Hoppa till huvudinnehållet
TECHNOLOGY

Skydd mot rootkit och återställningsteknik

Vissa identifierings- och neutraliseringsmetoder är inriktade på specifik rootkit-teknik, medan andra moduler för rootkit-skydd söker igenom systemminnet och kritiska områden där skadlig programvara kan finnas.

Rootkit är skadlig programvara som använder sig av olika tekniker för att se till att skadliga koder och aktiviteter inte upptäcks och för att förhindra antivirusprogrammets återställningsåtgärder. Skydd mot rootkit är en Kaspersky-teknik med säkerhet på flera nivåer. Detta är nästa generations skydd som identifierar aktiv smitta som orsakats av rootkit-program och förhindrar att denna typ av smitta får åtkomst till systemet.

De flesta rootkit består av en drivrutin (eller flera) med kernellägesfunktioner och kan utsätta systemet för följande:

  • dölja lagrade filer (HDD), Windows-registernycklar och -värden, systemprocesser, belastade moduler, minnesutrymmen (vid fillös skadlig programvara), nätverksaktiviteter, disksektorer och andra objekt och artefakter
  • blockering av justering eller borttagning av rootkitet med hjälp av antivirusskydd inkl. återställning av ändrade objekt
  • ger skadliga koder/program åtkomst till operativsystemets kärna (för att förhindra eliminering via antivirusskydd) och ger skadliga koder åtkomst till befogade processer, intrång i nätverkstrafiken (övervakning), tangentövertagande (tangentbordsloggning) m.m.

Målet för den som skapat den skadliga programvaran är att deras koder ska kunna stanna i det utsatta systemet under en längre tid, även om systemet skyddas av ett antivirusprogram. De utvecklar därför olika metoder för att förhindra att deras skadliga koder upptäcks och tas bort, och använder sig av både välkända och nya metoder för att hantera operativsystemet. Rootkiten kan ta sig in i systemet, både i användarläge och kernelläge, på flera sätt och manipulerar objekt (DKOM) samt innehåller teknik för att kunna kringgå både filtreringsdrivrutiner och återanropsfunktion m.m. För att rootkitet ska kunna klamra sig fast i det utsatta systemet måste det köras redan när operativsystemet startas. De sprider sig då till startsektorer som MBR (Master Boot Record) och VBR (Volume Boot Record). Rootkit med dessa funktioner kallas för BootKit.

Anti-rootkitsteknik från Kaspersky

  • Sök efter aktiv smitta i operativsystemsminnet
  • Skanna samtliga platser där automatisk körning kan användas
  • Vidta åtgärder vid upptäckt av aktiv smitta och återställ startprogrammet för operativsystemet på ett tidigt stadium
  • Bli av med aktiv smitta genom att installera produkten i det utsatta systemet

Den här avancerade flermodulstekniken identifierar och tar bort aktiv smitta på två sätt, en exakt metod och en generisk metod. Bägge metoder används i Kaspersky-produkterna.
Exakt metod: används för att identifiera och ta bort specifik rootkit-teknik som döljer bevis på närvaro eller genomför motåtgärder som hindrar antivirusskyddet från att ta bort smittan. Denna metod skyddar dig mot rootkit under en kortare tidsperiod och fokuserar på aktuella utbrott och är mer effektiv, rent tidsmässigt, än den generiska metoden.

Generisk metod: anti-rootkitsskyddet skannar aktiva processer, systemmoduler, minnen, objekt som körs automatiskt och ser till att övriga antiviruskomponenter som emulator, AV-motor, statisk heuristisk analysfunktion, beteendebaserade heuristiska verktyg i maskininlärningsmodeller osv. får åtkomst till den skadliga koden. Om någon av de angivna komponenterna aktiveras kommer rootkitsskyddet att rensa smittan från systemet.

