Ako zistiť rootkity v systéme Windows 10 (podrobná príručka)

Rootkity používajú hackeri na skrytie pretrvávajúceho, zdanlivo nezistiteľného malvéru vo vašom zariadení, ktorý potichu ukradne údaje alebo zdroje, niekedy v priebehu niekoľkých rokov. Môžu byť tiež použité v režime keylogger, kde sú vaše stlačenia klávesov a komunikácia sledovaná a poskytuje divákovi informácie o súkromí.  

Táto konkrétna metóda hackovania bola relevantnejšia pred rokom 2006, teda pred Microsoft Vista , ktorý od predajcov vyžadoval digitálne podpisovanie všetkých počítačových ovládačov. Kernel Patch Protection(Kernel Patch Protection) ( KPP ) spôsobila, že autori malvéru zmenili svoje metódy útoku a až nedávno, v roku 2018, s operáciou podvodu s reklamami Zacinlo(Zacinlo ad fraud operation) , sa rootkity opäť dostali do centra pozornosti.

Všetky rootkity pred rokom 2006 boli založené na špecifickom operačnom systéme. Situácia v Zacinlo , rootkit z rodiny malvéru Detrahere(Detrahere malware) , nám dala niečo ešte nebezpečnejšie v podobe rootkitu založeného na firmvéri. Bez ohľadu(Regardless) na to sú rootkity len okolo jedného percenta všetkého škodlivého softvéru zaznamenaného ročne. 

Napriek tomu, kvôli nebezpečenstvu, ktoré môžu predstavovať, by bolo rozumné pochopiť, ako funguje zisťovanie rootkitov, ktoré už mohli infiltrovať váš systém.

Detekcia rootkitov v systéme Windows 10(Windows 10) ( podrobná(In-Depth) )

Zacinlo bol v skutočnosti v hre takmer šesť rokov, kým ho objavili so zameraním na platformu Windows 10 . Komponent rootkit bol vysoko konfigurovateľný a chránil sa pred procesmi, ktoré považoval za nebezpečné pre svoju funkčnosť, a bol schopný zachytiť a dešifrovať komunikáciu SSL .

Zašifroval a uložil by všetky svoje konfiguračné údaje v registri systému Windows(Windows Registry) a počas vypínania systému Windows sa prepísal z pamäte na disk pod iným názvom a aktualizoval by svoj kľúč databázy Registry. (Windows)To mu pomohlo vyhnúť sa detekcii pomocou vášho štandardného antivírusového softvéru.

To ukazuje, že štandardný antivírusový alebo antimalvérový softvér nestačí na detekciu rootkitov. Existuje však niekoľko špičkových antimalvérových programov, ktoré vás upozornia na podozrenie z útoku rootkit. 

5 kľúčových vlastností dobrého antivírusového softvéru(The 5 Key Attributes Of a Good Antivirus Software)

Väčšina popredných antivírusových programov dnes bude vykonávať všetkých päť týchto pozoruhodných metód na detekciu rootkitov.

  • Analýza založená na podpisoch(Signature-based Analysis) – Antivírusový softvér porovná zaznamenané súbory so známymi podpismi rootkitov. Analýza bude tiež hľadať vzorce správania, ktoré napodobňujú určité prevádzkové činnosti známych rootkitov, ako napríklad agresívne používanie portov.
  • Detekcia zachytenia(Interception Detection) – Operačný systém Windows využíva tabuľky ukazovateľov na spustenie príkazov, o ktorých je známe, že vyzývajú rootkit, aby konal. Keďže sa rootkity pokúšajú nahradiť alebo upraviť čokoľvek, čo sa považuje za hrozbu, upozorní váš systém na ich prítomnosť.
  • Porovnanie údajov z viacerých zdrojov(Multi-Source Data Comparison)Rootkity(Rootkits) môžu v snahe zostať skryté pozmeniť určité údaje prezentované pri štandardnom skúmaní. Vrátené výsledky systémových volaní na vysokej a nízkej úrovni môžu odhaliť prítomnosť rootkitu. Softvér môže tiež porovnať pamäť procesu načítanú do pamäte RAM(RAM) s obsahom súboru na pevnom disku.
  • Kontrola integrity(Integrity Check) – Každá systémová knižnica má digitálny podpis, ktorý je vytvorený v čase, keď bol systém považovaný za „čistý“. Dobrý bezpečnostný softvér dokáže v knižniciach skontrolovať akúkoľvek zmenu kódu použitého na vytvorenie digitálneho podpisu.
  • Porovnania registrov(Registry Comparisons) – Väčšina antivírusových softvérových programov ich má podľa vopred nastaveného plánu. Čistý súbor sa porovná so súborom klienta v reálnom čase, aby sa zistilo, či klient je alebo obsahuje nevyžiadaný spustiteľný súbor (.exe).

Vykonávanie skenovania rootkitov(Performing Rootkit Scans)

Vykonanie kontroly rootkitov je najlepším pokusom na zistenie infekcie rootkitmi. Vášmu operačnému systému sa najčastejšie nedá dôverovať, že identifikuje rootkit sám o sebe a predstavuje problém určiť jeho prítomnosť. Rootkits sú majstri špiónov, ktorí zakrývajú svoje stopy takmer na každom kroku a sú schopní zostať skrytí na očiach.

Ak máte podozrenie, že na vašom počítači došlo k útoku vírusom rootkit, dobrou stratégiou detekcie by bolo vypnúť počítač a vykonať kontrolu zo známeho čistého systému. Spoľahlivý spôsob, ako nájsť rootkit vo vašom počítači, je analýza výpisu pamäte. Rootkit nemôže skryť pokyny, ktoré dáva vášmu systému, keď ich vykonáva v pamäti počítača.

Použitie WinDbg na analýzu škodlivého softvéru(Using WinDbg For Malware Analysis)

Microsoft Windows poskytuje svoj vlastný multifunkčný nástroj na ladenie, ktorý možno použiť na vykonanie kontroly ladenia aplikácií, ovládačov alebo samotného operačného systému. Bude ladiť kód v režime jadra a v režime používateľa, pomôže analyzovať výpisy zlyhaní a preskúma registre CPU .

Niektoré systémy Windows sa dodávajú s už pribaleným WinDbg . Tí, ktorí ho nemajú, si ho budú musieť stiahnuť z obchodu Microsoft Store(Microsoft Store) . WinDbg Preview je modernejšia verzia WinDbg , ktorá poskytuje jednoduchší vizuálny vzhľad, rýchlejšie okná, kompletné skriptovanie a rovnaké príkazy, rozšírenia a pracovné postupy ako originál.

Minimálne môžete použiť WinDbg na analýzu pamäte alebo výpisu z havárie, vrátane modrej obrazovky (Blue Screen)smrti(Death) ( BSOD ). Z výsledkov môžete hľadať indikátory útoku škodlivého softvéru. Ak máte pocit, že niektorému z vašich programov môže brániť prítomnosť škodlivého softvéru alebo používa viac pamäte, ako je potrebné, môžete vytvoriť súbor výpisu a použiť WinDbg na jeho analýzu.

Úplný výpis pamäte môže zaberať značné miesto na disku, takže môže byť lepšie namiesto toho vykonať výpis v režime jadra(Kernel-Mode) alebo výpis z malej pamäte . (Memory)Výpis v režime jadra bude obsahovať všetky informácie o využití pamäte jadrom v čase zlyhania. Malý výpis pamäte(Memory) bude obsahovať základné informácie o rôznych systémoch, ako sú ovládače, jadro a ďalšie, ale v porovnaní s tým je malý.

Malé výpisy pamäte(Memory) sú užitočnejšie pri analýze toho, prečo došlo k BSOD . Na detekciu rootkitov bude užitočnejšia úplná verzia alebo verzia jadra.

Vytvorenie súboru výpisu v režime jadra(Creating A Kernel-Mode Dump File)

Súbor výpisu v režime jadra(Kernel-Mode) možno vytvoriť tromi spôsobmi:

  • Povoľte súbor výpisu z ovládacieho panela(Control Panel) , aby sa systém mohol zrútiť sám
  • Povoľte súbor výpisu z ovládacieho panela(Control Panel) , aby sa systém zrútil
  • Vytvorte si ho pomocou nástroja na ladenie

Pôjdeme s voľbou číslo tri. 

Na vykonanie potrebného súboru výpisu stačí zadať nasledujúci príkaz do príkazového(Command) okna WinDbg .

Nahraďte názov súboru(FileName) vhodným názvom súboru výpisu a znakom „?“ s f . Uistite sa, že písmeno „f“ je malé, inak vytvoríte iný typ súboru výpisu.

Keď ladiaci program prebehne (prvá kontrola bude trvať značné minúty), vytvorí sa súbor výpisu a budete môcť analyzovať svoje zistenia.

Pochopenie toho, čo hľadáte, ako napríklad využitie volatilnej pamäte ( RAM ), na určenie prítomnosti rootkitu si vyžaduje skúsenosti a testovanie. Je možné, aj keď sa to neodporúča pre začiatočníkov, testovať techniky zisťovania malvéru na živom systéme. To si opäť vyžaduje odborné znalosti a hlboké znalosti o fungovaní WinDbg , aby nedošlo k náhodnému nasadeniu živého vírusu do vášho systému.

Existujú bezpečnejšie a pre začiatočníkov vhodnejšie spôsoby, ako odhaliť nášho dobre skrytého nepriateľa.

Ďalšie metódy skenovania(Additional Scanning Methods)

Manuálna detekcia a behaviorálna analýza sú tiež spoľahlivými metódami na detekciu rootkitov. Pokus o zistenie umiestnenia rootkitu môže byť veľkou bolesťou, takže namiesto toho, aby ste sa zamerali na samotný rootkit, môžete namiesto toho hľadať správanie podobné rootkitu.

