Hva er en Bootkit, og er Nemesis en ekte trussel?

Hva er en Bootkit, og er Nemesis en ekte trussel?

Trusselen om å plukke opp et virus er veldig reell. Det er en konstant tilstedeværelse av usynlige krefter som jobber med å angripe datamaskinene våre, for å stjele identitetene våre og angripe bankkontiene våre, men vi håper at med riktig mengde teknisk notus og en flaks av flaks, alt kommer til å gå bra.





datamaskinen din startet ikke riktig

Så avansert som antivirus og annen sikkerhetsprogramvare er, vil potensielle angripere fortsette å finne nye, djevelske vektorer for å forstyrre systemet ditt. Bootkit er en av dem. Selv om det ikke er helt nytt på skadelig programvare, har det vært en generell økning i bruken og en klar intensivering av deres evner.



La oss se på hva en bootkit er, undersøke en variant av bootkit, Nemesis og vurdere hva du kan gjøre for å være klar .





Hva er en Bootkit?

For å forstå hva en bootkit er, skal vi først forklare hvor terminologien kommer fra. En bootkit er en variant av en rootkit, en type skadelig programvare med muligheten til å skjule seg for operativsystemet og antivirusprogramvaren. Rootkits er notorisk vanskelig å oppdage og fjerne. Hver gang du starter opp systemet ditt, vil rootkit gi en angriper kontinuerlig tilgang til systemet på rotnivå.

En rootkit kan installeres av flere årsaker. Noen ganger vil rootkit brukes til å installere mer skadelig programvare, noen ganger vil det bli brukt til å lage en 'zombie' datamaskin i et botnett, det kan brukes til å stjele krypteringsnøkler og passord, eller en kombinasjon av disse og andre angrepsvektorer.



Boot-loader level (bootkit) rootkits erstatter eller modifiserer den legitime boot-loaderen med en av angripernes design, som påvirker Master Boot Record, Volume Boot Record eller andre oppstartssektorer. Dette betyr at infeksjonen kan lastes før operativsystemet, og dermed kan undergrave eventuelle oppdagelses- og ødeleggelsesprogrammer.

Bruken deres øker, og sikkerhetseksperter har notert seg en rekke angrep fokusert på monetære tjenester, hvorav 'Nemesis' er et av de sist observerte skadelige økosystemene.



En sikkerhetsnemese?

Nei, ikke a Star Trek film, men en spesielt ekkel variant av bootkit. Nemesis malware -økosystem kommer med et bredt spekter av angrepsmuligheter, inkludert filoverføringer, skjermfangst, tastetrykklogging, prosessinjeksjon, prosessmanipulering og oppgaveplanlegging. FireEye, cybersikkerhetsselskapet som først oppdaget Nemesis, indikerte også at skadelig programvare inkluderer et omfattende system med bakdørstøtte for en rekke nettverksprotokoller og kommunikasjonskanaler, noe som gir større kommando og kontroll når den er installert.

I et Windows -system lagrer Master Boot Record (MBR) informasjon relatert til disken, for eksempel antall og oppsett av partisjoner. MBR er avgjørende for oppstartsprosessen, og inneholder koden som lokaliserer den aktive primære partisjonen. Når dette er funnet, overføres kontrollen til Volume Boot Record (VBR) som ligger på den første sektoren i den enkelte partisjonen.



Nemesis bootkit kaprer denne prosessen. Den skadelige programvaren oppretter et tilpasset virtuelt filsystem for å lagre Nemesis -komponenter i det ikke tildelte mellomrommet mellom partisjoner, og kaprer den opprinnelige VBR ved å overskrive den opprinnelige koden med sin egen, i et system kalt 'BOOTRASH'.

'Før installasjonen samler BOOTRASH -installatøren statistikk om systemet, inkludert operativsystemversjon og arkitektur. Installasjonsprogrammet er i stand til å distribuere 32-biters eller 64-biters versjoner av Nemesis-komponentene, avhengig av systemets prosessorarkitektur. Installasjonsprogrammet installerer bootkit på en hvilken som helst harddisk som har en MBR -oppstartspartisjon, uavhengig av den spesifikke harddisken. Imidlertid, hvis partisjonen bruker GUID -partisjonstabell -diskarkitekturen, i motsetning til MBR -partisjoneringsordningen, vil ikke skadelig programvare fortsette med installasjonsprosessen. '

Hver gang partisjonen kalles, injiserer den ondsinnede koden de ventende Nemesis -komponentene i Windows. Som et resultat , 'installasjonsstedet for skadelig programvare betyr også at det vil vedvare selv etter at operativsystemet er installert på nytt, som er ansett som den mest effektive måten å utrydde skadelig programvare,' og etterlater en kamp i oppoverbakke for et rent system.

Morsomt nok inneholder Nemesis malware -økosystem sin egen avinstalleringsfunksjon. Dette vil gjenopprette den opprinnelige oppstartssektoren og fjerne skadelig programvare fra systemet ditt - men er bare der i tilfelle angriperne trenger å fjerne skadelig programvare av seg selv.

UEFI Secure Boot

Nemesis bootkit har i stor grad påvirket finansielle organisasjoner for å samle inn data og heve midler bort. Bruken deres overrasker ikke Intel, senior teknisk markedsføringsingeniør, Brian Richardson , WHO notater 'MBR bootkits & rootkits har vært en virusangrepsvektor siden dagene' Sett inn disk i A: og trykk ENTER for å fortsette. ' Han fortsatte med å forklare at selv om Nemesis utvilsomt er et enormt farlig skadelig programvare, kan det ikke påvirke hjemmesystemet ditt så lett.

sørg for at lydmaskinvaren din fungerer som den skal Windows 10

Windows -systemer opprettet de siste årene vil sannsynligvis ha blitt formatert ved hjelp av en GUID -partisjonstabell, med den underliggende fastvaren basert på UEFI. BOOTRASH -opprettelsesdelen av det virtuelle filsystemet av skadelig programvare er avhengig av en eldre diskavbrudd som ikke vil eksistere på systemer som starter med UEFI, mens UEFI Secure Boot -signaturkontrollen ville blokkere en bootkit under oppstartsprosessen.

Så de nyere systemene som er forhåndsinstallert med Windows 8 eller Windows 10, kan godt bli frigjort for denne trusselen, i hvert fall nå. Imidlertid illustrerer det et stort problem med store selskaper som ikke klarer å oppdatere IT -maskinvaren. Disse selskapene bruker fortsatt Windows 7, og mange steder fortsatt ved hjelp av Windows XP, utsetter de seg selv og kundene for en stor finansiell og datatrussel.

Giftet, The Remedy

Rootkits er vanskelige operatører. Mestre i uklarhet, de er designet for å kontrollere et system så lenge som mulig, og høste så mye informasjon som mulig gjennom den tiden. Antivirus- og antimalware -selskaper har notert seg og en rekke rootkit fjerningsprogrammer er nå tilgjengelige for brukere :

Selv om sjansen for en vellykket fjerning tilbys, er mange sikkerhetseksperter enige om at den eneste måten å være 99% sikker på et rent system er et komplett stasjonsformat - så sørg for å holde systemet sikkerhetskopiert!

Har du opplevd en rootkit, eller til og med en bootkit? Hvordan ryddet du opp systemet ditt? Gi oss beskjed nedenfor!

Dele Dele kvitring E -post 3 måter å sjekke om en e -post er ekte eller falsk

Hvis du har mottatt en e -post som ser litt tvilsom ut, er det alltid best å sjekke ektheten. Her er tre måter å fortelle om en e -post er ekte.

Les neste Relaterte temaer
  • Sikkerhet
  • Diskpartisjon
  • Hacking
  • Datasikkerhet
  • Skadevare
Om forfatteren Gavin Phillips(945 artikler publisert)

Gavin er Junior Editor for Windows and Technology Explained, en fast bidragsyter til den virkelig nyttige podcasten, og en vanlig produktanmelder. Han har en BA (Hons) Contemporary Writing with Digital Art Practices plyndret fra åsene i Devon, i tillegg til over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.

Mer fra Gavin Phillips

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere