Bootkit là gì và Nemesis có phải là mối đe dọa thực sự không?

Bootkit là gì và Nemesis có phải là mối đe dọa thực sự không?

Mối đe dọa nhiễm virus là rất thực tế. Việc các lực lượng vô hình chung tấn công máy tính của chúng ta, đánh cắp danh tính và tấn công tài khoản ngân hàng của chúng ta là điều không đổi, nhưng chúng tôi hy vọng rằng với đúng số lượng kỹ thuật nous và một chút may mắn, mọi thứ sẽ ổn.





máy tính sẽ không khởi động ở chế độ an toàn

Tuy nhiên, tiên tiến như phần mềm chống vi-rút và các phần mềm bảo mật khác, những kẻ tấn công sẽ tiếp tục tìm ra các vectơ mới, quỷ quái để phá vỡ hệ thống của bạn. Bộ khởi động là một trong số đó. Mặc dù không hoàn toàn mới đối với bối cảnh phần mềm độc hại, nhưng đã có sự gia tăng chung trong việc sử dụng chúng và tăng cường rõ ràng khả năng của chúng.



Hãy xem bootkit là gì, kiểm tra một biến thể của bootkit, Nemesis, và xem xét những gì bạn có thể làm để luôn rõ ràng .





Bootkit là gì?

Để hiểu bootkit là gì, trước tiên chúng tôi sẽ giải thích thuật ngữ này đến từ đâu. Bootkit là một biến thể của rootkit, một loại phần mềm độc hại có khả năng tự che giấu khỏi hệ điều hành và phần mềm chống vi-rút của bạn. Rootkit nổi tiếng là khó phát hiện và gỡ bỏ. Mỗi khi bạn kích hoạt hệ thống của mình, rootkit sẽ cấp cho kẻ tấn công quyền truy cập cấp gốc liên tục vào hệ thống.

Một rootkit có thể được cài đặt vì bất kỳ lý do nào. Đôi khi rootkit sẽ được sử dụng để cài đặt nhiều phần mềm độc hại hơn, đôi khi nó sẽ được sử dụng để tạo một máy tính 'thây ma' trong mạng botnet, nó có thể được sử dụng để lấy cắp khóa mã hóa và mật khẩu hoặc kết hợp những thứ này với các vectơ tấn công khác.



Các rootkit cấp bộ tải khởi động (bootkit) thay thế hoặc sửa đổi bộ tải khởi động hợp pháp bằng một trong những thiết kế của kẻ tấn công, ảnh hưởng đến Bản ghi khởi động chính, Bản ghi khởi động khối lượng hoặc các lĩnh vực khởi động khác. Điều này có nghĩa là sự lây nhiễm có thể được tải trước hệ điều hành và do đó có thể phá hủy bất kỳ chương trình phát hiện và phá hủy nào.

Việc sử dụng chúng đang gia tăng và các chuyên gia bảo mật đã ghi nhận một số cuộc tấn công tập trung vào các dịch vụ tiền tệ, trong đó 'Nemesis' là một trong những hệ sinh thái phần mềm độc hại được quan sát gần đây nhất.



Một Nemesis An ninh?

Không, không phải là một Star Trek nhưng là một biến thể đặc biệt khó chịu của bootkit. Hệ sinh thái phần mềm độc hại Nemesis đi kèm với một loạt các khả năng tấn công, bao gồm truyền tệp, chụp màn hình, ghi nhật ký tổ hợp phím, chèn quy trình, thao tác quy trình và lập lịch tác vụ. FireEye, công ty an ninh mạng đầu tiên phát hiện ra Nemesis, cũng chỉ ra rằng phần mềm độc hại này bao gồm một hệ thống hỗ trợ cửa hậu toàn diện cho một loạt các giao thức mạng và kênh giao tiếp, cho phép kiểm soát và ra lệnh nhiều hơn sau khi được cài đặt.

Trong hệ thống Windows, Master Boot Record (MBR) lưu trữ thông tin liên quan đến đĩa, chẳng hạn như số lượng và cách bố trí các phân vùng. MBR rất quan trọng đối với quá trình khởi động, chứa mã định vị phân vùng chính đang hoạt động. Khi điều này được tìm thấy, quyền kiểm soát được chuyển đến Bản ghi Khởi động Khối lượng (VBR) nằm trên khu vực đầu tiên của phân vùng riêng lẻ.



Bộ khởi động Nemesis tấn công quá trình này. Phần mềm độc hại tạo ra một hệ thống tệp ảo tùy chỉnh để lưu trữ các thành phần Nemesis trong không gian chưa được phân bổ giữa các phân vùng, chiếm đoạt VBR gốc bằng cách ghi đè lên mã gốc bằng mã của chính nó, trong một hệ thống có tên là 'BOOTRASH.'