Anti-rootkitskomponenter

  • Installationsskydd: motverkar aktiv smitta vid installation av säkerhetsprodukter i det utsatta systemet
  • Diskåtkomst på lägsta nivå, arkivåtkomst på lägsta nivå, inneslutning: ge minimal åtkomst till hårddisk och Windows-arkiv och förhindra obehörig åtkomst på flera sätt. Inkluderar implementering av tekniker för inneslutning av aktiv smitta innan den kan åtgärdas
  • Rensning vid start: utför åtgärder när operativsystemet startas
  • Systemminnesskanning: modul som söker igenom systemminnet och vidtar åtgärder för att ta bort eventuella rootkit
  • Filsystemsparser, arkivparser: avkodar ett flertal olika format i filsystem och Windows-arkiv
  • Skanning av kritiska områden: modul som skannar och åtgärdar objekt som körs automatiskt och kan med fördel användas i kombination med ovanstående moduler.

Rootkit som gömmer sig i inbyggd programvara har under de senaste åren blivit ett allt vanligare hot. Denna typ av skadlig programvara är mycket farlig och tar sig in i startsekvenserna för operativsystemet för att klamra sig fast även om disken formateras och operativsystemet startas om. De första UEFI-rootkiten upptäcktes 2015. Under de följande åren har ett flertal APT-attacker med den här typen av rootkit lyckats ta sig in i systemen.

Våra anti-rootkitstekniker innehåller därför ett skanningsprogram för inbyggd programvara som analyserar ROM BIOS-innehållet vid skanning av kritiska områden. Tekniken kan användas både i system som startas i UEFI-läge eller tidigare läge (BIOS).

Så här fungerar skanningsprogrammet för inbyggd programvara:

  • ROM BIOS-innehållet tillhandahålls av en specialdrivrutin.
  • Skanningsprogrammet går igenom innehållet med hjälp av heuristiska verktyg som utformats specifikt för rootkit-identifiering.
  • Om skadliga koder påträffas får du ett meddelande om var i systemet de befinner sig (systemminnet) och vilket läge som användes när systemet startades (MEM:Rootkit.Multi.EFI.a-bedömning vid UEFI-läge, MEM:Rootkit.Multi.BIOS.a-bedömning vid användning av tidigare läge).
  • Automatisk återställning utförs inte för att hantera denna typ av smitta eftersom justering av ROM BIOS-innehåll är en plattformsberoende och potentiellt farlig uppgift. Kontakta support för anvisningar om hur du skriver om ROM BIOS-innehållet manuellt vid upptäckt av rootkit. I värsta fall kan du behöva byta ut moderkortet.

Kaspersky Internet Security-larm vid identifiering av UEFI-rootkit

Skanningsprogrammet för inbyggd programvara från Kaspersky identifierar samtliga välkända UEFI-rootkit inkl. Hacking Team (VectorEDK), Lojax (DoubleAgent) och Finfish. Dedikerade heuristiska data uppdateras regelbundet baserat på de senaste rootkit-hoten som identifierats av Kasperskys experter och experter hos andra leverantörer. Skanningsprogrammet för inbyggd programvara används i alla våra huvudprodukter (Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Endpoint Security for Business m.m.).

Relaterade produkter

Oberoende prestandamåttsresultat

Relaterad teknik

Beteendebaserat skydd

Genom att använda en hotbeteendemotor på maskininlärningsbaserade modeller kan du identifiera nya och okända skadliga mönster redan på ett tidigt stadium. Med hjälp av minnesskyddet och saneringsmotorn behöver du inte oroa dig för att dina data skadas eller går förlorade.
Mer information

Information om hot via molnet – Kaspersky Security Network (KSN)

Cybersäkerhetsrelaterade data från hela världen samlas in från miljontals frivilliga deltagare världen över och analyseras i denna avancerade molnstruktur, så att du snabbt informeras om nya hot baserade på big data-analys, maskininlärning och mänsklig expertis.
Mer information

Säkerhetshantering på flera nivåer

Riktigt bra cybersäkerhet bygger på samarbete mellan flera olika tekniker, från traditionella AV-arkiv till beteendebaserad identifiering via djupinlärningsmodeller.
Mer information