Rootkity používajú hackeri na skrytie pretrvávajúceho, zdanlivo nezistiteľného malvéru vo vašom zariadení, ktorý potichu ukradne údaje alebo zdroje, niekedy v priebehu niekoľkých rokov. Môžu byť tiež použité v režime keylogger, kde sú vaše stlačenia klávesov a komunikácia sledovaná a poskytuje divákovi informácie o súkromí.  

Táto konkrétna metóda hackovania bola relevantnejšia pred rokom 2006, teda pred Microsoft Vista , ktorý od predajcov vyžadoval digitálne podpisovanie všetkých počítačových ovládačov. Kernel Patch Protection^{(Kernel Patch Protection)} ( KPP ) spôsobila, že autori malvéru zmenili svoje metódy útoku a až nedávno, v roku 2018, s operáciou podvodu s reklamami Zacinlo^{(Zacinlo ad fraud operation)} , sa rootkity opäť dostali do centra pozornosti.

Všetky rootkity pred rokom 2006 boli založené na špecifickom operačnom systéme. Situácia v Zacinlo , rootkit z rodiny malvéru Detrahere^{(Detrahere malware)} , nám dala niečo ešte nebezpečnejšie v podobe rootkitu založeného na firmvéri. Bez ohľadu^(Regardless) na to sú rootkity len okolo jedného percenta všetkého škodlivého softvéru zaznamenaného ročne. 

Napriek tomu, kvôli nebezpečenstvu, ktoré môžu predstavovať, by bolo rozumné pochopiť, ako funguje zisťovanie rootkitov, ktoré už mohli infiltrovať váš systém.

Detekcia rootkitov v systéme Windows 10^{(Windows 10)} ( podrobná^(In-Depth) )

Zacinlo bol v skutočnosti v hre takmer šesť rokov, kým ho objavili so zameraním na platformu Windows 10 . Komponent rootkit bol vysoko konfigurovateľný a chránil sa pred procesmi, ktoré považoval za nebezpečné pre svoju funkčnosť, a bol schopný zachytiť a dešifrovať komunikáciu SSL .

Zašifroval a uložil by všetky svoje konfiguračné údaje v registri systému Windows^{(Windows Registry)} a počas vypínania systému Windows sa prepísal z pamäte na disk pod iným názvom a aktualizoval by svoj kľúč databázy Registry. ^(Windows)To mu pomohlo vyhnúť sa detekcii pomocou vášho štandardného antivírusového softvéru.

To ukazuje, že štandardný antivírusový alebo antimalvérový softvér nestačí na detekciu rootkitov. Existuje však niekoľko špičkových antimalvérových programov, ktoré vás upozornia na podozrenie z útoku rootkit. 

5 kľúčových vlastností dobrého antivírusového softvéru^{(The 5 Key Attributes Of a Good Antivirus Software)}

Väčšina popredných antivírusových programov dnes bude vykonávať všetkých päť týchto pozoruhodných metód na detekciu rootkitov.

• Analýza založená na podpisoch^{(Signature-based Analysis)} – Antivírusový softvér porovná zaznamenané súbory so známymi podpismi rootkitov. Analýza bude tiež hľadať vzorce správania, ktoré napodobňujú určité prevádzkové činnosti známych rootkitov, ako napríklad agresívne používanie portov.
• Detekcia zachytenia^{(Interception Detection)} – Operačný systém Windows využíva tabuľky ukazovateľov na spustenie príkazov, o ktorých je známe, že vyzývajú rootkit, aby konal. Keďže sa rootkity pokúšajú nahradiť alebo upraviť čokoľvek, čo sa považuje za hrozbu, upozorní váš systém na ich prítomnosť.
• Porovnanie údajov z viacerých zdrojov^{(Multi-Source Data Comparison)} – Rootkity^(Rootkits) môžu v snahe zostať skryté pozmeniť určité údaje prezentované pri štandardnom skúmaní. Vrátené výsledky systémových volaní na vysokej a nízkej úrovni môžu odhaliť prítomnosť rootkitu. Softvér môže tiež porovnať pamäť procesu načítanú do pamäte RAM^(RAM) s obsahom súboru na pevnom disku.
• Kontrola integrity^{(Integrity Check)} – Každá systémová knižnica má digitálny podpis, ktorý je vytvorený v čase, keď bol systém považovaný za „čistý“. Dobrý bezpečnostný softvér dokáže v knižniciach skontrolovať akúkoľvek zmenu kódu použitého na vytvorenie digitálneho podpisu.
• Porovnania registrov^{(Registry Comparisons)} – Väčšina antivírusových softvérových programov ich má podľa vopred nastaveného plánu. Čistý súbor sa porovná so súborom klienta v reálnom čase, aby sa zistilo, či klient je alebo obsahuje nevyžiadaný spustiteľný súbor (.exe).

