रूटकिट्स पर माइक्रोसॉफ्ट मैलवेयर प्रोटेक्शन सेंटर धमकी रिपोर्ट

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2023-12-17 11:00

माइक्रोसॉफ्ट मैलवेयर प्रोटेक्शन सेंटर ने रूटकिट्स पर अपनी धमकी रिपोर्ट डाउनलोड करने के लिए उपलब्ध कराया है। रिपोर्ट में मैडवेयर धमकी देने वाले संगठनों और व्यक्तियों के एक और अधिक कपटी प्रकारों में से एक - रूटकिट की जांच करता है। रिपोर्ट जांचती है कि कैसे हमलावर रूटकिट का उपयोग करते हैं, और प्रभावित कंप्यूटर पर रूटकिट कैसे काम करते हैं। शुरुआती के लिए रूटकिट्स के साथ शुरू होने वाली रिपोर्ट का एक सारांश यहां दिया गया है।

रूटकिट उपकरण का एक सेट है जो किसी हमलावर या मैलवेयर निर्माता किसी भी उजागर / असुरक्षित प्रणाली पर नियंत्रण प्राप्त करने के लिए उपयोग करता है जो अन्यथा सामान्य रूप से सिस्टम व्यवस्थापक के लिए आरक्षित होता है। हाल के वर्षों में शब्द 'रूटकिट' या 'रूटकिट फंक्शनलिटी' को माल्वर द्वारा प्रतिस्थापित किया गया है - एक प्रोग्राम जिसे स्वस्थ कंप्यूटर पर अवांछनीय प्रभाव पड़ने के लिए डिज़ाइन किया गया है। मैलवेयर का मुख्य कार्य उपयोगकर्ता के कंप्यूटर से चुपके से मूल्यवान डेटा और अन्य संसाधनों को वापस लेना है और इसे हमलावर को प्रदान करना है, जिससे समझौता कंप्यूटर पर उसे पूर्ण नियंत्रण मिल रहा है। इसके अलावा, अगर वे अनजान हो गए, तो विस्तारित अवधि, संभावित रूप से वर्षों के लिए उन्हें पता लगाना और निकालना मुश्किल हो सकता है।

तो स्वाभाविक रूप से, एक समझौता कंप्यूटर के लक्षणों को मुखौटा करने की आवश्यकता है और परिणाम से पहले घातक साबित होता है। विशेष रूप से, हमले को उजागर करने के लिए और अधिक कड़े सुरक्षा उपाय किए जाने चाहिए। लेकिन, जैसा कि बताया गया है, एक बार ये रूटकिट / मैलवेयर स्थापित हो जाने के बाद, इसकी चुपके क्षमताओं को इसे और उसके घटकों को डाउनलोड करना मुश्किल हो जाता है। इस कारण से, माइक्रोसॉफ्ट ने रूटकिट्स पर एक रिपोर्ट बनाई है।

रूटकिट्स पर माइक्रोसॉफ्ट मैलवेयर प्रोटेक्शन सेंटर धमकी रिपोर्ट

16 पृष्ठ की रिपोर्ट बताती है कि कैसे हमलावर रूटकिट का उपयोग करता है और ये रूटकिट प्रभावित कंप्यूटर पर कैसे काम करते हैं।

रिपोर्ट का एकमात्र उद्देश्य विशेष रूप से कई संगठनों, कंप्यूटर उपयोगकर्ताओं को धमकी देने वाले शक्तिशाली मैलवेयर की पहचान और बारीकी से जांच करना है। यह कुछ प्रचलित मैलवेयर परिवारों का भी उल्लेख करता है और हमलावरों को स्वस्थ प्रणालियों पर अपने स्वयं के स्वार्थी उद्देश्यों के लिए इन रूटकिट को स्थापित करने के लिए उपयोग की जाने वाली विधि को प्रकाश में लाता है। रिपोर्ट के शेष में, आप विशेषज्ञों को रूटकिट से खतरे को कम करने में मदद करने के लिए कुछ सिफारिशें करेंगे।

रूटकिट के प्रकार

ऐसे कई स्थान हैं जहां मैलवेयर स्वयं को ऑपरेटिंग सिस्टम में स्थापित कर सकता है। इसलिए, ज्यादातर रूटकिट का प्रकार उसके स्थान से निर्धारित होता है जहां यह निष्पादन पथ का उपखंड करता है। यह भी शामिल है:

