Kako otkriti rootkite u sustavu Windows 10 (dubinski vodič)

Hakeri koriste rootkite za skrivanje postojanog zlonamjernog softvera koji se naizgled ne može otkriti unutar vašeg uređaja koji će tiho ukrasti podatke ili resurse, ponekad tijekom više godina. Također se mogu koristiti na način keyloggera gdje se nadziru vaši pritisak na tipke i komunikacija pružajući promatraču informacije o privatnosti.  

Ova posebna metoda hakiranja bila je više relevantna prije 2006. godine, prije nego što je Microsoft Vista zahtijevao od dobavljača da digitalno potpišu sve upravljačke programe računala. Zaštita kernel zakrpa(Kernel Patch Protection) ( KPP ) dovela je do toga da pisci zlonamjernog softvera promijene svoje metode napada i tek nedavno, od 2018. godine, s operacijom prijevare oglasa Zacinlo(Zacinlo ad fraud operation) , rootkiti su ponovno ušli u središte pozornosti.

Rootkitovi prije 2006. bili su isključivo bazirani na operativnom sustavu. Situacija Zacinlo , rootkit iz obitelji zlonamjernih programa Detrahere(Detrahere malware) , dala nam je nešto još opasnije u obliku rootkita koji se temelji na firmwareu. Bez obzira(Regardless) na to , rootkitovi su samo oko jedan posto ukupnog broja zlonamjernih programa koji se vide godišnje. 

Čak i tako, zbog opasnosti koju mogu predstavljati, bilo bi mudro razumjeti kako funkcionira otkrivanje rootkita koji su se možda već infiltrirali u vaš sustav.

Otkrivanje rutkita u sustavu Windows 10(Windows 10) ( dubinski(In-Depth) )

Zacinlo je zapravo bio u igri gotovo šest godina prije nego što je otkriveno da cilja na Windows 10 platformu. Komponenta rootkita bila je vrlo konfigurabilna i štitila se od procesa koje je smatrala opasnima za njezinu funkcionalnost te je bila sposobna presresti i dešifrirati SSL komunikacije.

Šifrirao bi i pohranio sve svoje konfiguracijske podatke u Windows Registry i, dok se Windows gasio, prepisivao se s memorije na disk koristeći drugo ime i ažurirao svoj ključ registra. To mu je pomoglo da izbjegne otkrivanje vašeg standardnog antivirusnog softvera.

To pokazuje da standardni antivirusni ili antimalware softver nije dovoljan za otkrivanje rootkita. Iako, postoji nekoliko vrhunskih antimalware programa koji će vas upozoriti na sumnje u rootkit napad. 

5 ključnih atributa dobrog antivirusnog softvera(The 5 Key Attributes Of a Good Antivirus Software)

Većina istaknutih antivirusnih programa danas će izvesti svih pet ovih značajnih metoda za otkrivanje rootkita.

  • Analiza temeljena na potpisu(Signature-based Analysis) – Antivirusni softver će usporediti zabilježene datoteke s poznatim potpisima rootkita. Analiza će također tražiti obrasce ponašanja koji oponašaju određene operativne aktivnosti poznatih rootkita, kao što je agresivno korištenje portova.
  • Otkrivanje presretanja(Interception Detection) – operacijski sustav Windows koristi tablice pokazivača za pokretanje naredbi za koje se zna da potiču rootkit na djelovanje. Budući da rootkiti pokušavaju zamijeniti ili modificirati sve što se smatra prijetnjom, to će vaš sustav upozoriti na njihovu prisutnost.
  • Usporedba podataka iz više izvora(Multi-Source Data Comparison)Rootkitovi(Rootkits) , u pokušaju da ostanu skriveni, mogu promijeniti određene podatke prikazane u standardnom pregledu. Vraćeni rezultati sistemskih poziva visoke i niske razine mogu odati prisutnost rootkita. Softver također može usporediti procesnu memoriju učitanu u RAM sa sadržajem datoteke na tvrdom disku.
  • Provjera integriteta(Integrity Check) – Svaka knjižnica sustava posjeduje digitalni potpis koji je stvoren u vrijeme kada se sustav smatrao "čistim". Dobar sigurnosni softver može provjeriti knjižnice za bilo kakvu promjenu koda koji se koristi za stvaranje digitalnog potpisa.
  • Usporedbe registra(Registry Comparisons) – većina antivirusnih programa ima ih po unaprijed postavljenom rasporedu. Čista datoteka uspoređuje se s klijentskom datotekom u stvarnom vremenu kako bi se utvrdilo je li klijent ili sadrži nezatraženu izvršnu datoteku (.exe).