Vykonávanie skenovania rootkitov^{(Performing Rootkit Scans)}

Vykonanie kontroly rootkitov je najlepším pokusom na zistenie infekcie rootkitmi. Vášmu operačnému systému sa najčastejšie nedá dôverovať, že identifikuje rootkit sám o sebe a predstavuje problém určiť jeho prítomnosť. Rootkits sú majstri špiónov, ktorí zakrývajú svoje stopy takmer na každom kroku a sú schopní zostať skrytí na očiach.

Ak máte podozrenie, že na vašom počítači došlo k útoku vírusom rootkit, dobrou stratégiou detekcie by bolo vypnúť počítač a vykonať kontrolu zo známeho čistého systému. Spoľahlivý spôsob, ako nájsť rootkit vo vašom počítači, je analýza výpisu pamäte. Rootkit nemôže skryť pokyny, ktoré dáva vášmu systému, keď ich vykonáva v pamäti počítača.

Použitie WinDbg na analýzu škodlivého softvéru^{(Using WinDbg For Malware Analysis)}

Microsoft Windows poskytuje svoj vlastný multifunkčný nástroj na ladenie, ktorý možno použiť na vykonanie kontroly ladenia aplikácií, ovládačov alebo samotného operačného systému. Bude ladiť kód v režime jadra a v režime používateľa, pomôže analyzovať výpisy zlyhaní a preskúma registre CPU .

Niektoré systémy Windows sa dodávajú s už pribaleným WinDbg . Tí, ktorí ho nemajú, si ho budú musieť stiahnuť z obchodu Microsoft Store^{(Microsoft Store)} . WinDbg Preview je modernejšia verzia WinDbg , ktorá poskytuje jednoduchší vizuálny vzhľad, rýchlejšie okná, kompletné skriptovanie a rovnaké príkazy, rozšírenia a pracovné postupy ako originál.

Minimálne môžete použiť WinDbg na analýzu pamäte alebo výpisu z havárie, vrátane modrej obrazovky ^{(Blue Screen)}smrti^(Death) ( BSOD ). Z výsledkov môžete hľadať indikátory útoku škodlivého softvéru. Ak máte pocit, že niektorému z vašich programov môže brániť prítomnosť škodlivého softvéru alebo používa viac pamäte, ako je potrebné, môžete vytvoriť súbor výpisu a použiť WinDbg na jeho analýzu.

Úplný výpis pamäte môže zaberať značné miesto na disku, takže môže byť lepšie namiesto toho vykonať výpis v režime jadra^{(Kernel-Mode)} alebo výpis z malej pamäte . ^(Memory)Výpis v režime jadra bude obsahovať všetky informácie o využití pamäte jadrom v čase zlyhania. Malý výpis pamäte^(Memory) bude obsahovať základné informácie o rôznych systémoch, ako sú ovládače, jadro a ďalšie, ale v porovnaní s tým je malý.

Malé výpisy pamäte^(Memory) sú užitočnejšie pri analýze toho, prečo došlo k BSOD . Na detekciu rootkitov bude užitočnejšia úplná verzia alebo verzia jadra.

Vytvorenie súboru výpisu v režime jadra^{(Creating A Kernel-Mode Dump File)}

Súbor výpisu v režime jadra^{(Kernel-Mode)} možno vytvoriť tromi spôsobmi:

• Povoľte súbor výpisu z ovládacieho panela^{(Control Panel)} , aby sa systém mohol zrútiť sám
• Povoľte súbor výpisu z ovládacieho panela^{(Control Panel)} , aby sa systém zrútil
• Vytvorte si ho pomocou nástroja na ladenie

Pôjdeme s voľbou číslo tri. 

