Czym jest złośliwe oprogramowanie na poziomie jądra i jak się przed nim chronić

2024/08/16

Malware występuje w wielu formach, ale malware na poziomie jądra należy do najniebezpieczniejszych. Co sprawia, że jest tak groźne i jak można się przed nim bronić? Przyjrzyjmy się szczegółom poniżej.

Czym jest złośliwe oprogramowanie na poziomie jądra?

Jądro jest podstawowym składnikiem systemu operacyjnego, odpowiedzialnym za zarządzanie wszystkimi interakcjami między sprzętem a oprogramowaniem. Działa na podwyższonym poziomie uprawnień znanym jako „tryb jądra”, który zapewnia mu nieograniczony dostęp do wszystkich zasobów systemowych, w tym pamięci, procesora i podłączonych urządzeń. Złośliwe oprogramowanie, które infekuje i manipuluje tym poziomem uprawnień, jest znane jako złośliwe oprogramowanie na poziomie jądra.

Takie złośliwe oprogramowanie wykorzystuje wysokie uprawnienia jądra, umożliwiając mu wykonywanie złośliwych działań przy minimalnym wykrywaniu. Działając na tym niskim poziomie, może ono ominąć środki bezpieczeństwa, przetrwać i uzyskać kontrolę nad krytycznymi operacjami systemowymi.

Poniżej przedstawiono kilka typowych przykładów złośliwego oprogramowania na poziomie jądra:

Rootkity jądra: to jedna z najbardziej znanych form złośliwego oprogramowania na poziomie jądra, która zapewnia atakującemu niezauważoną zdalną kontrolę nad komputerem. Ten dostęp umożliwia im naruszenie bezpieczeństwa, zainstalowanie większej ilości złośliwego oprogramowania, monitorowanie aktywności lub wykorzystanie urządzenia w atakach DDoS.

Bootkity: to rodzaj rootkita, który infekuje BIOS komputera lub Master Boot Record (MBR), aby załadować złośliwy kod przed załadowaniem systemu operacyjnego. Mogą instalować złośliwy kod na poziomie jądra i utrzymywać się podczas restartów i ponownych instalacji systemu operacyjnego.

Trojany w trybie jądra: dzięki wyższym uprawnieniom trojany te mogą skutecznie unikać wykrycia poprzez zastępowanie procesów lub osadzanie się w innych procesach.

Ransomware na poziomie jądra: ten typ ransomware używa uprawnień jądra do szyfrowania danych lub uniemożliwiania użytkownikom dostępu do systemu. Może on skuteczniej ominąć zabezpieczenia i utrudnić odzyskiwanie.

Jak chronić się przed złośliwym oprogramowaniem na poziomie jądra

Na szczęście złośliwe oprogramowanie na poziomie jądra jest dość trudne do zainfekowania komputera. Ten typ złośliwego oprogramowania wymaga podwyższonych uprawnień, których system operacyjny nie przyznaje nieautoryzowanym programom. Dlatego złośliwe oprogramowanie na poziomie jądra zazwyczaj polega na wykorzystywaniu znanych luk lub uzyskiwaniu fizycznego lub zdalnego dostępu do konta administratora.

Systemy bezpieczeństwa PC są zaprojektowane tak, aby wykrywać i zapobiegać atakom malware na poziomie jądra. Nawet jeśli ktoś próbuje celowo zainstalować takie malware, mechanizmy bezpieczeństwa systemu operacyjnego prawdopodobnie zablokują instalację.

Jednak nadal potrzebujesz funkcji bezpieczeństwa włączonych na Twoim komputerze, aby zminimalizować luki i szybko wykrywać ataki. Wykonaj poniższe kroki, aby bronić się przed złośliwym oprogramowaniem na poziomie jądra:

Upewnij się, że funkcja Secure Boot i TPM 2.0 są włączone

Secure Boot i TPM 2.0 (Trusted Platform Module) to podstawowe funkcje bezpieczeństwa w systemie Windows i są kluczowe dla obrony przed złośliwym oprogramowaniem na poziomie jądra. Dlatego są również wymagane do instalacji systemu Windows 11.

Funkcja Secure Boot sprawdza podpis cyfrowy każdego oprogramowania podczas uruchamiania, blokując uruchomienie każdego niezweryfikowanego oprogramowania.

TPM 2.0 to fizyczny układ zabezpieczający, który przechowuje kryptograficzne skróty procesu rozruchu. Wykrywa wszelkie manipulacje, porównując te skróty przy każdym uruchomieniu i powiadamia użytkowników, jeśli znajdzie zmiany.

