T1014: Руткит

Злоумышленники могут использовать руткиты для скрытия программ, файлов, сетевых подключений, служб, драйверов и других компонентов системы. Руткиты — это программы, которые скрывают существование вредоносного ПО путем перехвата и модификации API-вызовов операционной системы, предоставляющих информацию о системе .

Руткиты или функциональные возможности, позволяющие использовать руткиты, могут работать на уровне пользователя или ядра операционной системы либо на более низком уровне — например, гипервизора, главной загрузочной записи или прошивки системы . Известны руткиты для систем на базе Windows, Linux и macOS .

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

Отслеживайте изменения в прошивке на предмет появления неожиданных модификаций настроек и (или) данных, которые могут использоваться руткитами для скрытия программ, файлов, сетевых соединений, служб, драйверов и других компонентов системы. Некоторые средства защиты от руткитов могут быть встроены в антивирусное ПО или в операционную систему. Существуют специальные инструменты обнаружения руткитов, выявляющие определенные типы их поведения.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте наличие неопознанных библиотек DLL, драйверов, устройств, служб и MBR, а также вносимые в них изменения .

IDDS0016Источник и компонент данныхНакопитель: Изменения в накопителеОписание

Отслеживайте изменения в буквах диска или точках подключения устройств хранения данных на предмет появления неожиданных модификаций, которые могут использоваться руткитами для скрытия программ, файлов, сетевых соединений, служб, драйверов и других компонентов системы.