उपयोगकर्ता मोड रूटकिट्स
कर्नेल मोड रूटकिट्स
एमबीआर रूटकिट्स / बूटकिट्स

कर्नेल मोड रूटकिट समझौता का संभावित प्रभाव नीचे स्क्रीन-शॉट के माध्यम से चित्रित किया गया है।

तीसरा प्रकार, सिस्टम बूट पर नियंत्रण पाने के लिए मास्टर बूट रिकॉर्ड को संशोधित करें और बूट अनुक्रम 3 में सबसे शुरुआती संभावित बिंदु लोड करने की प्रक्रिया शुरू करें। यह फाइलों, रजिस्ट्री संशोधनों, नेटवर्क कनेक्शन के साक्ष्य के साथ-साथ अन्य संभावित संकेतक छुपाता है जो इसकी उपस्थिति का संकेत दे सकते हैं।

उल्लेखनीय मैलवेयर परिवार जो रूटकिट कार्यक्षमता का उपयोग करते हैं

Win32 / Sinowal13 - मैलवेयर का एक बहु-घटक परिवार जो विभिन्न डेटा के लिए उपयोगकर्ता नाम और पासवर्ड जैसे संवेदनशील डेटा चोरी करने का प्रयास करता है। इसमें विभिन्न प्रकार के एफ़टीपी, HTTP, और ईमेल खातों के साथ प्रमाणीकरण विवरण चोरी करने का प्रयास किया गया है, साथ ही साथ ऑनलाइन बैंकिंग और अन्य वित्तीय लेनदेन के लिए उपयोग किए जाने वाले प्रमाण-पत्र भी शामिल हैं।

Win32 / Cutwail15 - एक ट्रोजन जो मनमाने ढंग से फ़ाइलों को डाउनलोड और निष्पादित करता है। डाउनलोड की गई फ़ाइलों को डिस्क से निष्पादित किया जा सकता है या सीधे अन्य प्रक्रियाओं में इंजेक्शन दिया जा सकता है। जबकि डाउनलोड की गई फ़ाइलों की कार्यक्षमता परिवर्तनीय है, कटवाइल आम तौर पर स्पैम भेजने वाले अन्य घटकों को डाउनलोड करता है।

यह कर्नेल मोड रूटकिट का उपयोग करता है और प्रभावित उपयोगकर्ताओं से अपने घटकों को छिपाने के लिए कई डिवाइस ड्राइवर स्थापित करता है।

Win32 / Rustock - रूटकिट-सक्षम बैकडोर ट्रोजन के एक बहु-घटक परिवार ने प्रारंभ में "स्पैम" ईमेल के वितरण में सहायता के लिए विकसित किया botnet। एक बॉटनेट समझौता कंप्यूटर के एक बड़े हमलावर नियंत्रित नेटवर्क है।

रूटकिट के खिलाफ संरक्षण

रूटकिट्स की संक्रमण को रोकने से रूटकिट्स द्वारा संक्रमण से बचने का सबसे प्रभावी तरीका है। इसके लिए, एंटी-वायरस और फ़ायरवॉल उत्पादों जैसे सुरक्षात्मक प्रौद्योगिकियों में निवेश करना आवश्यक है। इस तरह के उत्पादों को परंपरागत हस्ताक्षर-आधारित पहचान, हेरिस्टिक पहचान, गतिशील और उत्तरदायी हस्ताक्षर क्षमता और व्यवहार निगरानी का उपयोग करके सुरक्षा के लिए एक व्यापक दृष्टिकोण लेना चाहिए।

इन सभी हस्ताक्षर सेटों को स्वचालित अद्यतन तंत्र का उपयोग करके अद्यतित रखा जाना चाहिए। माइक्रोसॉफ्ट एंटीवायरस समाधानों में विशेष रूप से रूटकिट्स को कम करने के लिए डिज़ाइन की गई कई तकनीकों को शामिल किया गया है, जिसमें लाइव कर्नेल व्यवहार निगरानी शामिल है जो किसी प्रभावित सिस्टम के कर्नेल को संशोधित करने के प्रयासों पर पता लगाता है और रिपोर्ट करता है, और प्रत्यक्ष फ़ाइल सिस्टम पार्सिंग जो छिपे हुए ड्राइवरों की पहचान और निष्कासन को सुविधाजनक बनाता है।

यदि किसी सिस्टम को समझौता किया गया है तो एक अतिरिक्त टूल जो आपको ज्ञात अच्छे या विश्वसनीय वातावरण में बूट करने की अनुमति देता है, उपयोगी साबित हो सकता है क्योंकि यह कुछ उचित उपचार उपायों का सुझाव दे सकता है।

ऐसी परिस्थितियों में,