Hakeri koriste rootkite za skrivanje postojanog zlonamjernog softvera koji se naizgled ne može otkriti unutar vašeg uređaja koji će tiho ukrasti podatke ili resurse, ponekad tijekom više godina. Također se mogu koristiti na način keyloggera gdje se nadziru vaši pritisak na tipke i komunikacija pružajući promatraču informacije o privatnosti.  

Ova posebna metoda hakiranja bila je više relevantna prije 2006. godine, prije nego što je Microsoft Vista zahtijevao od dobavljača da digitalno potpišu sve upravljačke programe računala. Zaštita kernel zakrpa^{(Kernel Patch Protection)} ( KPP ) dovela je do toga da pisci zlonamjernog softvera promijene svoje metode napada i tek nedavno, od 2018. godine, s operacijom prijevare oglasa Zacinlo^{(Zacinlo ad fraud operation)} , rootkiti su ponovno ušli u središte pozornosti.

Rootkitovi prije 2006. bili su isključivo bazirani na operativnom sustavu. Situacija Zacinlo , rootkit iz obitelji zlonamjernih programa Detrahere^{(Detrahere malware)} , dala nam je nešto još opasnije u obliku rootkita koji se temelji na firmwareu. Bez obzira^(Regardless) na to , rootkitovi su samo oko jedan posto ukupnog broja zlonamjernih programa koji se vide godišnje. 

Čak i tako, zbog opasnosti koju mogu predstavljati, bilo bi mudro razumjeti kako funkcionira otkrivanje rootkita koji su se možda već infiltrirali u vaš sustav.

Otkrivanje rutkita u sustavu Windows 10^{(Windows 10)} ( dubinski^(In-Depth) )

Zacinlo je zapravo bio u igri gotovo šest godina prije nego što je otkriveno da cilja na Windows 10 platformu. Komponenta rootkita bila je vrlo konfigurabilna i štitila se od procesa koje je smatrala opasnima za njezinu funkcionalnost te je bila sposobna presresti i dešifrirati SSL komunikacije.

Šifrirao bi i pohranio sve svoje konfiguracijske podatke u Windows Registry i, dok se Windows gasio, prepisivao se s memorije na disk koristeći drugo ime i ažurirao svoj ključ registra. To mu je pomoglo da izbjegne otkrivanje vašeg standardnog antivirusnog softvera.

To pokazuje da standardni antivirusni ili antimalware softver nije dovoljan za otkrivanje rootkita. Iako, postoji nekoliko vrhunskih antimalware programa koji će vas upozoriti na sumnje u rootkit napad. 

5 ključnih atributa dobrog antivirusnog softvera^{(The 5 Key Attributes Of a Good Antivirus Software)}

Većina istaknutih antivirusnih programa danas će izvesti svih pet ovih značajnih metoda za otkrivanje rootkita.

• Analiza temeljena na potpisu^{(Signature-based Analysis)} – Antivirusni softver će usporediti zabilježene datoteke s poznatim potpisima rootkita. Analiza će također tražiti obrasce ponašanja koji oponašaju određene operativne aktivnosti poznatih rootkita, kao što je agresivno korištenje portova.
• Otkrivanje presretanja^{(Interception Detection)} – operacijski sustav Windows koristi tablice pokazivača za pokretanje naredbi za koje se zna da potiču rootkit na djelovanje. Budući da rootkiti pokušavaju zamijeniti ili modificirati sve što se smatra prijetnjom, to će vaš sustav upozoriti na njihovu prisutnost.
• Usporedba podataka iz više izvora^{(Multi-Source Data Comparison)} – Rootkitovi^(Rootkits) , u pokušaju da ostanu skriveni, mogu promijeniti određene podatke prikazane u standardnom pregledu. Vraćeni rezultati sistemskih poziva visoke i niske razine mogu odati prisutnost rootkita. Softver također može usporediti procesnu memoriju učitanu u RAM sa sadržajem datoteke na tvrdom disku.
• Provjera integriteta^{(Integrity Check)} – Svaka knjižnica sustava posjeduje digitalni potpis koji je stvoren u vrijeme kada se sustav smatrao "čistim". Dobar sigurnosni softver može provjeriti knjižnice za bilo kakvu promjenu koda koji se koristi za stvaranje digitalnog potpisa.
• Usporedbe registra^{(Registry Comparisons)} – većina antivirusnih programa ima ih po unaprijed postavljenom rasporedu. Čista datoteka uspoređuje se s klijentskom datotekom u stvarnom vremenu kako bi se utvrdilo je li klijent ili sadrži nezatraženu izvršnu datoteku (.exe).

