Home-theater-designers
Die Gefahr, einen Virus aufzunehmen, ist sehr real. Die Allgegenwart unsichtbarer Kräfte, die unsere Computer angreifen, unsere Identitäten stehlen und unsere Bankkonten durchsuchen, ist eine Konstante, aber wir hoffen, dass mit den richtige Menge an technischem Nous und ein bisschen Glück, alles wird gut.
mac verbindet sich nicht mit dem internet
Doch so fortschrittlich Antiviren- und andere Sicherheitssoftware auch sein mögen, potenzielle Angreifer finden immer wieder neue, teuflische Vektoren, um Ihr System zu stören. Das Bootkit ist eines davon. Obwohl sie in der Malware-Szene nicht ganz neu sind, hat ihre Verwendung allgemein zugenommen und ihre Fähigkeiten deutlich verbessert.
Schauen wir uns an, was ein Bootkit ist, untersuchen wir eine Variante des Bootkits, Nemesis, und Überlege, was du tun kannst, um klar zu bleiben .
Was ist ein Bootkit?
Um zu verstehen, was ein Bootkit ist, erklären wir zunächst, woher die Terminologie kommt. Ein Bootkit ist eine Variante eines Rootkits, einer Art von Malware, die sich vor Ihrem Betriebssystem und Ihrer Antivirensoftware verbergen kann. Rootkits sind bekanntermaßen schwer zu erkennen und zu entfernen. Jedes Mal, wenn Sie Ihr System starten, gewährt das Rootkit einem Angreifer ständigen Root-Level-Zugriff auf das System.
Ein Rootkit kann aus verschiedenen Gründen installiert werden. Manchmal wird das Rootkit verwendet, um weitere Malware zu installieren, manchmal wird es verwendet, um einen „Zombie“-Computer innerhalb eines Botnets zu erstellen, es kann verwendet werden, um Verschlüsselungsschlüssel und Passwörter oder eine Kombination dieser und anderer Angriffsvektoren zu stehlen.
Rootkits auf Bootloader-Ebene (Bootkit) ersetzen oder modifizieren den legitimen Bootloader mit einem seiner Angreifer-Designs, was den Master Boot Record, Volume Boot Record oder andere Bootsektoren beeinflusst. Dies bedeutet, dass die Infektion vor dem Betriebssystem geladen werden kann und somit alle Erkennungs- und Zerstörungsprogramme unterlaufen kann.
Ihr Einsatz nimmt zu, und Sicherheitsexperten haben eine Reihe von Angriffen festgestellt, die sich auf Gelddienste konzentrieren, von denen „Nemesis“ eines der zuletzt beobachteten Malware-Ökosysteme ist.
Eine Sicherheits-Nemesis?
Nein, nicht a Star Trek Film, sondern eine besonders fiese Variante des Bootkits. Das Nemesis-Malware-Ökosystem bietet eine Vielzahl von Angriffsmöglichkeiten, darunter Dateiübertragungen, Bildschirmaufnahme, Tastendruckprotokollierung, Prozessinjektion, Prozessmanipulation und Aufgabenplanung. FireEye, das Cybersicherheitsunternehmen, das Nemesis zum ersten Mal entdeckte, wies außerdem darauf hin, dass die Malware ein umfassendes System zur Backdoor-Unterstützung für eine Reihe von Netzwerkprotokollen und Kommunikationskanälen umfasst, das nach der Installation eine bessere Kontrolle und Kontrolle ermöglicht.
In einem Windows-System speichert der Master Boot Record (MBR) Informationen bezüglich der Festplatte, wie beispielsweise die Anzahl und das Layout von Partitionen. Der MBR ist für den Bootvorgang von entscheidender Bedeutung und enthält den Code, der die aktive primäre Partition lokalisiert. Sobald dies gefunden wurde, wird die Kontrolle an den Volume Boot Record (VBR) übergeben, der sich im ersten Sektor der einzelnen Partition befindet.
Das Nemesis-Bootkit entführt diesen Prozess. Die Malware erstellt ein benutzerdefiniertes virtuelles Dateisystem, um Nemesis-Komponenten im nicht zugewiesenen Speicherplatz zwischen Partitionen zu speichern, und entführt den ursprünglichen VBR, indem sie den ursprünglichen Code mit seinem eigenen überschreibt, in einem System namens 'BOOTRASH'.
'Vor der Installation sammelt das BOOTRASH-Installationsprogramm Statistiken über das System, einschließlich der Betriebssystemversion und -architektur. Das Installationsprogramm kann je nach Prozessorarchitektur des Systems 32-Bit- oder 64-Bit-Versionen der Nemesis-Komponenten bereitstellen. Das Installationsprogramm installiert das Bootkit auf jeder Festplatte, die über eine MBR-Bootpartition verfügt, unabhängig vom spezifischen Festplattentyp. Wenn die Partition jedoch die Festplattenarchitektur der GUID-Partitionstabelle verwendet, im Gegensatz zum MBR-Partitionierungsschema, wird die Malware den Installationsvorgang nicht fortsetzen.'
Dann injiziert der Schadcode bei jedem Aufruf der Partition die wartenden Nemesis-Komponenten in Windows. Als Ergebnis , 'der Installationsort der Malware bedeutet auch, dass sie auch nach einer Neuinstallation des Betriebssystems bestehen bleibt, was allgemein als die effektivste Methode zur Beseitigung von Malware angesehen wird', was einen mühsamen Kampf um ein sauberes System hinterlässt.
Lustigerweise enthält das Nemesis-Malware-Ökosystem eine eigene Deinstallationsfunktion. Dies würde den ursprünglichen Bootsektor wiederherstellen und die Malware von Ihrem System entfernen – aber nur für den Fall, dass die Angreifer die Malware von selbst entfernen müssen.
Sicherer UEFI-Boot
Das Bootkit von Nemesis hat weitgehend Finanzorganisationen beeinflusst, um Daten zu sammeln und Gelder abzuschöpfen. Ihre Verwendung überrascht nicht den leitenden technischen Marketing-Ingenieur von Intel, Brian Richardson , Wer Anmerkungen 'MBR-Bootkits und -Rootkits sind seit den Tagen von 'Diskette in A: einlegen und zum Fortfahren die EINGABETASTE drücken' ein Virusangriffsvektor. Er erklärte weiter, dass Nemesis zwar zweifellos eine massiv gefährliche Malware ist, Ihr Heimsystem jedoch möglicherweise nicht so leicht beeinträchtigt.
So entfernen Sie eine gesprungene Displayschutzfolie
Windows-Systeme, die in den letzten Jahren erstellt wurden, wurden wahrscheinlich mit einer GUID-Partitionstabelle formatiert, wobei die zugrunde liegende Firmware auf UEFI basiert. Der Teil zur Erstellung des virtuellen BOOTRASH-Dateisystems der Malware basiert auf einem Legacy-Festplatteninterrupt, der auf Systemen, die mit UEFI booten, nicht vorhanden ist, während die UEFI Secure Boot-Signaturprüfung ein Bootkit während des Bootvorgangs blockieren würde.
Die neueren Systeme, auf denen Windows 8 oder Windows 10 vorinstalliert sind, könnten also zumindest vorerst von dieser Bedrohung befreit sein. Es veranschaulicht jedoch ein wichtiges Problem bei großen Unternehmen, die es versäumen, ihre IT-Hardware zu aktualisieren. Diese Unternehmen verwenden immer noch Windows 7 und an vielen Stellen still die Windows XP verwenden, setzen sich und ihre Kunden einer großen Bedrohung für Finanzen und Daten aus.
Das Gift, das Heilmittel
Rootkits sind knifflige Operatoren. Als Meister der Verschleierung sind sie darauf ausgelegt, ein System so lange wie möglich zu kontrollieren und während dieser Zeit so viele Informationen wie möglich zu sammeln. Antivirus- und Anti-Malware-Unternehmen haben zur Kenntnis genommen und eine Reihe von Rootkits Entfernungsanwendungen sind jetzt für Benutzer verfügbar :
- Malwarebytes Anti-Rootkit-Beta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER – fortgeschrittene Anwendung, die eine manuelle Entfernung erfordert
Auch wenn die Chance auf eine erfolgreiche Entfernung angeboten wird, sind sich viele Sicherheitsexperten einig, dass der einzige Weg, ein sauberes System zu 99% sicher zu sein, ein vollständiges Laufwerksformat ist - also stellen Sie sicher, dass Ihr System gesichert ist!
Haben Sie ein Rootkit oder sogar ein Bootkit erlebt? Wie hast du dein System aufgeräumt? Lassen Sie es uns unten wissen!
Teilen Teilen Tweet Email 3 Möglichkeiten, um zu überprüfen, ob eine E-Mail echt oder gefälscht istWenn Sie eine E-Mail erhalten haben, die etwas zweifelhaft aussieht, ist es immer am besten, die Echtheit zu überprüfen. Hier sind drei Möglichkeiten, um festzustellen, ob eine E-Mail echt ist.
Weiter lesen Verwandte Themen- Sicherheit
- Festplattenpartition
- Hacken
- Computersicherheit
- Malware
Gavin ist Junior Editor für Windows and Technology Explained, schreibt regelmäßig am Really Useful Podcast und ist regelmäßiger Produktrezensent. Er hat einen BA (Hons) Contemporary Writing with Digital Art Practices, der aus den Hügeln von Devon geplündert wurde, sowie über ein Jahrzehnt an professioneller Schreiberfahrung. Er genießt reichlich Tee, Brettspiele und Fußball.
Mehr von Gavin PhillipsAbonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um sich zu abonnieren