Izvođenje skeniranja rutkita(Performing Rootkit Scans)

Provođenje skeniranja rootkita najbolji je pokušaj za otkrivanje infekcije rootkitom. Najčešće se vašem operativnom sustavu ne može vjerovati da će sam identificirati rootkit i predstavlja izazov za utvrđivanje njegove prisutnosti. Rootkiti su glavni špijuni, koji prikrivaju svoje tragove na gotovo svakom koraku i sposobni su ostati skriveni na vidiku.

Ako sumnjate da se na vašem računalu dogodio rootkit virusni napad, dobra strategija za otkrivanje bila bi isključiti računalo i izvršiti skeniranje iz poznatog čistog sustava. Siguran način za lociranje rootkita unutar vašeg računala je analiza memorije. Rootkit ne može sakriti upute koje daje vašem sustavu dok ih izvršava u memoriji stroja.

Korištenje WinDbg za analizu zlonamjernog softvera(Using WinDbg For Malware Analysis)

Microsoft Windows osigurao je vlastiti višenamjenski alat za otklanjanje pogrešaka koji se može koristiti za skeniranje aplikacija, upravljačkih programa ili samog operacijskog sustava. Otklonit će pogreške koda u načinu rada jezgre i korisničkom načinu rada, pomoći će analizirati ispise rušenja i ispitati CPU registre.

Neki Windows sustavi će doći s WinDbg već u paketu. Oni bez njih će ga morati preuzeti iz Microsoft Storea(Microsoft Store) . WinDbg Preview je modernija verzija WinDbg -a , koja pruža lakši vizualni prikaz, brže prozore, kompletno skriptiranje i iste naredbe, proširenja i tijekove rada kao original.

U najmanju ruku, možete koristiti WinDbg za analizu memorije ili crash dump-a, uključujući Plavi ekran (Blue Screen)smrti(Death) ( BSOD ). Iz rezultata možete potražiti pokazatelje napada zlonamjernog softvera. Ako smatrate da je jedan od vaših programa možda ometen prisutnošću zlonamjernog softvera ili da koristi više memorije nego što je potrebno, možete izraditi datoteku dump i koristiti WinDbg za analizu.

Potpuni ispis memorije može zauzeti značajan prostor na disku pa bi možda bilo bolje izvesti dump u načinu kernela(Kernel-Mode) ili dump male memorije(Memory) . Dump u načinu rada kernela sadržavat će sve informacije o korištenju memorije od strane kernela u trenutku pada. Dump male memorije(Memory) sadržavat će osnovne informacije o različitim sustavima kao što su upravljački programi, kernel i još mnogo toga, ali je malen u usporedbi.

Male memorije(Memory) su korisnije u analizi zašto je došlo do BSOD -a. (BSOD)Za otkrivanje rootkita, potpuna verzija ili verzija kernela bit će od veće pomoći.

Stvaranje datoteke ispisne datoteke u načinu rada jezgre(Creating A Kernel-Mode Dump File)

Dump datoteka u načinu rada kernela(Kernel-Mode) može se stvoriti na tri načina:

  • Omogućite dump datoteku s upravljačke ploče(Control Panel) kako biste omogućili da se sustav sam sruši
  • Omogućite dump datoteku s upravljačke ploče(Control Panel) kako biste prisilili sustav da se sruši
  • Upotrijebite alat za ispravljanje pogrešaka kako biste ga stvorili za vas

Ići ćemo s izborom broj tri. 

Da biste izvršili potrebnu dump datoteku, trebate samo unijeti sljedeću naredbu u naredbeni(Command) prozor WinDbg .

Zamijenite FileName odgovarajućim imenom za datoteku dump i "?" sa f . Provjerite je li "f" mala slova ili ćete u suprotnom stvoriti drugu vrstu datoteke za ispis.

Nakon što program za ispravljanje pogrešaka završi svojim tijekom (prvo skeniranje će potrajati dosta minuta), kreirat će se dump datoteka i moći ćete analizirati svoje nalaze.

Razumijevanje onoga što tražite, kao što je korištenje hlapljive memorije ( RAM ), da biste utvrdili prisutnost rootkita, zahtijeva iskustvo i testiranje. Moguće je, iako se ne preporučuje početnicima, testirati tehnike otkrivanja zlonamjernog softvera na živom sustavu. Da biste to učinili, opet će vam trebati stručnost i dubinsko znanje o radu WinDbg - a kako ne biste slučajno instalirali živi virus u vaš sustav.

Postoje sigurniji načini za otkrivanje dobro skrivenog neprijatelja.

Dodatne metode skeniranja(Additional Scanning Methods)

Ručno otkrivanje i analiza ponašanja također su pouzdane metode za otkrivanje rootkita. Pokušaj otkrivanja lokacije rootkita može predstavljati veliku muku pa, umjesto ciljanja na sam rootkit, možete tražiti ponašanja poput rootkita.