Na vykonanie potrebného súboru výpisu stačí zadať nasledujúci príkaz do príkazového^(Command) okna WinDbg .

Nahraďte názov súboru^(FileName) vhodným názvom súboru výpisu a znakom „?“ s f . Uistite sa, že písmeno „f“ je malé, inak vytvoríte iný typ súboru výpisu.

Keď ladiaci program prebehne (prvá kontrola bude trvať značné minúty), vytvorí sa súbor výpisu a budete môcť analyzovať svoje zistenia.

Pochopenie toho, čo hľadáte, ako napríklad využitie volatilnej pamäte ( RAM ), na určenie prítomnosti rootkitu si vyžaduje skúsenosti a testovanie. Je možné, aj keď sa to neodporúča pre začiatočníkov, testovať techniky zisťovania malvéru na živom systéme. To si opäť vyžaduje odborné znalosti a hlboké znalosti o fungovaní WinDbg , aby nedošlo k náhodnému nasadeniu živého vírusu do vášho systému.

Existujú bezpečnejšie a pre začiatočníkov vhodnejšie spôsoby, ako odhaliť nášho dobre skrytého nepriateľa.

Ďalšie metódy skenovania^{(Additional Scanning Methods)}

Manuálna detekcia a behaviorálna analýza sú tiež spoľahlivými metódami na detekciu rootkitov. Pokus o zistenie umiestnenia rootkitu môže byť veľkou bolesťou, takže namiesto toho, aby ste sa zamerali na samotný rootkit, môžete namiesto toho hľadať správanie podobné rootkitu.

Rootkity môžete vyhľadať v stiahnutých softvérových balíkoch pomocou možností inštalácie Advanced alebo Custom počas inštalácie. Čo budete musieť hľadať, sú neznáme súbory uvedené v detailoch. Tieto súbory by ste mali zlikvidovať alebo môžete rýchlo vyhľadať online akékoľvek odkazy na škodlivý softvér.

Firewally a ich protokoly sú neuveriteľne efektívnym spôsobom, ako objaviť rootkit. Softvér vás upozorní, ak je vaša sieť pod kontrolou, a pred inštaláciou by mal umiestniť do karantény všetky nerozpoznateľné alebo podozrivé stiahnuté súbory. 

Ak máte podozrenie, že na vašom počítači už môže byť rootkit, môžete sa ponoriť do protokolových správ brány firewall a vyhľadať akékoľvek neobvyklé správanie.

Kontrola protokolových správ brány firewall^{(Reviewing Firewall Logging Reports)}

Budete chcieť skontrolovať svoje aktuálne protokolové hlásenia brány firewall a urobiť z aplikácie s otvoreným zdrojom, ako je IP Traffic Spy s možnosťami filtrovania protokolov brány firewall, veľmi užitočný nástroj. Správy vám ukážu, čo je potrebné vidieť, ak by došlo k útoku. 

Ak máte veľkú sieť so samostatným firewallom filtrujúcim výstup, IP Traffic Spy nebude potrebný. Namiesto toho by ste mali vidieť prichádzajúce a odchádzajúce pakety na všetky zariadenia a pracovné stanice v sieti prostredníctvom protokolov brány firewall.

Či už ste v domácom prostredí alebo v malom podnikaní, môžete použiť modem, ktorý vám poskytne váš ISP , alebo, ak ho vlastníte, osobný firewall alebo smerovač na stiahnutie protokolov brány firewall. Budete môcť identifikovať premávku pre každé zariadenie pripojené k rovnakej sieti. 

Môže byť tiež užitočné povoliť súbory denníka brány firewall systému Windows . ^{(Windows Firewall Log)}V predvolenom nastavení je súbor denníka zakázaný, čo znamená, že sa nezapisujú žiadne informácie ani údaje.

• Ak chcete vytvoriť súbor denníka, otvorte funkciu Spustiť^(Run) stlačením klávesu Windows key + R .
• Do poľa zadajte wf.msc a stlačte kláves Enter .