Aby sprawdzić, czy Secure Boot jest włączony, wyszukaj „informacje o systemie” w wyszukiwarce Windows i otwórz aplikację Informacje o systemie . Wartość Secure Boot State znajdziesz w Podsumowaniu systemu . Upewnij się, że jest ustawiona na On .

Zaznacz opcję Bezpieczny rozruch, jeśli jest włączona

Aby sprawdzić, czy moduł TPM 2.0 jest włączony (lub obsługiwany), naciśnij klawisz Windows+ Ri wpisz polecenie tpm.mscw oknie dialogowym Uruchom.

Sprawdź obsługę TPM 2.0 w systemie Windows 11

Jeśli którykolwiek z nich jest wyłączony, przejdź do BIOS/UEFI i włącz wartość w kategorii Security . Włączenie Secure Boot powinno być proste, ale TMP 2.0 to układ sprzętowy, którego Twój komputer może nie mieć.

Włącz zabezpieczenia oparte na wirtualizacji w systemie Windows

Zabezpieczenia oparte na wirtualizacji (VBS) wykorzystują wirtualizację sprzętową do uruchamiania krytycznych procesów systemowych w odizolowanym środowisku, aby zapobiec ich manipulacji przez złośliwe aplikacje. Ponieważ złośliwe oprogramowanie na poziomie jądra często wykorzystuje luki w krytycznych procesach systemowych, ta funkcja będzie je chronić.

W wyszukiwarce Windows wpisz „windows security” i otwórz aplikację Windows Security . Przejdź do Device Security -> Core insulation i upewnij się, że Memory integrity jest włączona .

Włącz izolację rdzenia w systemie Windows 11

Ustaw Kontrolę konta użytkownika (UAC) na maksymalne bezpieczeństwo

UAC chroni Twój komputer, uniemożliwiając aplikacjom instalowanie lub wprowadzanie zmian na Twoim komputerze bez Twojej zgody. Możesz ustawić maksymalne bezpieczeństwo, aby system Windows zawsze pytał o Twoją zgodę, gdy Ty lub jakakolwiek aplikacja próbuje coś zainstalować lub zmienić ustawienie.

Wyszukaj „uac” w wyszukiwarce Windows i kliknij Zmień ustawienia Kontroli konta użytkownika . Ustaw suwak na Zawsze powiadamiaj na samej górze.

Ustaw maksymalny poziom zabezpieczeń UAC systemu Windows

Aktualizuj komputer

Jak wspomniano wcześniej, złośliwe oprogramowanie na poziomie jądra często wykorzystuje luki w zabezpieczeniach, aby zainfekować komputer. Utrzymywanie systemu na bieżąco zapewnia terminowe łatanie znanych luk w zabezpieczeniach, zapobiegając ich wykorzystaniu przez złośliwe programy.

Upewnij się, że zaktualizowałeś system Windows, sterowniki i BIOS/UEFI do najnowszych wersji.

Windows: aby zaktualizować Windows, przejdź do Windows Update w Ustawieniach Windows i kliknij Sprawdź aktualizacje . Jeśli pojawi się komunikat Jesteś na bieżąco , wszystko jest w porządku. W przeciwnym razie pobierz i zainstaluj zalecane aktualizacje.

Sterowniki: są najbardziej podatne, ponieważ ładują się podczas procesu rozruchu, a skompromitowany sterownik może umożliwić infekcję na poziomie jądra. Możesz użyć narzędzia do aktualizacji sterowników, takiego jak iObit Driver Booster, aby automatycznie zaktualizować wszystkie sterowniki.

BIOS/UEFI: aktualizacja BIOS-u/UEFI jest nieco trudna, ponieważ trzeba wykonać tę czynność ręcznie. Na szczęście takie aktualizacje zdarzają się rzadko.

Używaj standardowego konta użytkownika do codziennego użytku

Standardowe konto użytkownika ma ograniczony dostęp do wielu funkcji, ale jest wystarczająco dobre do codziennego użytku. Ponieważ jest ograniczone, ogranicza również zdolność kernel-malware do infekowania urządzenia.

Aby utworzyć standardowe konto, otwórz Ustawienia systemu Windows i przejdź do Konta -> Inni użytkownicy . Kliknij Dodaj konto , aby utworzyć nowe konto i upewnij się, że wybrałeś konto Standard zamiast Administrator.

Utwórz standardowe konto w systemie Windows 11

Od czasu do czasu uruchom skanowanie podczas rozruchu

Skanowanie podczas rozruchu jest standardową funkcją większości programów antywirusowych, w tym Microsoft Defender. To skanowanie restartuje komputer i skanuje go przed pełnym załadowaniem systemu operacyjnego. Jest to bardzo skuteczne w przypadku złośliwego oprogramowania na poziomie jądra, ponieważ może je wykryć, zanim spróbuje ukryć się przed systemem operacyjnym. Od czasu do czasu uruchom je, aby upewnić się, że komputer jest czysty.

