Как обнаружить руткиты в Windows 10 (подробное руководство)

Руткиты используются хакерами для сокрытия постоянных, казалось бы, не обнаруживаемых вредоносных программ в вашем устройстве, которые будут молча красть данные или ресурсы, иногда в течение нескольких лет. Они также могут быть использованы в кейлоггерном режиме, где ваши нажатия клавиш и сообщения отслеживаются, предоставляя зрителю информацию о конфиденциальности.

Этот конкретный метод взлома стал более актуальным до 2006 года, когда Microsoft Vista не требовала от производителей цифровой подписи всех драйверов компьютеров. Защита от исправлений ядра (KPP) заставила авторов вредоносных программ изменить свои методы атаки, и только недавно, начиная с 2018 года, Zacinlo рекламная мошенничество, руткиты снова попали в центр внимания.

Все руткиты, выпущенные до 2006 года, были специально созданы на основе операционной системы. Ситуация с Zacinlo, руткитом из семейства вредоносных программ Detrahere, дала нам что-то еще более опасное в виде руткита на основе прошивки. Несмотря на это, руткиты составляют лишь около одного процента от всего объема вредоносных программ, наблюдаемых ежегодно.

Тем не менее, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.

Обнаружение руткитов в Windows 10 (в глубине)

Zacinlo фактически был в игре почти шесть лет, прежде чем был обнаружен на платформе Windows 10. Компонент rootkit был легко настраиваемым и защищал себя от процессов, которые он считал опасными для своей функциональности, и был способен перехватывать и расшифровывать соединения SSL.

Он будет шифровать и хранить все свои данные конфигурации в реестре Windows и, пока Windows завершает работу, перезаписывать себя из памяти на диск под другим именем и обновлять свой раздел реестра. Это помогло избежать обнаружения вашим стандартным антивирусом.

Это говорит о том, что стандартного антивирусного или вредоносного программного обеспечения недостаточно для обнаружения руткитов. Хотя существует несколько программ для защиты от вредоносных программ высшего уровня, которые предупредят вас о подозрении на руткит-атаку.

5 ключевых атрибутов хорошего антивирусного программного обеспечения

Большинство известных антивирусных программ сегодня будут выполнять все пять из этих известных методов обнаружения руткитов.

• Анализ на основе сигнатур. Антивирусное программное обеспечение будет сравнивать зарегистрированные файлы с известными сигнатурами руткитов. Анализ также будет искать поведенческие паттерны, которые имитируют определенные действия известных руткитов, такие как агрессивное использование портов.
• Обнаружение перехвата — операционная система Windows использует таблицы указателей для запуска команд, которые, как известно, заставляют руткит действовать. Поскольку руткиты пытаются заменить или изменить что-либо, что считается угрозой, это предупредит вашу систему об их наличии.
• Сравнение данных из нескольких источников. Руткиты, пытаясь оставаться скрытыми, могут изменить некоторые данные, представленные в стандартном исследовании. Возвращенные результаты системных вызовов высокого и низкого уровня могут выдавать наличие руткита. Программное обеспечение также может сравнивать память процесса, загруженную в ОЗУ, с содержимым файла на жестком диске.
• Проверка целостности — каждая системная библиотека обладает цифровой подписью, которая создается в то время, когда система считалась «чистой». Хорошее программное обеспечение безопасности может проверять библиотеки на предмет любых изменений кода, используемого для создания цифровой подписи.
• Сравнения реестра — большинство антивирусных программ имеют их по заданному расписанию. Чистый файл будет сравниваться с клиентским файлом в режиме реального времени, чтобы определить, является ли клиент незапрошенным исполняемым файлом (.exe).

Выполнение сканирования руткитов

Выполнение сканирования руткитов — лучшая попытка обнаружения заражения руткитами. Чаще всего вашей операционной системе нельзя доверять, чтобы идентифицировать руткит самостоятельно, и это затрудняет определение его присутствия. Руткиты — главные шпионы, скрывающие свои следы практически на каждом шагу и способные оставаться скрытыми на виду.

Если вы подозреваете, что на вашем компьютере произошла атака вируса руткита, хорошей стратегией обнаружения будет отключение компьютера и выполнение сканирования из известной чистой системы. Безошибочный способ найти руткит на вашем компьютере — анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.

Использование WinDbg для анализа вредоносных программ

Microsoft Windows предоставляет собственный многофункциональный инструмент отладки, который можно использовать для сканирования отладки приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры процессора.

Некоторые системы Windows будут поставляться с WinDbg уже в комплекте. Те, кто без, должны будут загрузить его из Microsoft Store. Предварительный просмотр WinDbg Это более современная версия WinDbg, предоставляющая более наглядные визуальные эффекты, более быстрые окна, полный сценарий и те же команды, расширения и рабочие процессы, что и в оригинале.

Как минимум, вы можете использовать WinDbg для анализа памяти или аварийного дампа, включая Blue Screen Of Death (BSOD). По результатам вы можете найти индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может препятствовать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.

Полный дамп памяти может занимать значительное дисковое пространство, поэтому может быть лучше вместо этого выполнить дамп режима ядра или небольшой дамп памяти. Дамп режима ядра будет содержать всю информацию об использовании памяти ядром во время сбоя. Небольшой дамп памяти будет содержать основную информацию по различным системам, таким как драйверы, ядро ​​и т. Д., Но по сравнению с ним крошечный.