Izvođenje skeniranja rutkita^{(Performing Rootkit Scans)}

Provođenje skeniranja rootkita najbolji je pokušaj za otkrivanje infekcije rootkitom. Najčešće se vašem operativnom sustavu ne može vjerovati da će sam identificirati rootkit i predstavlja izazov za utvrđivanje njegove prisutnosti. Rootkiti su glavni špijuni, koji prikrivaju svoje tragove na gotovo svakom koraku i sposobni su ostati skriveni na vidiku.

Ako sumnjate da se na vašem računalu dogodio rootkit virusni napad, dobra strategija za otkrivanje bila bi isključiti računalo i izvršiti skeniranje iz poznatog čistog sustava. Siguran način za lociranje rootkita unutar vašeg računala je analiza memorije. Rootkit ne može sakriti upute koje daje vašem sustavu dok ih izvršava u memoriji stroja.

Korištenje WinDbg za analizu zlonamjernog softvera^{(Using WinDbg For Malware Analysis)}

Microsoft Windows osigurao je vlastiti višenamjenski alat za otklanjanje pogrešaka koji se može koristiti za skeniranje aplikacija, upravljačkih programa ili samog operacijskog sustava. Otklonit će pogreške koda u načinu rada jezgre i korisničkom načinu rada, pomoći će analizirati ispise rušenja i ispitati CPU registre.

Neki Windows sustavi će doći s WinDbg već u paketu. Oni bez njih će ga morati preuzeti iz Microsoft Storea^{(Microsoft Store)} . WinDbg Preview je modernija verzija WinDbg -a , koja pruža lakši vizualni prikaz, brže prozore, kompletno skriptiranje i iste naredbe, proširenja i tijekove rada kao original.

U najmanju ruku, možete koristiti WinDbg za analizu memorije ili crash dump-a, uključujući Plavi ekran ^{(Blue Screen)}smrti^(Death) ( BSOD ). Iz rezultata možete potražiti pokazatelje napada zlonamjernog softvera. Ako smatrate da je jedan od vaših programa možda ometen prisutnošću zlonamjernog softvera ili da koristi više memorije nego što je potrebno, možete izraditi datoteku dump i koristiti WinDbg za analizu.

Potpuni ispis memorije može zauzeti značajan prostor na disku pa bi možda bilo bolje izvesti dump u načinu kernela^{(Kernel-Mode)} ili dump male memorije^(Memory) . Dump u načinu rada kernela sadržavat će sve informacije o korištenju memorije od strane kernela u trenutku pada. Dump male memorije^(Memory) sadržavat će osnovne informacije o različitim sustavima kao što su upravljački programi, kernel i još mnogo toga, ali je malen u usporedbi.

Male memorije^(Memory) su korisnije u analizi zašto je došlo do BSOD -a. ^(BSOD)Za otkrivanje rootkita, potpuna verzija ili verzija kernela bit će od veće pomoći.

Stvaranje datoteke ispisne datoteke u načinu rada jezgre^{(Creating A Kernel-Mode Dump File)}

Dump datoteka u načinu rada kernela^{(Kernel-Mode)} može se stvoriti na tri načina:

• Omogućite dump datoteku s upravljačke ploče^{(Control Panel)} kako biste omogućili da se sustav sam sruši
• Omogućite dump datoteku s upravljačke ploče^{(Control Panel)} kako biste prisilili sustav da se sruši
• Upotrijebite alat za ispravljanje pogrešaka kako biste ga stvorili za vas

Ići ćemo s izborom broj tri. 

Da biste izvršili potrebnu dump datoteku, trebate samo unijeti sljedeću naredbu u naredbeni^(Command) prozor WinDbg .

Zamijenite FileName odgovarajućim imenom za datoteku dump i "?" sa f . Provjerite je li "f" mala slova ili ćete u suprotnom stvoriti drugu vrstu datoteke za ispis.

Nakon što program za ispravljanje pogrešaka završi svojim tijekom (prvo skeniranje će potrajati dosta minuta), kreirat će se dump datoteka i moći ćete analizirati svoje nalaze.

Razumijevanje onoga što tražite, kao što je korištenje hlapljive memorije ( RAM ), da biste utvrdili prisutnost rootkita, zahtijeva iskustvo i testiranje. Moguće je, iako se ne preporučuje početnicima, testirati tehnike otkrivanja zlonamjernog softvera na živom sustavu. Da biste to učinili, opet će vam trebati stručnost i dubinsko znanje o radu WinDbg - a kako ne biste slučajno instalirali živi virus u vaš sustav.

Postoje sigurniji načini za otkrivanje dobro skrivenog neprijatelja.

Dodatne metode skeniranja^{(Additional Scanning Methods)}

Ručno otkrivanje i analiza ponašanja također su pouzdane metode za otkrivanje rootkita. Pokušaj otkrivanja lokacije rootkita može predstavljati veliku muku pa, umjesto ciljanja na sam rootkit, možete tražiti ponašanja poput rootkita.

Možete tražiti rootkite u preuzetim paketima softvera korištenjem opcija napredne^(Advanced) ili prilagođene^(Custom) instalacije tijekom instalacije. Ono što trebate potražiti su sve nepoznate datoteke navedene u pojedinostima. Te datoteke treba odbaciti ili možete brzo pretražiti na mreži za bilo kakve reference na zlonamjerni softver.

Vatrozidovi i njihova izvješća o zapisnicima nevjerojatno su učinkovit način otkrivanja rootkita. Softver će vas obavijestiti ako je vaša mreža pod nadzorom i trebao bi staviti u karantenu sva neprepoznatljiva ili sumnjiva preuzimanja prije instalacije. 

Ako sumnjate da je rootkit možda već na vašem računalu, možete zaroniti u izvješća o zapisnicima vatrozida i potražiti bilo koje neobično ponašanje.

Pregledavanje izvješća o zapisnicima vatrozida^{(Reviewing Firewall Logging Reports)}

Poželjet ćete pregledati svoja trenutna izvješća o zapisnicima vatrozida, čineći aplikaciju otvorenog koda poput IP Traffic Spy s mogućnostima filtriranja dnevnika vatrozida, vrlo korisnim alatom. Izvješća će vam pokazati što je potrebno vidjeti ako dođe do napada. 

Ako imate veliku mrežu sa samostalnim vatrozidom za filtriranje izlaza, IP Traffic Spy neće biti potreban. Umjesto toga, trebali biste moći vidjeti dolazne i odlazne pakete za sve uređaje i radne stanice na mreži putem dnevnika vatrozida.

Bilo da se nalazite u kućnom ili malom poslovnom okruženju, možete koristiti modem koji vam je dao vaš ISP ili, ako ga posjedujete, osobni vatrozid ili usmjerivač za izvlačenje dnevnika vatrozida. Moći ćete identificirati promet za svaki uređaj spojen na istu mrežu. 

Također bi moglo biti korisno omogućiti datoteke dnevnika vatrozida sustava Windows^{(Windows Firewall Log)} . Prema zadanim postavkama, datoteka dnevnika je onemogućena, što znači da se ne zapisuju nikakve informacije ili podaci.

• Da biste stvorili zapisnik, otvorite funkciju Pokreni^(Run) pritiskom na Windows key + R R.
• Upišite wf.msc u okvir i pritisnite Enter .

• U prozoru Windows vatrozid^{(Windows Firewall)} i napredna sigurnost^{(Advanced Security)} označite "Windows Defender vatrozid s naprednom sigurnošću^{(Advanced Security)} na lokalnom računalu" na lijevom bočnom izborniku. Na krajnjem desnom bočnom izborniku pod "Radnje" kliknite Svojstva^(Properties) .

• U novom dijaloškom prozoru idite na karticu "Privatni profil" i odaberite Prilagodi^(Customize) , što se može pronaći u odjeljku "Zapisivanje".

• Novi prozor će vam omogućiti da odaberete koliku datoteku zapisnika želite napisati, gdje želite da se datoteka pošalje i hoćete li zabilježiti samo ispuštene pakete, uspješnu vezu ili oboje.

• Ispušteni^(Dropped) paketi su oni koje je Windows vatrozid^{(Windows Firewall)} blokirao u vaše ime.
• Prema zadanim postavkama, unosi dnevnika vatrozida Windows pohranjuju samo zadnjih 4 MB podataka i mogu se naći u ^{(Windows Firewall)}%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Imajte na umu da povećanje ograničenja veličine za korištenje podataka za zapisnike može utjecati na performanse vašeg računala.
• Pritisnite OK kada završite.
• Zatim ponovite iste korake kroz koje ste upravo prošli na kartici "Privatni profil", samo ovaj put na kartici "Javni profil".
  • Zapisi će se sada generirati za javne i privatne veze. Datoteke možete pregledavati u uređivaču teksta kao što je Notepad ili ih uvesti u proračunsku tablicu.
  • Sada možete izvesti datoteke dnevnika u program za analizu baze podataka kao što je IP Traffic Spy za filtriranje i sortiranje prometa radi lakše identifikacije.

Pripazite na bilo što neobično u datotekama dnevnika. Čak i najmanji kvar sustava može ukazivati ​​na infekciju rootkitom. Nešto poput pretjerane upotrebe CPU-a^(CPU) ili propusnosti kada ne koristite ništa previše zahtjevno ili uopće, može biti glavni trag.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Roоtkits are used by hackers tо hide persistent, seemingly undetectable malware within your devіce thаt will silentlу steal data or resources, sometimеs over the course of multiple years. They can also be used in keylogger fashion wherе your keystrokes and communications are surveilled providing the onlooker with privacу information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Preuzmite Vodiče za Windows 10 za početnike od Microsofta

• Kako koristiti Windows 10 PC - Osnovni vodič i savjeti za početnike

• Preuzmite Windows Ink Guide za Windows 10 od Microsofta

• Preuzmite Vodiče za Windows 10 za početnike od Microsofta

• Referentni vodič za postavke grupnih pravila za Windows 10

• OTT vodič za sigurnosne kopije, slike sustava i oporavak u sustavu Windows 10

• Onemogućite zaključani zaslon u sustavu Windows 10 [VODIČ]

• Potpuni vodič za postavke miša u sustavu Windows 10

• Onemogućite zaslon osjetljiv na dodir u sustavu Windows 10 [VODIČ]

• Kako prilagoditi Windows 10: Potpuni vodič

• Tipkovnički prečaci za Windows 10: Ultimate Guide

• Vodič za Windows 10 Task Manager – dio III

• Sakrij opciju alatnih traka u kontekstnom izborniku trake zadataka u sustavu Windows 10

• Kako urediti datoteku Hosts u sustavu Windows 10 [VODIČ]

• Vrhunski vodič za rješavanje problema za Windows 10 koji ne ide u stanje mirovanja

• Što je Control Flow Guard u sustavu Windows 10 - kako ga uključiti ili isključiti

• Plavi ekran smrti Vodič za rješavanje problema za Windows 10

• Izradite prečac na tipkovnici da otvorite svoje omiljeno web-mjesto u sustavu Windows 10

• 3 najbolje aplikacije Reddit za Windows 10 koje su dostupne u Windows Storeu

• Kako ući u BIOS na Windows 10 [VODIČ]