Home-theater-designers
L’amenaça de detectar un virus és molt real. La omnipresència de forces invisibles que treballen per atacar els nostres ordinadors, robar-nos la identitat i atacar els nostres comptes bancaris és una constant, però esperem que amb la quantitat adequada de nous tècnics i una mica de sort, tot anirà bé.
com amagar la vostra xarxa wifi
Tanmateix, tan avançat com és l’antivirus i altres programes de seguretat, els possibles atacants continuen trobant nous vectors diabòlics per interrompre el vostre sistema. El kit d’arrencada n’és un. Tot i que no és del tot nou en l’escena del malware, hi ha hagut un augment general del seu ús i una intensificació definitiva de les seves capacitats.
Vegem què és un bootkit, examinem una variant del bootkit, Nemesis i tingueu en compte què podeu fer per estar clar .
Què és un kit d'arrencada?
Per entendre què és un kit d’arrencada, primer explicarem d’on prové la terminologia. Un bootkit és una variant d’un rootkit, un tipus de programari maliciós amb la possibilitat d’ocultar-se del sistema operatiu i del programari antivirus. Els rootkits són notòriament difícils de detectar i eliminar. Cada vegada que engegueu el vostre sistema, el rootkit concedirà a un atacant un accés continu al nivell d'arrel al sistema.
Es pot instal·lar un rootkit per diversos motius. De vegades, el rootkit s'utilitzarà per instal·lar més programari maliciós, de vegades s'utilitzarà per crear un equip 'zombi' dins d'una xarxa de bot, es pot utilitzar per robar claus i contrasenyes de xifratge o una combinació d'aquests i altres vectors d'atac.
Els rootkits de nivell d'arrencada (bootkit) substitueixen o modifiquen el carregador d'arrencada legítim per un dels seus dissenyadors d'atacants, afectant el registre d'arrencada principal, el registre d'arrencada de volum o altres sectors d'arrencada. Això significa que la infecció es pot carregar abans del sistema operatiu i, per tant, pot subvertir qualsevol programa de detecció i destrucció.
El seu ús augmenta i els experts en seguretat han assenyalat diversos atacs centrats en els serveis monetaris, dels quals 'Nemesis' és un dels ecosistemes de malware observats més recentment.
Una nèmesi de seguretat?
No, no Star Trek pel·lícula, però una variant particularment desagradable del botó d’arrencada. L’ecosistema de programari maliciós Nemesis inclou una àmplia gamma de funcions d’atac, incloses les transferències de fitxers, la captura de pantalla, el registre de pulsacions de tecles, la injecció de processos, la manipulació de processos i la planificació de tasques. FireEye, l’empresa de ciberseguretat que va detectar Nemesis per primera vegada, també va indicar que el malware inclou un sistema integral de suport per a portes posteriors per a una gamma de protocols de xarxa i canals de comunicació, que permet un major control i control un cop instal·lat.
En un sistema Windows, el Master Boot Record (MBR) emmagatzema informació relacionada amb el disc, com ara el nombre i el disseny de particions. El MBR és vital per al procés d'arrencada, ja que conté el codi que localitza la partició primària activa. Un cop trobat això, el control es passa al registre d'arrencada de volum (VBR) que resideix al primer sector de la partició individual.
El kit d’arrencada de Nemesis segresta aquest procés. El programari maliciós crea un sistema de fitxers virtuals personalitzat per emmagatzemar components de Nemesis a l’espai no assignat entre particions, segrestant el VBR original sobreescrivint el codi original amb el seu propi, en un sistema anomenat 'BOOTRASH'.
'Abans de la instal·lació, l'instal·lador de BOOTRASH recull estadístiques sobre el sistema, inclosa la versió i l'arquitectura del sistema operatiu. L'instal·lador és capaç de desplegar versions de 32 o 64 bits dels components Nemesis en funció de l'arquitectura del processador del sistema. L'instal·lador instal·larà el kit d'arrencada a qualsevol disc dur que tingui una partició d'arrencada MBR, independentment del tipus específic de disc dur. Tot i això, si la partició utilitza l'arquitectura de discs de la taula de particions GUID, a diferència de l'esquema de particions MBR, el programari maliciós no continuarà amb el procés d'instal·lació. '
A continuació, cada vegada que es crida la partició, el codi maliciós injecta els components de Nemesis pendents al Windows. Com a resultat 'La ubicació d'instal·lació del malware també significa que persistirà fins i tot després de tornar a instal·lar el sistema operatiu, considerat àmpliament la forma més eficaç d'eradicar el malware', deixant una lluita ascendent per un sistema net.