Rootkity môžete vyhľadať v stiahnutých softvérových balíkoch pomocou možností inštalácie Advanced alebo Custom počas inštalácie. Čo budete musieť hľadať, sú neznáme súbory uvedené v detailoch. Tieto súbory by ste mali zlikvidovať alebo môžete rýchlo vyhľadať online akékoľvek odkazy na škodlivý softvér.

Firewally a ich protokoly sú neuveriteľne efektívnym spôsobom, ako objaviť rootkit. Softvér vás upozorní, ak je vaša sieť pod kontrolou, a pred inštaláciou by mal umiestniť do karantény všetky nerozpoznateľné alebo podozrivé stiahnuté súbory. 

Ak máte podozrenie, že na vašom počítači už môže byť rootkit, môžete sa ponoriť do protokolových správ brány firewall a vyhľadať akékoľvek neobvyklé správanie.

Kontrola protokolových správ brány firewall(Reviewing Firewall Logging Reports)

Budete chcieť skontrolovať svoje aktuálne protokolové hlásenia brány firewall a urobiť z aplikácie s otvoreným zdrojom, ako je IP Traffic Spy s možnosťami filtrovania protokolov brány firewall, veľmi užitočný nástroj. Správy vám ukážu, čo je potrebné vidieť, ak by došlo k útoku. 

Ak máte veľkú sieť so samostatným firewallom filtrujúcim výstup, IP Traffic Spy nebude potrebný. Namiesto toho by ste mali vidieť prichádzajúce a odchádzajúce pakety na všetky zariadenia a pracovné stanice v sieti prostredníctvom protokolov brány firewall.

Či už ste v domácom prostredí alebo v malom podnikaní, môžete použiť modem, ktorý vám poskytne váš ISP , alebo, ak ho vlastníte, osobný firewall alebo smerovač na stiahnutie protokolov brány firewall. Budete môcť identifikovať premávku pre každé zariadenie pripojené k rovnakej sieti. 

Môže byť tiež užitočné povoliť súbory denníka brány firewall systému Windows . (Windows Firewall Log)V predvolenom nastavení je súbor denníka zakázaný, čo znamená, že sa nezapisujú žiadne informácie ani údaje.

  • Ak chcete vytvoriť súbor denníka, otvorte funkciu Spustiť(Run) stlačením klávesu Windows key + R .
  • Do poľa zadajte wf.msc a stlačte kláves Enter .

  • V okne Brána firewall(Windows Firewall) a rozšírené zabezpečenie(Advanced Security) systému Windows zvýraznite v ponuke na ľavej strane položku Brána firewall programu Windows Defender s rozšíreným zabezpečením na lokálnom počítači. (Advanced Security)V ponuke úplne vpravo v časti „Akcie“ kliknite na položku Vlastnosti(Properties) .

  • V novom dialógovom okne prejdite na kartu „Súkromný profil“ a vyberte možnosť Prispôsobiť(Customize) , ktorú nájdete v časti „Prihlásenie“.

  • Nové okno vám umožní vybrať, aký veľký protokolový súbor sa má zapísať, kam chcete súbor odoslať a či sa majú zapisovať iba zahodené pakety, úspešné pripojenie alebo oboje.

  • Zahodené(Dropped) pakety sú tie, ktoré brána Windows Firewall(Windows Firewall) zablokovala vo vašom mene.
  • V predvolenom nastavení budú položky denníka brány Windows Firewall(Windows Firewall) uchovávať iba posledné 4 MB údajov a možno ich nájsť v %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Majte na pamäti, že zvýšenie limitu veľkosti pre využitie dát pre denníky môže ovplyvniť výkon vášho počítača.
  • Po dokončení stlačte OK .
  • Potom zopakujte tie isté kroky, ktoré ste práve prešli na karte „Súkromný profil“, ale tentoraz na karte „Verejný profil“.
    • Denníky sa teraz budú generovať pre verejné aj súkromné ​​pripojenia. Súbory si môžete prezerať v textovom editore, ako je Poznámkový blok(Notepad) , alebo ich importovať do tabuľky.
    • Teraz môžete exportovať súbory protokolov do databázového analyzátora, ako je IP Traffic Spy , aby ste mohli filtrovať a triediť prevádzku pre jednoduchú identifikáciu.

Dávajte pozor na čokoľvek neobvyklé v protokolových súboroch. Dokonca aj najmenšia chyba systému môže naznačovať infekciu rootkitom. Hlavným vodítkom môže byť niečo v štýle nadmerného využívania procesora(CPU) alebo šírky pásma, keď nespúšťate nič príliš náročné alebo vôbec.



About the author

Mám vzdelanie v oblasti počítačového inžinierstva a informačných technológií, čo mi dalo jedinečný pohľad na platformy Windows 10 a 11. Najmä mám skúsenosti s Windows 10 " Desktop Experience " a prehliadačom Microsoft Edge. Moje skúsenosti s týmito dvoma platformami mi umožňujú hlboko pochopiť, ako fungujú, a moje odborné znalosti v týchto oblastiach mi umožňujú poskytovať spoľahlivé rady, ako ich zlepšiť.



Related posts