Jak wykryć rootkity w systemie Windows 10 (szczegółowy przewodnik)

Rootkity są wykorzystywane przez hakerów do ukrywania trwałego, pozornie niewykrywalnego złośliwego oprogramowania w twoim urządzeniu, które po cichu kradnie dane lub zasoby, czasami w ciągu wielu lat. Mogą być również używane w trybie keyloggera, w którym naciśnięcia klawiszy i komunikacja są monitorowane, zapewniając widzowi informacje o prywatności.

Ta szczególna metoda włamania zyskała na znaczeniu przed 2006 r., zanim Microsoft Vista wymagał od dostawców cyfrowego podpisywania wszystkich sterowników komputerów. Kernel Patch Protection (KPP) spowodował, że twórcy szkodliwego oprogramowania zmienili metody ataku i dopiero od 2018 roku z Operacja oszustwa reklamowego Zacinlo rootkity ponownie znalazły się w centrum uwagi.

Wszystkie rootkity sprzed 2006 roku były oparte na systemie operacyjnym. Sytuacja Zacinlo, rootkit z rodziny szkodliwego oprogramowania Detrahere, dała nam coś jeszcze bardziej niebezpiecznego w postaci rootkita opartego na oprogramowaniu układowym. Niezależnie od tego rootkity stanowią tylko około jednego procenta wszystkich szkodliwych programów wyświetlanych rocznie.

Mimo to, ze względu na niebezpieczeństwo, jakie mogą one stwarzać, rozsądnie byłoby zrozumieć, jak działa wykrywanie rootkitów, które mogły już przeniknąć do twojego systemu.

Wykrywanie rootkitów w systemie Windows 10 (w -Depth)

Zacinlo miał właściwie grałem przez prawie sześć lat, zanim odkryto, że celuje w platformę Windows 10. Składnik rootkita był wysoce konfigurowalny i chronił się przed procesami, które uznał za niebezpieczne dla swojej funkcjonalności, i był w stanie przechwytywać i deszyfrować komunikację SSL.

Szyfrowałby i przechowywał wszystkie swoje dane konfiguracyjne w Rejestrze Windows i, podczas zamykania systemu Windows przepisuj się z pamięci na dysk, używając innej nazwy, i zaktualizuj klucz rejestru. Pomogło to uniknąć wykrycia przez standardowe oprogramowanie antywirusowe.

In_content_1 all: [300x250] / dfp: [640x360]->

Pokazuje to, że standardowe oprogramowanie antywirusowe lub antymalware nie wystarcza do wykrywania rootkitów. Chociaż istnieje kilka programów antymalware najwyższego poziomu, które ostrzegają o podejrzeniach ataku rootkita.

5 kluczowych atrybutów dobrego oprogramowania antywirusowego

Większość znanych obecnie programów antywirusowych wykona wszystkie pięć z tych znaczących metod wykrywania rootkitów.

Analiza oparta na sygnaturach- oprogramowanie antywirusowe porówna zarejestrowane pliki ze znanymi sygnaturami rootkitów. Analiza będzie również szukać wzorców behawioralnych, które naśladują pewne działania operacyjne znanych rootkitów, takie jak agresywne korzystanie z portów.

Wykrywanie przechwyceń- system operacyjny Windows wykorzystuje tabele wskaźników do uruchamiania poleceń, o których wiadomo, że proszą rootkita o działanie. Ponieważ rootkity próbują zastąpić lub zmodyfikować wszystko, co stanowi zagrożenie, spowoduje to przechylenie systemu do ich obecności.

Porównanie danych z wielu źródeł- Rootkity, starając się pozostać ukryte , może zmienić niektóre dane przedstawione podczas standardowego badania. Zwrócone wyniki wywołań systemowych wysokiego i niskiego poziomu mogą ujawnić obecność rootkita. Oprogramowanie może również porównać pamięć procesową załadowaną do pamięci RAM z zawartością pliku na dysku twardym.

Kontrola integralności- każda biblioteka systemowa ma utworzony podpis cyfrowy w tym czasie system był uważany za „czysty”. Dobre oprogramowanie zabezpieczające może sprawdzać biblioteki pod kątem wszelkich zmian kodu używanego do tworzenia podpisu cyfrowego.

Porównania rejestru- większość programów antywirusowych ma je zgodnie z ustalonym harmonogramem. Czysty plik zostanie porównany z plikiem klienta w czasie rzeczywistym, aby ustalić, czy klient jest lub zawiera żądany plik wykonywalny (.exe).

Wykonywanie skanów rootkitów

Wykonywanie Skanowanie rootkitów jest najlepszą próbą wykrycia infekcji rootkitami. Najczęściej nie można ufać systemowi operacyjnemu w celu samodzielnego zidentyfikowania rootkita i stanowi wyzwanie w celu ustalenia jego obecności. Rootkity to mistrzowscy szpiedzy, którzy śledzą ich ślady na prawie każdym zakręcie i mogą pozostać niewidoczni.

Jeśli podejrzewasz, że na twoim komputerze miał miejsce atak wirusa rootkit, dobrą strategią wykrywania byłoby wyłącz komputer i wykonaj skanowanie ze znanego czystego systemu. Pewnym sposobem zlokalizowania rootkita na twoim komputerze jest analiza zrzutu pamięci. Rootkit nie może ukryć instrukcji, które przekazuje systemowi, ponieważ wykonuje je w pamięci komputera.

Korzystanie z WinDbg do analizy złośliwego oprogramowania

Microsoft Windows dostarczył własne wielofunkcyjne narzędzie do debugowania, którego można użyć do wykonania debugowanie skanuje aplikacje, sterowniki lub sam system operacyjny. Debuguje kod trybu jądra i trybu użytkownika, pomaga analizować zrzuty awaryjne i sprawdza rejestry procesora.

Niektóre systemy Windows będą dostarczane z pakietem WinDbg. będzie musiał pobrać go ze sklepu Microsoft Store. Podgląd WinDbg to bardziej nowoczesna wersja WinDbg, zapewniająca łatwiejsze efekty wizualne, szybsze okna, pełne skrypty oraz te same polecenia, rozszerzenia i przepływy pracy jak w oryginale.

At absolutne minimum, możesz użyć WinDbg do analizy pamięci lub zrzutu awaryjnego, w tym Blue Screen Of Death (BSOD). Na podstawie wyników możesz poszukać wskaźników ataku złośliwego oprogramowania. Jeśli uważasz, że obecność jednego ze swoich programów może utrudniać działanie jednego z Twoich programów lub zużywa więcej pamięci niż jest to wymagane, możesz utworzyć plik zrzutu i użyj WinDbg, aby go przeanalizować.

Pełny zrzut pamięci może zająć znaczną ilość miejsca na dysku, dlatego może być lepiej wykonać Tryb jądrazamiast zrzutu. Zrzut trybu jądra będzie zawierał wszystkie informacje o zużyciu pamięci przez jądro w momencie awarii. Zrzut małej pamięci będzie zawierał podstawowe informacje o różnych systemach, takich jak sterowniki, jądro i inne, ale jest niewielki w porównaniu.

Zrzuty małej pamięci są bardziej przydatne w analizowaniu przyczyn wystąpienia BSOD. Do wykrywania rootkitów bardziej przydatna będzie pełna wersja jądra.

Tworzenie pliku zrzutu trybu jądra

Plik zrzutu trybu jądra można utworzyć na trzy sposoby:

Włącz plik zrzutu z Panelu sterowania, aby umożliwić awarię systemu na własną rękę

Włącz plik zrzutu z Panelu sterowania, aby wymusić awarię systemu

Użyj narzędzia do debugowania stworzyć jeden dla ciebie

Będziemy wybierać numer trzy.

Aby wykonać niezbędny plik zrzutu, wystarczy wpisać następujące polecenie w oknie poleceń WinDbg.

Zamień Nazwa plikuna odpowiednią nazwę pliku zrzutu, a „?” na f. Upewnij się, że litera „f” jest pisana małymi literami, w przeciwnym razie utworzysz inny rodzaj pliku zrzutu.

Po uruchomieniu debugera (pierwsze skanowanie zajmie sporo minut) plik zrzutu zostanie zostały utworzone i będziesz mógł przeanalizować swoje ustalenia.

Zrozumienie tego, czego szukasz, na przykład użycie pamięci ulotnej (RAM), w celu ustalenia obecności rootkita wymaga doświadczenia i testów. Możliwe jest, choć nie zalecane dla początkujących, testowanie technik wykrywania złośliwego oprogramowania w systemie na żywo. Aby to zrobić, ponownie będziesz potrzebować wiedzy i dogłębnej wiedzy na temat działania WinDbg, aby nie przypadkowo wdrożyć wirusa w twoim systemie.

Istnieją bezpieczniejsze i bardziej przyjazne dla początkujących sposoby na odkrycie naszego dobrze ukryty wróg.

Dodatkowe metody skanowania

Ręczne wykrywanie i analiza behawioralna są również niezawodnymi metodami wykrywania rootkitów. Próba wykrycia lokalizacji rootkita może być dużym problemem, więc zamiast celować w samego rootkita, możesz zamiast tego szukać zachowań podobnych do rootkita.

Możesz szukać rootkitów w pobranych pakietach oprogramowania, używając Zaawansowane lub niestandardowe opcje instalacji podczas instalacji. Musisz poszukać wszelkich nieznanych plików wymienionych w szczegółach. Pliki te należy odrzucić lub możesz szybko wyszukać w Internecie wszelkie odniesienia do złośliwego oprogramowania.

Zapory ogniowe i ich raporty logowania są niezwykle skutecznym sposobem na wykrycie rootkita. Oprogramowanie powiadomi Cię, jeśli Twoja sieć jest sprawdzana, i powinna zainstalować w kwarantannie wszelkie nierozpoznane lub podejrzane pliki do pobrania przed instalacją.

Jeśli podejrzewasz, że rootkit może już być na twoim komputerze, możesz zagłębić się w raporty rejestrowania zapory ogniowej i poszukać niestandardowych zachowań.

Przeglądanie raportów rejestrowania zapory ogniowej

Będziesz chcesz przejrzeć bieżące raporty rejestrowania zapory, tworząc aplikację typu open source, taką jak Spy IP Trafficz funkcjami filtrowania dziennika zapory, bardzo przydatnym narzędziem. Raporty pokażą Ci, co należy zobaczyć, jeśli dojdzie do ataku.

Jeśli masz dużą sieć z niezależną zaporą filtrującą wychodzące, szpiegowanie ruchu IP nie będzie konieczne. Zamiast tego powinieneś być w stanie zobaczyć przychodzące i wychodzące pakiety do wszystkich urządzeń i stacji roboczych w sieci za pośrednictwem dzienników zapory.

Niezależnie od tego, czy jesteś w domu, czy w małej firmie, możesz użyć modemu dostarczone przez twojego dostawcę usług internetowych lub, jeśli jesteś właścicielem, osobistą zaporę ogniową lub router do pobierania dzienników zapory ogniowej. Będziesz mógł zidentyfikować ruch dla każdego urządzenia podłączonego do tej samej sieci.

Włączenie plików dziennika Zapory systemu Windows może być również korzystne. Domyślnie plik dziennika jest wyłączony, co oznacza, że ​​nie są zapisywane żadne informacje ani dane.

Aby utworzyć plik dziennika, otwórz funkcję Uruchom, naciskając klawisz Windows + R.

Wpisz wf.mscw polu i naciśnij Enter.

W oknie Zapory systemu Windows i zaawansowanych zabezpieczeń zaznacz„ Zapora systemu Windows Defender z Zaawansowane zabezpieczenia na komputerze lokalnym ”w menu po lewej stronie. W menu po prawej stronie pod „Akcjami” kliknij Właściwości.

W nowym oknie dialogowym przejdź do karty „Profil prywatny” i wybierz Dostosuj, która może znajduje się w sekcji „Logowanie”.

W nowym oknie możesz wybrać, jak duży plik dziennika ma zostać zapisany, gdzie chcesz, aby plik został wysłany oraz czy rejestrować tylko odrzucone pakiety, udane połączenie, czy oba .

Upuszczone pakiety to te, które Zapora systemu Windows zablokowała w Twoim imieniu.

Domyślnie wpisy dziennika Zapory systemu Windows przechowują tylko ostatnie 4 MB danych i można je znaleźć w % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log

Należy pamiętać, że zwiększenie limitu rozmiaru danych w dziennikach może wpłynąć na wydajność komputera.

Po zakończeniu naciśnij OK.

Następnie powtórz te same kroki, które właśnie wykonałeś w zakładce „Profil prywatny”, tylko tym razem w zakładce „Profil publiczny”.

Dzienniki będą teraz generowane zarówno dla połączeń publicznych, jak i prywatnych. Możesz przeglądać pliki w edytorze tekstów, takim jak Notatnik, lub importować je do arkusza kalkulacyjnego.

Możesz teraz eksportować pliki dzienników do programu analizującego bazy danych, takiego jak IP Traffic Spy, aby łatwo filtrować i sortować ruch identyfikacja.

Miej oko na wszystko, co niezwykłe w plikach dziennika. Nawet najmniejsza awaria systemu może wskazywać na infekcję rootkita. Coś w stylu nadmiernego wykorzystania procesora lub przepustowości, gdy nie uruchamiasz niczego zbyt wymagającego lub w ogóle, może być ważną wskazówką.

Powiązane posty: