Rootkit

Руткиты — это вид вредоносного ПО, которое может предоставить злоумышленнику контроль над вашим компьютером без вашего разрешения или ведома. Загрузите Malwarebytes для защиты от руткитов.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Хотя термин rootkit может звучать как правило решения математических задач или даже садовый инструмент, это не так. rootkit может быть весьма опасен для личной информации на вашем устройстве, и обычно он служит киберпреступникам. Вот краткое определение rootkit в компьютерных терминах: руткиты - это разновидность вредоносного ПО, которое может предоставить злоумышленнику контроль над вашим компьютером без вашего согласия или ведома.

Что такое руткит? Определение руткита

Термин 'руткит' - это комбинация слов 'root' и 'kit'. 'Root', 'admin', 'superuser', или 'system admin' - это взаимозаменяемые термины для учетной записи пользователя с правами администратора операционной системы. Между тем, 'kit' означает пакет программных инструментов. Таким образом, руткит — это набор инструментов, предоставляющих кому-то высшие привилегии в системе. 

Руткиты особенно опасны, потому что они предназначены для скрытия своего присутствия на вашем устройстве. Угрожающий субъект, установивший rootkit на ваш компьютер (часто через фишинговое письмо), может получить удаленный доступ и контролировать его. Поскольку руткиты предоставляют доступ на уровне root, они могут использоваться для деактивации антивирусного ПО, шпионажа за вашей деятельностью, кражи конфиденциальных данных или запуска других вредоносных программ на устройстве. 

Является ли руткит вирусом?

Вопреки распространенному мнению, rootkit - это не вирус, а вредоносное ПО. Конечно, это может показаться непонятным. Вирус - это всего лишь один из видов вредоносного ПО, и если вирус только повреждает данные, то rootkit гораздо более совершенен. К счастью, современное антивирусное программное обеспечение, использующее передовые методы защиты, такие как поведенческая эвристика, способно устранять различные типы вредоносных программ, от вирусов и червей до программ-вымогателей, троянских программ и даже некоторых руткитов.

Почему руткиты такие опасные?

  • Они коварны: Rootkit могут распространяться через обманчивые векторы угроз, такие как поврежденные загрузки, спам-письма и наборы эксплойтов. Некоторые руткиты даже опираются на троянцев, таких как вредоносная программа Perkiler, чтобы нарушить безопасность системы.
  • Они скрытные: В отличие от других типов вредоносного ПО, хорошо замаскированный руткит не проявляет многих симптомов. Он может даже обойти ваше защитное ПО, что затрудняет его устранение. Некоторые руткиты можно удалить только путем форматирования жесткого диска и переустановки операционной системы.
  • Они многофункциональны: Некоторые эксперты называют руткиты швейцарскими армейскими ножами вредоносного ПО, поскольку они обладают множеством возможностей. Некоторые rootkit могут похищать учетные данные и финансовую информацию, отключать протоколы безопасности, регистрировать нажатия клавиш и многое другое. Другие руткиты могут позволить hacker получить черный доступ к системе и запустить еще больше вредоносных программ. С помощью правильного rootkit hacker может превратить систему в бота, чтобы создать ботнет и начать DDoS-атаки (Distributed-Denial-of-Service) на веб-сайты.

Типы руткитов

Загрузочный руткит

Как только вы включаете компьютер, загрузчик загружает операционную систему. Загрузочный руткит проникает в этот механизм, заражая компьютер вредоносным ПО еще до того, как операционная система будет готова к использованию. В наши дни угрозы загрузочных руткитов стали меньше благодаря функциям безопасности, таким как Secure boot.

Микропрограммный руткит

Прошивка - это тип программного обеспечения, обеспечивающий элементарный контроль над аппаратным обеспечением, для которого она написана. Прошивка есть у всех типов устройств, от мобильных телефонов до стиральных машин. rootkit сложно найти, потому что он прячется в прошивке, где средства кибербезопасности обычно не ищут вредоносные программы.

Руткиты ядра

Ядро вашей операционной системы похоже на нервную систему. Это важный слой, обеспечивающий выполнение основных функций. Ядро-рюткиты могут быть катастрофически опасны, так как они атакуют ключевой компонент вашего компьютера и предоставляют злоумышленнику значительный контроль над системой.