Небольшие дампы памяти более полезны для анализа причин возникновения BSOD. Для обнаружения руткитов будет полезна полная версия или версия ядра.

Создание файла дампа в режиме ядра

Файл дампа в режиме ядра можно создать тремя способами:

• Включите файл дампа из панели управления, чтобы система могла аварийно завершить работу
• Включите файл дампа из панели управления, чтобы вызвать сбой системы
• Используйте инструмент отладчика, чтобы создать его для вас

Мы пойдем с выбором номер три.

Чтобы выполнить необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командном окне WinDbg.

Замените FileName на соответствующее имя для файла дампа и «?» с ф. Убедитесь, что буква «f» в нижнем регистре, иначе вы создадите файл дампа другого типа.

Как только отладчик запустит свой курс (первое сканирование займет много времени), будет создан файл дампа, и вы сможете проанализировать свои выводы.

Понимание того, что вы ищете, например использование энергозависимой памяти (RAM) для определения наличия руткита, требует опыта и тестирования. Возможно, хотя и не рекомендуется для новичка, протестировать методы обнаружения вредоносных программ в реальной системе. Для этого снова потребуются знания и глубокие знания о работе WinDbg, чтобы случайно не внедрить живой вирус в вашу систему.

Есть более безопасные, более удобные для начинающих способы раскрыть нашего хорошо скрытого врага.

Дополнительные методы сканирования

Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка обнаружить местоположение руткита может быть большой болью, поэтому вместо того, чтобы ориентироваться на сам руткит, вы можете вместо этого искать поведение, похожее на руткит.

Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя расширенные или пользовательские параметры установки во время установки. Вам нужно найти какие-то незнакомые файлы, перечисленные в деталях. Эти файлы должны быть удалены, или вы можете сделать быстрый поиск в Интернете для любых ссылок на вредоносное программное обеспечение.

Брандмауэры и их отчеты о регистрации — невероятно эффективный способ обнаружить руткит. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и должно поместить на карантин любые нераспознаваемые или подозрительные загрузки перед установкой.

Если вы подозреваете, что на вашем компьютере уже может быть руткит, вы можете погрузиться в отчеты о регистрации брандмауэра и посмотреть на необычное поведение.

Просмотр отчетов журнала брандмауэра

Вы захотите просмотреть свои текущие отчеты о регистрации брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy, с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки.

Если у вас большая сеть с автономным выходным брандмауэром с фильтрацией выходных данных, IP Traffic Spy не понадобится. Вместо этого вы должны видеть входящие и исходящие пакеты для всех устройств и рабочих станций в сети через журналы брандмауэра.

Независимо от того, где вы находитесь — в доме или в небольшом бизнесе, вы можете использовать модем, предоставленный вашим провайдером, или, если у вас есть, персональный брандмауэр или маршрутизатор для просмотра журналов брандмауэра. Вы сможете идентифицировать трафик для каждого устройства, подключенного к той же сети.

Также может быть полезно включить файлы журнала брандмауэра Windows. По умолчанию файл журнала отключен, то есть информация или данные не записываются.

• Чтобы создать файл журнала, откройте функцию «Выполнить», нажав клавишу Windows + R.
• Введите wf.msc в поле и нажмите Enter.

• В окне «Брандмауэр Windows и расширенная безопасность» выделите «Брандмауэр защитника Windows в режиме повышенной безопасности на локальном компьютере» в меню слева. В дальнем правом меню в разделе «Действия» нажмите «Свойства».

• В новом диалоговом окне перейдите на вкладку «Личный профиль» и выберите «Настроить», которую можно найти в разделе «Ведение журнала».

• Новое окно позволит вам выбрать размер файла журнала, который вы хотите записать, куда вы хотите отправить файл и регистрировать ли только отброшенные пакеты, успешное соединение или оба.

• Отброшенные пакеты — это пакеты, которые брандмауэр Windows заблокировал от вашего имени.
• По умолчанию в записях журнала брандмауэра Windows хранятся только последние 4 МБ данных, и их можно найти в% SystemRoot% System32 LogFiles Firewall Pfirewall.log
• Имейте в виду, что увеличение предельного размера использования данных для журналов может повлиять на производительность вашего компьютера.
• Нажмите ОК, когда закончите.
• Затем повторите те же действия, которые вы только что выполнили на вкладке «Личный профиль», только на этот раз на вкладке «Публичный профиль».
  • Теперь будут создаваться журналы как для публичных, так и для частных соединений. Вы можете просматривать файлы в текстовом редакторе, таком как Блокнот, или импортировать их в электронную таблицу.
  • Теперь вы можете экспортировать файлы журналов в программу синтаксического анализа базы данных, такую ​​как IP Traffic Spy, чтобы фильтровать и сортировать трафик для легкой идентификации.

Следите за чем-то необычным в файлах журналов. Даже малейшая системная ошибка может указывать на заражение руткитом. Нечто похожее на чрезмерное использование ЦП или пропускной способности, когда вы не запускаете ничего слишком требовательного или вообще, может быть главной подсказкой.