Aby uruchomić to skanowanie w systemie Windows, wyszukaj „zabezpieczenia systemu Windows” w wyszukiwarce systemu Windows i otwórz aplikację Zabezpieczenia systemu Windows .

Przejdź do Ochrona przed wirusami i zagrożeniami -> Opcje skanowania i wybierz Microsoft Defender Antivirus (skanowanie offline) . Po kliknięciu Skanuj teraz zostaniesz poproszony o ponowne uruchomienie komputera w celu skanowania.

Uruchom skanowanie offline z poziomu Zabezpieczeń systemu Windows

Unikaj wykonywania ryzykownych programów

To ogólna rada, aby uniknąć wszelkiego rodzaju zagrożeń bezpieczeństwa systemu, ale jest ona szczególnie ważna, jeśli chodzi o złośliwe oprogramowanie na poziomie jądra. Nie może ono uzyskać dostępu do jądra bez wyłączenia funkcji bezpieczeństwa systemu operacyjnego. Oznacza to, że złośliwe oprogramowanie na poziomie jądra będzie dawać wyraźne sygnały ostrzegawcze, takie jak prośba o wyłączenie funkcji bezpieczeństwa w celu uruchomienia aplikacji.

Zachowaj ostrożność przy pobieraniu podejrzanego oprogramowania, takiego jak hacki gier wideo lub pirackie programy premium. Jeśli aplikacja wymaga wyłączenia określonych zabezpieczeń, potencjalne ryzyko prawdopodobnie przewyższa wszelkie korzyści, jakie mogłaby zaoferować.

Co zrobić, jeśli Twój komputer zostanie zainfekowany

Niezwykle wysokie wykorzystanie procesora, zawieszanie się, awarie (BSOD) i podejrzana aktywność sieciowa to typowe oznaki infekcji malware na poziomie jądra. Jeśli uważasz, że Twój komputer jest zainfekowany, musisz działać natychmiast. Niestety, masz ograniczone możliwości, ponieważ malware może być bardzo lepkie.

Użyj oprogramowania antywirusowego z funkcją usuwania rootkitów

Większość programów antywirusowych z funkcjami usuwania rootkitów może usunąć większość typów złośliwego oprogramowania na poziomie jądra. Polecamy Malwarebytes , ponieważ ma on dedykowaną funkcję usuwania rootkitów, która jest bardzo skuteczna.

Najpierw musisz włączyć funkcję skanowania rootkitów, ponieważ jest ona domyślnie wyłączona. Kliknij Ustawienia w Malwarebytes, a następnie przejdź do sekcji Skanowanie i wykrywanie . Włącz opcję Skanowanie rootkitów .

Włącz opcję skanowania rootkitów w Malwarebytes

Następne skanowanie będzie obejmowało również funkcję skanowania w poszukiwaniu rootkitów, która może wykryć złośliwe oprogramowanie na poziomie jądra, infekujące Twój komputer.

Uruchom skanowanie podczas rozruchu

Jak wspomniano powyżej, skanowanie w czasie rozruchu może wykryć złośliwe oprogramowanie na poziomie jądra, które polega na ukrywaniu się przed procesem rozruchu. Możesz uruchomić skanowanie Microsoft Defender, jak zrobiliśmy powyżej, lub użyć aplikacji innej firmy. Avast One ma potężną funkcjonalność skanowania w czasie rozruchu, którą możesz wypróbować, jeśli Microsoft Defender zawiedzie.

Ponowna instalacja systemu Windows

Jeśli oprogramowanie zabezpieczające nie jest w stanie wychwycić złośliwego oprogramowania na poziomie jądra, ponowna instalacja systemu Windows powinna rozwiązać problem. Należy wykonać nową instalację, ponieważ obecny obraz może być zainfekowany. Istnieje wiele sposobów instalacji systemu Windows 11, więc wybierz preferowaną metodę.

Ogólnie rzecz biorąc, złośliwe oprogramowanie na poziomie jądra może być niezwykle niebezpieczne, ale hakerzy mają trudności z jego wprowadzeniem do urządzenia. Jeśli masz problemy z pozbyciem się złośliwego oprogramowania na poziomie jądra, uaktualnienie/ponowna instalacja BIOS-u może rozwiązać problem. Możesz również zanieść urządzenie do specjalisty, aby przeflashował BIOS i wyczyścił CMOS.

Źródło obrazu: Freepik . Wszystkie zrzuty ekranu autorstwa Karrar Haider.