Памятные руткиты

Руткиты памяти располагаются в оперативной памяти компьютера и могут замедлять его работу, выполняя вредоносные задачи. Обычно от rootkit памяти можно избавиться, перезагрузив компьютер, поскольку простая перезагрузка очищает память от всех процессов.

Программные руткиты

Программный руткит может модифицировать ваши обычные файлы кодом руткита, предоставляя его автору доступ к вашему устройству каждый раз, когда вы запускаете зараженные файлы. Однако такой вид вредоносного ПО легче обнаружить, так как файлы с такими руткитами могут вести себя нетипично. Кроме того, у ваших средств безопасности есть больше шансов обнаружить их.

Что такое атаки с использованием руткитов?

Атака с использованием rootkit - это атака, в ходе которой субъект угрозы использует rootkit против вашей системы. Как уже говорилось выше, руткиты могут распространяться через зараженные загрузки, например приложения для мобильных телефонов. Более целенаправленные rootkit используют в качестве вектора атаки социальную инженерию, например фишинговые письма.

Некоторые сложные атаки с использованием руткитов труднее выполнить. Например, злоумышленнику может понадобиться использовать зараженный диск для установки загрузочного руткита на вашу операционную систему.

Как обнаруживаются и удаляются руткиты?

Обнаружить руткиты сложно из-за их скрытной природы. Более того, некоторые руткиты могут обходить средства кибербезопасности. Тем не менее, есть несколько симптомов, которые может проявлять руткит:

#1 Системные сбои: Руткит, заражающий загрузчик, жесткий диск, BIOS или приложения вашего компьютера, может вызвать сбои системы, конфликт ПО.

#2 Сбой ПО: Замечаете замедления, загадочные изменения настроек или сбои веб-браузера? Руткит может быть ответственен за такие проблемы.

#3 Сбой антивируса: Если ваш антивирус отключается без причины, попробуйте выполнить антируткитную проверку для поиска вредоносного ПО. После этого переустановите ваше кибербезопасное ПО.

Как предотвратить заражение вашей системы вредоносным ПО руткитов

Важно проактивно защищать ваши устройства от всех типов вредоносного ПО, и руткитовое вредоносное ПО является особенно серьезной угрозой. В нашей статье из Malwarebytes Labs о том, как предотвратить атаку руткита на вашем компьютере или мобильном устройстве, представлены шаги, которые вы можете предпринять, чтобы оставаться в безопасности:

  • Сканируйте ваши системы: Используйте расширенный сканер угроз, как в Malwarebytes Premium, чтобы регулярно сканировать ваши устройства на наличие угроз. В нашей статье есть еще более подробные советы по сканированию на руткиты разными способами, но иметь регулярные проверки на вредоносное ПО — хорошее начало. 
  • Остерегайтесь фишинговых атак: будьте внимательны к тому, на что вы кликаете и что скачиваете. Фишинговые атаки через электронную почту стали очень сложными, и фишинговая попытка может выглядеть почти так же, как и легитимное письмо от кого-то, кому вы доверяете, например, вашего банка или любимого ритейлера. Всегда проверяйте электронный адрес отправителя, чтобы убедиться, что он принадлежит легитимному домену (например, электронная почта PayPal приходит с адреса paypal.com), и если у вас есть сомнения, что письмо может быть фишинговой попыткой, вы можете переслать его предполагаемому отправителю для проверки. Также будьте осторожны с ссылками, приходящими по текстовым сообщениям с неизвестных номеров. 
  • Обновляйте ваше ПО: Обновления ПО иногда приходят в неподходящие моменты, когда вы заняты чем-то другим, но разработчики программного обеспечения не просто так их рассылают. Многие обновления включают исправления для проблем с безопасностью, обнаруженные разработчиком, поэтому вы не хотите откладывать их установку. Лучше всего обновлять ваше ПО, как только получаете уведомление об этом. 
  • Используйте передовой антивирус/антивредоносное ПО: Передовая защита антивирусом и антивредоносным ПО, такая как Malwarebytes Premium, использует различные методы для обнаружения и блокировки угроз на ваших устройствах. Это важный шаг для защиты от различных угроз и типов вредоносного ПО.