感染病毒的威胁非常真实。看不见的部队经常攻击我们的计算机,窃取我们的身份并袭击我们的银行帐户,这是一个不变的现象,但是我们希望,有了适当的技术知识和一点运气,一切都会好起来的。
然而,像防病毒软件和其他安全软件一样先进,潜在的攻击者仍在继续寻找新的,恶魔般的媒介来破坏您的系统。引导程序包就是其中之一。尽管对于恶意软件而言,这并不是一个全新的概念,但其使用范围已普遍增加,并且功能也得到了一定程度的增强。
让我们看看Bootkit是什么,检查Bootkit的变体Nemesis,并考虑可以做些什么来保持清晰。
什么是Bootkit?
要了解Bootkit是什么,我们首先将解释术语的来源。引导程序是rootkit的变体,rootkit是一种恶意软件,能够将其自身隐藏在操作系统和防病毒软件中。众所周知,Rootkit很难检测和删除。每次启动系统时,rootkit都会为攻击者授予对系统的连续根级别访问权限。
可以出于多种原因安装rootkit。有时,rootkit将被用于安装更多的恶意软件,有时将被用于在僵尸网络内创建“僵尸"计算机,可用于窃取加密密钥和密码,或者将其与其他攻击媒介结合使用。 p>
引导加载程序级别(bootkit)rootkit用其攻击者的设计之一替换或修改了合法的引导加载程序,从而影响了主引导记录,卷引导记录或其他引导扇区。这意味着感染可以在操作系统之前加载,从而可以破坏任何检测和破坏程序。
它们的使用正在增加,安全专家注意到许多针对货币服务的攻击,其中“ Nemesis"是最近观察到的恶意软件生态系统之一。
安全性Nemesis?
不是,不是《星际迷航》 电影,而是引导程序的一个特别讨厌的变体。 Nemesis恶意软件生态系统具有多种攻击功能,包括文件传输,屏幕捕获,击键日志记录,进程注入,进程操纵和任务调度。最早发现Nemesis的网络安全公司FireEye也表示,该恶意软件包括对一系列网络协议和通讯渠道的后门支持综合系统,一旦安装,即可进行更强大的命令和控制。
Windows系统的主启动记录(MBR)存储与磁盘有关的信息,例如分区的数量和布局。 MBR对于引导过程至关重要,其中包含用于定位活动主分区的代码。找到该文件后,控制权将传递到位于单个分区的第一个扇区上的卷启动记录(VBR)。
Nemesis引导程序劫持了该过程。该恶意软件创建了一个自定义虚拟文件系统,以将Nemesis组件存储在分区之间的未分配空间中,并通过在其名为“ BOOTRASH"的系统中覆盖其原始代码,从而劫持了原始VBR。
安装后,BOOTRASH安装程序会收集有关系统的统计信息,包括操作系统版本和体系结构。根据系统的处理器体系结构,该安装程序能够部署32位或64位版本的Nemesis组件。无论硬盘驱动器的具体类型如何,安装程序都会在具有MBR引导分区的任何硬盘上安装bootkit。但是,如果分区使用GUID分区表磁盘体系结构而不是MBR分区方案,则恶意软件将不会继续安装过程。"
然后,每次调用分区时,恶意软件代码将等待中的Nemesis组件注入Windows。结果,“恶意软件的安装位置也意味着,即使重新安装操作系统后,它仍将持续存在,这被广泛认为是消除恶意软件的最有效方法,"这使得为建立一个干净的系统付出了艰巨的努力。
有趣的是,Nemesis恶意软件生态系统确实包括其自己的卸载功能。这样可以还原原始的引导扇区,并从系统中删除恶意软件,但是只有在攻击者需要自行删除恶意软件的情况下才存在。
UEFI安全启动
Nemesis引导程序在很大程度上影响了金融组织,以收集数据并窃取资金。它们的使用不足为奇,英特尔高级技术营销工程师Brian Richardson指出:“自从“在A中插入磁盘,然后按ENTER键继续"以来,MBR引导程序和rootkit一直是病毒攻击的载体。虽然Nemesis无疑是一种非常危险的恶意软件,但它可能不会如此轻易地影响您的家庭系统。
最近几年创建的Windows系统很可能已使用GUID分区表进行了格式化,并带有基于UEFI的基础固件。恶意软件的BOOTRASH虚拟文件系统创建部分依赖于传统磁盘中断,而传统磁盘中断在使用UEFI进行引导的系统中不会存在,而UEFI安全引导签名检查会在引导过程中阻止引导工具包。
因此,至少到现在为止,预装了Windows 8或Windows 10的那些较新的系统都可以完全避免这种威胁。但是,它确实说明了大型公司未能更新其IT硬件的一个主要问题。那些仍在使用Windows 7的公司,以及在许多地方仍在使用Windows XP的公司,仍然使自己和客户面临重大的财务和数据威胁。
The Poison,The Remedy < /
Rootkit是棘手的运算符。他们是混淆大师,旨在控制系统尽可能长的时间,并在这段时间内收集尽可能多的信息。防病毒和反恶意软件公司已经注意到,并且用户现在可以使用许多rootkit删除应用程序:
即使提供了成功删除的机会,许多安全专家也同意唯一可以确保99%的系统干净的方法是完整的驱动器格式-因此请确保备份系统!
您是否经历过rootkit或bootkit?您是如何清理系统的?让我们在下面知道!