'Trước khi cài đặt, trình cài đặt BOOTRASH thu thập số liệu thống kê về hệ thống, bao gồm cả phiên bản hệ điều hành và kiến ​​trúc. Trình cài đặt có khả năng triển khai các phiên bản 32 bit hoặc 64 bit của các thành phần Nemesis tùy thuộc vào kiến ​​trúc bộ xử lý của hệ thống. Trình cài đặt sẽ cài đặt bộ khởi động trên bất kỳ đĩa cứng nào có phân vùng khởi động MBR, bất kể loại ổ cứng cụ thể. Tuy nhiên, nếu phân vùng sử dụng kiến ​​trúc đĩa Bảng phân vùng GUID, trái ngược với sơ đồ phân vùng MBR, phần mềm độc hại sẽ không tiếp tục quá trình cài đặt. '

Sau đó, mỗi khi phân vùng được gọi, mã độc sẽ tiêm các thành phần Nemesis đang chờ vào Windows. Kết quả là , 'vị trí cài đặt của phần mềm độc hại cũng có nghĩa là nó sẽ tồn tại ngay cả sau khi cài đặt lại hệ điều hành, được nhiều người coi là cách hiệu quả nhất để loại bỏ phần mềm độc hại', để lại một cuộc đấu tranh khó khăn cho một hệ thống trong sạch.

Thật thú vị, hệ sinh thái phần mềm độc hại Nemesis bao gồm tính năng gỡ cài đặt của riêng nó. Điều này sẽ khôi phục khu vực khởi động ban đầu và xóa phần mềm độc hại khỏi hệ thống của bạn - nhưng chỉ ở đó trong trường hợp những kẻ tấn công cần xóa phần mềm độc hại theo cách riêng của họ.

Khởi động an toàn UEFI

Bộ khởi động Nemesis đã ảnh hưởng phần lớn đến các tổ chức tài chính nhằm thu thập dữ liệu và bòn rút tiền. Việc sử dụng chúng không gây ngạc nhiên cho kỹ sư tiếp thị kỹ thuật cao cấp của Intel, Brian Richardson , ai ghi chú 'MBR bootkit & rootkit đã là một vectơ tấn công vi rút kể từ những ngày' Chèn đĩa vào A: và nhấn ENTER để tiếp tục. ' Anh ấy giải thích rằng mặc dù Nemesis chắc chắn là một phần mềm độc hại cực kỳ nguy hiểm, nhưng nó có thể không ảnh hưởng đến hệ thống gia đình của bạn một cách dễ dàng.

tôi nên làm loại video youtube nào

Các hệ thống Windows được tạo trong vài năm gần đây có thể sẽ được định dạng bằng Bảng phân vùng GUID, với phần sụn cơ bản dựa trên UEFI. Phần tạo hệ thống tệp ảo BOOTRASH của phần mềm độc hại dựa trên một ngắt đĩa kế thừa sẽ không tồn tại trên hệ thống khởi động bằng UEFI, trong khi kiểm tra chữ ký Khởi động an toàn UEFI sẽ chặn bộ khởi động trong quá trình khởi động.

Vì vậy, những hệ thống mới hơn được cài đặt sẵn Windows 8 hoặc Windows 10 cũng có thể được loại bỏ khỏi mối đe dọa này, ít nhất là bây giờ. Tuy nhiên, nó cho thấy một vấn đề lớn là các công ty lớn không cập nhật phần cứng CNTT của họ. Những công ty này vẫn đang sử dụng Windows 7 và ở nhiều nơi vẫn còn sử dụng Windows XP, đang khiến chính họ và khách hàng của họ gặp phải mối đe dọa lớn về tài chính và dữ liệu.

Thuốc độc, Biện pháp khắc phục

Rootkit là những toán tử phức tạp. Bậc thầy về obfuscation, chúng được thiết kế để kiểm soát một hệ thống càng lâu càng tốt, thu thập càng nhiều thông tin càng tốt trong suốt thời gian đó. Các công ty chống vi-rút và phần mềm chống phần mềm độc hại đã lưu ý và một số rootkit các ứng dụng gỡ bỏ hiện có sẵn cho người dùng :

Ngay cả khi có cơ hội xóa thành công theo đề nghị, nhiều chuyên gia bảo mật đồng ý rằng cách duy nhất để chắc chắn 99% về một hệ thống sạch là một định dạng ổ đĩa hoàn chỉnh - vì vậy hãy đảm bảo hệ thống của bạn luôn được sao lưu!

Bạn đã trải nghiệm rootkit hay thậm chí là bootkit chưa? Bạn đã dọn dẹp hệ thống của mình như thế nào? Hãy cho chúng tôi biết bên dưới!

Đăng lại Đăng lại tiếng riu ríu E-mail 3 cách để kiểm tra xem một email là thật hay giả

Nếu bạn nhận được một email có vẻ hơi khó hiểu, tốt nhất bạn nên kiểm tra tính xác thực của nó. Dưới đây là ba cách để biết một email có phải là thật hay không.

Đọc tiếp Chủ đề liên quan
  • Bảo vệ
  • Phân vùng đĩa
  • Hacking
  • Bảo mật máy tính
  • Phần mềm độc hại
Giới thiệu về tác giả Gavin Phillips(Đã xuất bản 945 bài báo)

Gavin là Junior Editor cho Windows and Technology Explained, người đóng góp thường xuyên cho Podcast Thực sự Hữu ích và là người đánh giá sản phẩm thường xuyên. Anh ấy có bằng Cử nhân (Hons) Viết đương đại với Thực hành nghệ thuật kỹ thuật số bị cướp đoạt từ những ngọn đồi của Devon, cũng như hơn một thập kỷ kinh nghiệm viết văn chuyên nghiệp. Anh ấy thích uống nhiều trà, trò chơi trên bàn và bóng đá.

Xem thêm từ Gavin Phillips

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký