard disk care are o partiție de boot MBR, indiferent de tipul specific de hard disk. Cu toate acestea, dacă partiția utilizează arhitectura discului Tabelului de partiții GUID, spre deosebire de schema de partiționare MBR, malware-ul nu va continua cu procesul de instalare. '

Apoi, de fiecare dată când este apelată partiția, codul rău intenționat injectează componentele Nemesis în așteptare în Windows. Ca urmare „Locația de instalare a malware-ului înseamnă, de asemenea, că va persista chiar și după reinstalarea sistemului de operare, considerat pe scară largă cea mai eficientă modalitate de eradicare a malware-ului”, lăsând o luptă ascendentă pentru un sistem curat.

Destul de amuzant, ecosistemul malware Nemesis include propria sa caracteristică de dezinstalare. Acest lucru ar restabili sectorul inițial de încărcare și ar elimina malware-ul din sistemul dvs. - dar există doar în cazul în care atacatorii trebuie să elimine malware-ul din proprie inițiativă.

UEFI Secure Boot

Kitul de boot Nemesis a afectat în mare măsură organizațiile financiare pentru a colecta date și a sifona fonduri. Utilizarea lor nu surprinde inginerul tehnic de marketing senior Intel, Brian Richardson , care note „Kituri de pornire și rootkit-uri MBR au fost un vector de atac de virus încă din zilele„ Inserare disc în A: și apăsați ENTER pentru a continua ”. El a continuat să explice că, deși Nemesis este, fără îndoială, un malware foarte periculos, este posibil să nu vă afecteze atât de ușor sistemul de acasă.

placa de sunet PCI din computerul dvs. nu mai funcționează

Sistemele Windows create în ultimii ani vor fi probabil formatate folosind un tabel de partiții GUID, cu firmware-ul de bază bazat pe UEFI. Porțiunea de creare a sistemului de fișiere virtuale BOOTRASH al malware-ului se bazează pe o întrerupere de disc moștenită care nu va exista pe sistemele care pornesc cu UEFI, în timp ce verificarea semnăturii UEFI Secure Boot ar bloca un bootkit în timpul procesului de boot.

Deci, acele sisteme mai noi preinstalate cu Windows 8 sau Windows 10 pot fi absolvite de această amenințare, cel puțin deocamdată. Cu toate acestea, ilustrează o problemă majoră cu marile companii care nu își actualizează hardware-ul IT. Companiile care încă folosesc Windows 7 și în multe locuri încă utilizând Windows XP, se expun ei înșiși și clienților lor la o amenințare financiară și de date majoră.

Otrava, Remediul

Rootkit-urile sunt operatori dificili. Maeștrii ofuscării, sunt concepuți pentru a controla un sistem cât mai mult timp posibil, culegând cât mai multe informații posibil în tot acest timp. Companiile antivirus și antimalware au luat notă și o serie de rootkit-uri aplicațiile de eliminare sunt acum disponibile pentru utilizatori :

Chiar și cu șansa unei eliminări reușite, mulți experți în securitate sunt de acord că singura modalitate de a fi 99% sigur de un sistem curat este un format complet al unității - deci asigurați-vă că vă păstrați sistemul de rezervă!

Ați experimentat un rootkit sau chiar un bootkit? Cum v-ați curățat sistemul? Spuneți-ne mai jos!

Acțiune Acțiune Tweet E-mail 3 moduri de a verifica dacă un e-mail este real sau fals

Dacă ați primit un e-mail care arată puțin dubios, cel mai bine este întotdeauna să verificați autenticitatea acestuia. Iată trei moduri de a afla dacă un e-mail este real.

Citiți în continuare Subiecte asemănătoare
  • Securitate
  • Partiție de disc
  • Hacking
  • Securitatea calculatorului
  • Programe malware
Despre autor Gavin Phillips(945 articole publicate)

Gavin este editorul junior pentru Windows și tehnologia explicată, un colaborator obișnuit la Podcast-ul cu adevărat util și un recenzent obișnuit de produse. Are un BA (Hons) Contemporary Writing with Digital Art Practices prădat de pe dealurile din Devon, precum și peste un deceniu de experiență profesională în scriere. Îi place cantități abundente de ceai, jocuri de societate și fotbal.

Mai multe de la Gavin Phillips

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Faceți clic aici pentru a vă abona