Možete tražiti rootkite u preuzetim paketima softvera korištenjem opcija napredne(Advanced) ili prilagođene(Custom) instalacije tijekom instalacije. Ono što trebate potražiti su sve nepoznate datoteke navedene u pojedinostima. Te datoteke treba odbaciti ili možete brzo pretražiti na mreži za bilo kakve reference na zlonamjerni softver.

Vatrozidovi i njihova izvješća o zapisnicima nevjerojatno su učinkovit način otkrivanja rootkita. Softver će vas obavijestiti ako je vaša mreža pod nadzorom i trebao bi staviti u karantenu sva neprepoznatljiva ili sumnjiva preuzimanja prije instalacije. 

Ako sumnjate da je rootkit možda već na vašem računalu, možete zaroniti u izvješća o zapisnicima vatrozida i potražiti bilo koje neobično ponašanje.

Pregledavanje izvješća o zapisnicima vatrozida(Reviewing Firewall Logging Reports)

Poželjet ćete pregledati svoja trenutna izvješća o zapisnicima vatrozida, čineći aplikaciju otvorenog koda poput IP Traffic Spy s mogućnostima filtriranja dnevnika vatrozida, vrlo korisnim alatom. Izvješća će vam pokazati što je potrebno vidjeti ako dođe do napada. 

Ako imate veliku mrežu sa samostalnim vatrozidom za filtriranje izlaza, IP Traffic Spy neće biti potreban. Umjesto toga, trebali biste moći vidjeti dolazne i odlazne pakete za sve uređaje i radne stanice na mreži putem dnevnika vatrozida.

Bilo da se nalazite u kućnom ili malom poslovnom okruženju, možete koristiti modem koji vam je dao vaš ISP ili, ako ga posjedujete, osobni vatrozid ili usmjerivač za izvlačenje dnevnika vatrozida. Moći ćete identificirati promet za svaki uređaj spojen na istu mrežu. 

Također bi moglo biti korisno omogućiti datoteke dnevnika vatrozida sustava Windows(Windows Firewall Log) . Prema zadanim postavkama, datoteka dnevnika je onemogućena, što znači da se ne zapisuju nikakve informacije ili podaci.

  • Da biste stvorili zapisnik, otvorite funkciju Pokreni(Run) pritiskom na Windows key + R R.
  • Upišite wf.msc u okvir i pritisnite Enter .

  • U prozoru Windows vatrozid(Windows Firewall) i napredna sigurnost(Advanced Security) označite "Windows Defender vatrozid s naprednom sigurnošću(Advanced Security) na lokalnom računalu" na lijevom bočnom izborniku. Na krajnjem desnom bočnom izborniku pod "Radnje" kliknite Svojstva(Properties) .

  • U novom dijaloškom prozoru idite na karticu "Privatni profil" i odaberite Prilagodi(Customize) , što se može pronaći u odjeljku "Zapisivanje".

  • Novi prozor će vam omogućiti da odaberete koliku datoteku zapisnika želite napisati, gdje želite da se datoteka pošalje i hoćete li zabilježiti samo ispuštene pakete, uspješnu vezu ili oboje.

  • Ispušteni(Dropped) paketi su oni koje je Windows vatrozid(Windows Firewall) blokirao u vaše ime.
  • Prema zadanim postavkama, unosi dnevnika vatrozida Windows pohranjuju samo zadnjih 4 MB podataka i mogu se naći u (Windows Firewall)%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Imajte na umu da povećanje ograničenja veličine za korištenje podataka za zapisnike može utjecati na performanse vašeg računala.
  • Pritisnite OK kada završite.
  • Zatim ponovite iste korake kroz koje ste upravo prošli na kartici "Privatni profil", samo ovaj put na kartici "Javni profil".
    • Zapisi će se sada generirati za javne i privatne veze. Datoteke možete pregledavati u uređivaču teksta kao što je Notepad ili ih uvesti u proračunsku tablicu.
    • Sada možete izvesti datoteke dnevnika u program za analizu baze podataka kao što je IP Traffic Spy za filtriranje i sortiranje prometa radi lakše identifikacije.

Pripazite na bilo što neobično u datotekama dnevnika. Čak i najmanji kvar sustava može ukazivati ​​na infekciju rootkitom. Nešto poput pretjerane upotrebe CPU-a(CPU) ili propusnosti kada ne koristite ništa previše zahtjevno ili uopće, može biti glavni trag.



About the author

Ja sam stručnjak za korisničku podršku za Windows 10/11/10 s više od 5 godina iskustva. Također sam strastveni igrač posljednjih nekoliko godina i snažno me zanima xbox One. Moj trenutni fokus je pomaganje korisnicima s problemima koje imaju sa svojim Windows 10 ili Windows 11 sustavima, često kroz korištenje naših alata za korisničku podršku, kao što je podrška pozivnog centra i online pomoć.



Related posts