• V okne Brána firewall^{(Windows Firewall)} a rozšírené zabezpečenie^{(Advanced Security)} systému Windows zvýraznite v ponuke na ľavej strane položku Brána firewall programu Windows Defender s rozšíreným zabezpečením na lokálnom počítači. ^{(Advanced Security)}V ponuke úplne vpravo v časti „Akcie“ kliknite na položku Vlastnosti^(Properties) .

• V novom dialógovom okne prejdite na kartu „Súkromný profil“ a vyberte možnosť Prispôsobiť^(Customize) , ktorú nájdete v časti „Prihlásenie“.

• Nové okno vám umožní vybrať, aký veľký protokolový súbor sa má zapísať, kam chcete súbor odoslať a či sa majú zapisovať iba zahodené pakety, úspešné pripojenie alebo oboje.

• Zahodené^(Dropped) pakety sú tie, ktoré brána Windows Firewall^{(Windows Firewall)} zablokovala vo vašom mene.
• V predvolenom nastavení budú položky denníka brány Windows Firewall^{(Windows Firewall)} uchovávať iba posledné 4 MB údajov a možno ich nájsť v %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Majte na pamäti, že zvýšenie limitu veľkosti pre využitie dát pre denníky môže ovplyvniť výkon vášho počítača.
• Po dokončení stlačte OK .
• Potom zopakujte tie isté kroky, ktoré ste práve prešli na karte „Súkromný profil“, ale tentoraz na karte „Verejný profil“.
  • Denníky sa teraz budú generovať pre verejné aj súkromné ​​pripojenia. Súbory si môžete prezerať v textovom editore, ako je Poznámkový blok^(Notepad) , alebo ich importovať do tabuľky.
  • Teraz môžete exportovať súbory protokolov do databázového analyzátora, ako je IP Traffic Spy , aby ste mohli filtrovať a triediť prevádzku pre jednoduchú identifikáciu.

Dávajte pozor na čokoľvek neobvyklé v protokolových súboroch. Dokonca aj najmenšia chyba systému môže naznačovať infekciu rootkitom. Hlavným vodítkom môže byť niečo v štýle nadmerného využívania procesora^(CPU) alebo šírky pásma, keď nespúšťate nič príliš náročné alebo vôbec.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, seemingly undetectable malware within your deνice that will silently steal data or resources, somеtіmes over the course of multiple years. They can also be used in keylogger fashion where your keystrokes and communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Stiahnite si Windows 10 Guides for Beginners od spoločnosti Microsoft

• Ako používať Windows 10 PC – Základný návod a tipy pre začiatočníkov

• Stiahnite si Windows Ink Guide pre Windows 10 od spoločnosti Microsoft

• Stiahnite si Windows 10 Guides for Beginners od spoločnosti Microsoft

• Referenčná príručka nastavení skupinovej politiky pre Windows 10

• Ako prispôsobiť Windows 10: Kompletný sprievodca

• Možnosť Skryť panely s nástrojmi v kontextovej ponuke panela úloh v systéme Windows 10

• Ako zakázať triedy a prístup k vymeniteľnému úložisku v systéme Windows 10

• Ako otvoriť súbory .aspx na počítači so systémom Windows 10

• Ako zakázať automatické aktualizácie ovládačov v systéme Windows 10

• Sprievodca Správcom úloh systému Windows 10 – časť III

• 3 najlepšie aplikácie Reddit pre Windows 10, ktoré sú dostupné v obchode Windows Store

• Ako používať Performance Monitor v systéme Windows 10 (Podrobná PRÍRUČKA)

• Rýchle vymazanie celej vyrovnávacej pamäte v systéme Windows 10 [The Ultimate Guide]

• Vypnutie uzamknutej obrazovky v systéme Windows 10 [PRÍRUČKA]

• Konečný sprievodca riešením problémov pre Windows 10 neprejde do režimu spánku

• Nechajte Firefox zobrazovať ovládacie prvky médií na uzamknutej obrazovke Windows 10

• Sprievodca Správcom úloh systému Windows 10 – časť II

• Vytvorte si klávesovú skratku na otvorenie svojej obľúbenej webovej stránky v systéme Windows 10

• Sprievodca Správcom úloh systému Windows 10 – časť I