Curiosament, l’ecosistema de programari maliciós Nemesis inclou la seva pròpia característica de desinstal·lació. Això restabliria el sector d’arrencada original i eliminaria el programari maliciós del vostre sistema, però només existeix en cas que els atacants hagin d’eliminar el programari per compte propi.
Arrencada segura UEFI
El kit d’arrencada de Nemesis ha afectat en gran mesura les organitzacions financeres per tal de recopilar dades i retirar fons. El seu ús no sorprèn a l’enginyer tècnic superior de màrqueting d’Intel, Brian Richardson , Qui notes 'Els kits d'arrencada i arrel MBR han estat un vector d'atac de virus des dels dies d '' Insereix disc a A: i premeu ENTRAR per continuar '. Va explicar que, tot i que Nemesis és sens dubte un malware molt perillós, és possible que no afecti tan fàcilment el vostre sistema domèstic.
Windows 10 es desperta per si sol
Els sistemes Windows creats en els darrers anys probablement s’hauran formatat mitjançant una taula de particions GUID, amb el firmware subjacent basat en UEFI. La part de creació de sistema de fitxers virtuals BOOTRASH del programari maliciós es basa en una interrupció de disc heretat que no existirà en els sistemes que arrencen amb UEFI, mentre que la comprovació de signatura UEFI Secure Boot bloquejaria un kit d’arrencada durant el procés d’arrencada.
Per tant, els sistemes més nous preinstal·lats amb Windows 8 o Windows 10 poden ser absolts d’aquesta amenaça, almenys ara per ara. No obstant això, il·lustra un problema important amb les grans empreses que no actualitzen el seu maquinari de TI. Aquelles empreses que encara utilitzen Windows 7 i en molts llocs encara amb Windows XP, s’exposen a ells mateixos i als seus clients a una important amenaça financera i de dades.
El verí, el remei
Els rootkits són operadors complicats. Mestres de l’ofuscació, estan dissenyats per controlar un sistema el major temps possible, recopilant tanta informació com sigui possible durant tot aquest temps. Les empreses antivirus i antimalware han pres nota i diversos rootkit les aplicacions d’eliminació ja estan disponibles per als usuaris :
- Malwarebytes beta anti-rootkit
- Kaspersky Lab TDSSKiller
- avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - Aplicació avançada que requereix eliminació manual
Fins i tot amb l’oportunitat d’eliminar amb èxit l’oferta, molts experts en seguretat coincideixen a dir que l’única manera d’assegurar-se d’un 99% d’un sistema net és un format de disc complet, així que assegureu-vos de mantenir la còpia de seguretat del vostre sistema.
Heu experimentat un rootkit o fins i tot un bootkit? Com heu netejat el sistema? Feu-nos-ho saber a continuació.
Compartir Compartir Tweet Correu electrònic 3 maneres de comprovar si un correu electrònic és real o falsSi heu rebut un correu electrònic que sembla una mica dubtós, sempre és millor comprovar-ne l’autenticitat. A continuació, es mostren tres maneres de saber si un correu electrònic és real.
Llegiu a continuació Temes relacionats- Seguretat
- Partició de disc
- Pirateria informàtica
- Seguretat informàtica
- Programari maliciós
Gavin és l'editor júnior de Windows and Technology Explained, col·laborador habitual del Podcast Really Useful i revisor de productes habitual. Té un BA (Hons) Contemporary Writing with Digital Art Practices saquejat des dels turons de Devon, així com més d’una dècada d’experiència en escriptura professional. Li agrada una gran quantitat de te, jocs de taula i futbol.
Més de Gavin PhillipsSubscriu-te al nostre butlletí
Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.
Feu clic aquí per subscriure-us