Хакеры используют руткиты для сокрытия на вашем устройстве устойчивых, казалось бы, необнаруживаемых вредоносных программ, которые будут незаметно красть данные или ресурсы, иногда в течение нескольких лет. Их также можно использовать в качестве кейлоггера, когда ваши нажатия клавиш и сообщения отслеживаются, предоставляя наблюдателю информацию о конфиденциальности.  

Этот конкретный метод взлома был более актуален до 2006 года, до Microsoft Vista , требующей от поставщиков цифровой подписи всех компьютерных драйверов. Защита от исправлений ядра^{(Kernel Patch Protection)} ( KPP ) заставила авторов вредоносных программ изменить свои методы атаки, и только недавно, в 2018 году, с операцией по мошенничеству с рекламой Zacinlo^{(Zacinlo ad fraud operation)} , руткиты снова оказались в центре внимания.

Все руткиты, выпущенные до 2006 года, были ориентированы на операционную систему. Ситуация с Zacinlo , руткитом из семейства вредоносных программ Detrahere^{(Detrahere malware)} , дала нам кое-что еще более опасное в виде руткита на основе прошивки. Несмотря на это^(Regardless) , руткиты составляют лишь около одного процента всех вредоносных программ, выводимых ежегодно. 

Тем не менее, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.

Обнаружение руткитов в Windows 10 ( подробно^(In-Depth) )

На самом деле Zacinlo^(Zacinlo) был в игре почти шесть лет, прежде чем было обнаружено, что он нацелен на платформу Windows 10 . Компонент руткита обладал широкими возможностями настройки и защищал себя от процессов, которые считал опасными для своей функциональности, а также был способен перехватывать и расшифровывать соединения SSL .

Он будет шифровать и хранить все данные своей конфигурации в реестре Windows^{(Windows Registry)} , а во время закрытия Windows перезаписывать себя из памяти на диск, используя другое имя, и обновлять свой ключ реестра. ^(Windows)Это помогло ему избежать обнаружения вашим стандартным антивирусным программным обеспечением.

Это говорит о том, что стандартного антивирусного или антивредоносного программного обеспечения недостаточно для обнаружения руткитов. Тем не менее, есть несколько программ защиты от вредоносных программ высшего уровня, которые предупредят вас о подозрении на атаку руткитов. 

5 ключевых характеристик хорошего антивирусного программного обеспечения^{(The 5 Key Attributes Of a Good Antivirus Software)}

Большинство современных антивирусных программ используют все пять известных методов обнаружения руткитов.

• Анализ на основе сигнатур^{(Signature-based Analysis)} . Антивирусное программное обеспечение сравнивает зарегистрированные файлы с известными сигнатурами руткитов. Анализ также будет искать поведенческие модели, которые имитируют определенные действия известных руткитов, такие как агрессивное использование портов.
• Обнаружение перехвата^{(Interception Detection)} — операционная система Windows использует таблицы указателей для запуска команд, которые, как известно, побуждают руткит действовать. Поскольку руткиты пытаются заменить или модифицировать все, что считается угрозой, это сообщит вашей системе об их присутствии.
• Сравнение данных из нескольких источников^{(Multi-Source Data Comparison)} — руткиты^(Rootkits) , пытаясь остаться незамеченными, могут изменять определенные данные, представленные при стандартной проверке. Возвращаемые результаты системных вызовов высокого и низкого уровня могут выдать наличие руткита. Программное обеспечение также может сравнивать память процесса, загруженную в ОЗУ^(RAM) , с содержимым файла на жестком диске.
• Проверка целостности^{(Integrity Check)} . Каждая системная библиотека имеет цифровую подпись, созданную в момент, когда система считалась «чистой». Хорошее программное обеспечение для обеспечения безопасности может проверять библиотеки на предмет любых изменений кода, используемого для создания цифровой подписи.
• Сравнение реестров^{(Registry Comparisons)} . Большинство антивирусных программ проводят их по заданному расписанию. Чистый файл будет сравниваться с файлом клиента в режиме реального времени, чтобы определить, является ли клиент незапрошенным исполняемым файлом (.exe) или содержит его.

Выполнение сканирования руткитов^{(Performing Rootkit Scans)}

Выполнение сканирования на наличие руткитов — лучшая попытка обнаружить заражение руткитами. Чаще всего вашей операционной системе нельзя доверять, чтобы она самостоятельно идентифицировала руткит, и это представляет проблему для определения его присутствия. Руткиты — мастера-шпионы, заметающие следы почти на каждом шагу и способные оставаться скрытыми на виду.

Если вы подозреваете, что на вашем компьютере произошла атака руткит-вируса, хорошей стратегией обнаружения будет выключение компьютера и выполнение сканирования из заведомо чистой системы. Надежный способ найти руткит на вашем компьютере — это анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.

Использование WinDbg для анализа вредоносных программ^{(Using WinDbg For Malware Analysis)}

Microsoft Windows предоставила собственный многофункциональный инструмент отладки, который можно использовать для выполнения отладочного сканирования приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры ЦП .^(CPU)

Некоторые системы Windows поставляются с уже установленным WinDbg^(WinDbg) . Те, у кого его нет, должны будут загрузить его из Microsoft Store . WinDbg Preview — это более современная версия WinDbg , обеспечивающая более приятные визуальные эффекты, более быстрые окна, полный набор сценариев и те же команды, расширения и рабочие процессы, что и оригинал.

Как минимум, вы можете использовать WinDbg для анализа ^(WinDbg)дампа^(BSOD) памяти или аварийного дампа, включая синий экран ^{(Blue Screen)}смерти^(Death) ( BSOD ). По результатам вы можете искать индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может помешать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.

Полный дамп памяти может занимать значительное место на диске, поэтому лучше выполнить дамп в режиме ядра^{(Kernel-Mode)} или дамп малого объема памяти^(Memory) . Дамп режима ядра будет содержать всю информацию об использовании памяти ядром на момент сбоя. Дамп Small Memory будет содержать основную информацию о различных системах, таких как драйверы, ядро ​​и т. д., но по сравнению с ним он крошечный.

Небольшие дампы памяти^(Memory) более полезны при анализе причин возникновения BSOD . Для обнаружения руткитов более полезной будет полная версия или версия ядра.

Создание файла дампа режима ядра^{(Creating A Kernel-Mode Dump File)}

Файл дампа режима ядра^{(Kernel-Mode)} можно создать тремя способами:

• Включите файл дампа из панели управления^{(Control Panel)} , чтобы система могла аварийно завершить работу самостоятельно.
• Включите файл дампа из панели управления,^{(Control Panel)} чтобы заставить систему аварийно завершать работу.
• Используйте инструмент отладчика, чтобы создать его для вас

Мы пойдем с выбором номер три. 

Чтобы выполнить необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командное^(Command) окно WinDbg .

Замените FileName на подходящее имя для файла дампа и «?» с ф^(f) . Убедитесь, что буква «f» написана в нижнем регистре, иначе вы создадите файл дампа другого типа.

После того, как отладчик завершит свою работу (первое сканирование займет много минут), будет создан файл дампа, и вы сможете проанализировать свои выводы.

Понимание того, что вы ищете, например использование энергозависимой памяти ( ОЗУ^(RAM) ), для определения присутствия руткита, требует опыта и тестирования. Возможно, хотя и не рекомендуется для новичков, протестировать методы обнаружения вредоносных программ на работающей системе. Для этого снова потребуются опыт и глубокие знания о работе WinDbg , чтобы случайно не развернуть живой вирус в вашей системе.

Есть более безопасные и удобные для новичков способы обнаружить нашего хорошо затаившегося врага.

Дополнительные методы сканирования^{(Additional Scanning Methods)}

Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка обнаружить местоположение руткита может быть серьезной проблемой, поэтому вместо того, чтобы нацеливаться на сам руткит, вы можете вместо этого искать поведение, подобное руткиту.

Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя параметры расширенной^(Advanced) или выборочной^(Custom) установки во время установки. Что вам нужно искать, так это любые незнакомые файлы, перечисленные в деталях. Эти файлы следует удалить, или вы можете выполнить быстрый поиск в Интернете любых ссылок на вредоносное программное обеспечение.

Брандмауэры и их отчеты о регистрации — невероятно эффективный способ обнаружения руткита. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и перед установкой поместит в карантин любые нераспознаваемые или подозрительные загрузки. 

Если вы подозреваете, что на вашем компьютере уже может быть руткит, вы можете погрузиться в отчеты журнала брандмауэра и найти любое необычное поведение.

Просмотр отчетов о регистрации брандмауэра^{(Reviewing Firewall Logging Reports)}

Вы захотите просмотреть свои текущие отчеты о журналах брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy , с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки. 

Если у вас большая сеть с автономным брандмауэром с фильтрацией исходящего трафика, IP Traffic Spy не понадобится. Вместо этого вы должны иметь возможность видеть входящие и исходящие пакеты на все устройства и рабочие станции в сети через журналы брандмауэра.

Независимо от того, находитесь ли вы дома или в малом бизнесе, вы можете использовать модем, предоставленный вашим интернет- провайдером^(ISP) , или, если он у вас есть, персональный брандмауэр или маршрутизатор, чтобы получить журналы брандмауэра. Вы сможете определить трафик для каждого устройства, подключенного к той же сети. 

Также может быть полезно включить файлы журнала брандмауэра^{(Windows Firewall Log)} Windows. По умолчанию файл журнала отключен, что означает, что информация или данные не записываются.

• Чтобы создать файл журнала, откройте функцию « Выполнить^(Run) », нажав клавишу Windows key + R R.
• Введите wf.msc в поле и нажмите Enter .

• В окне « Брандмауэр Windows^{(Windows Firewall)} и дополнительная безопасность^{(Advanced Security)} » выделите «Брандмауэр Защитника Windows с повышенной безопасностью^{(Advanced Security)} на локальном компьютере» в меню слева. В крайнем правом меню в разделе «Действия» нажмите « Свойства^(Properties) » .

• В новом диалоговом окне перейдите на вкладку «Частный профиль» и выберите « Настроить^(Customize) », который можно найти в разделе «Ведение журнала».

• Новое окно позволит вам выбрать размер файла журнала для записи, куда вы хотите, чтобы файл был отправлен, и следует ли регистрировать только потерянные пакеты, успешное соединение или и то, и другое.

• Отброшенные^(Dropped) пакеты — это те, которые брандмауэр Windows^{(Windows Firewall)} заблокировал от вашего имени.
• По умолчанию записи журнала брандмауэра Windows^{(Windows Firewall)} будут хранить только последние 4 МБ данных, и их можно найти в %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Имейте в виду, что увеличение ограничения размера данных для журналов может повлиять на производительность вашего компьютера.
• Нажмите OK , когда закончите.
• Затем повторите те же шаги, которые вы только что выполнили на вкладке «Частный профиль», только на этот раз на вкладке «Общий профиль».
  • Журналы теперь будут генерироваться как для общедоступных, так и для частных подключений. Вы можете просмотреть файлы в текстовом редакторе, таком как Блокнот^(Notepad) , или импортировать их в электронную таблицу.
  • Теперь вы можете экспортировать файлы журналов в программу анализа базы данных, такую ​​как IP Traffic Spy , для фильтрации и сортировки трафика для легкой идентификации.

Следите за чем-либо необычным в файлах журнала. Даже малейший системный сбой может указывать на заражение руткитом. Что-то вроде чрезмерного использования ЦП^(CPU) или полосы пропускания, когда вы не используете ничего слишком требовательного или вообще не используете, может быть главной подсказкой.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, seemingly undetectable malware within your device that will silently steal data or reѕourсes, sometimes oνer the coυrse of multiple yearѕ. They can also be usеd in keуlogger fashion where your kеystrokes and cоmmunications are surveilled prоviding the onlooker with privаcy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Download Quick Start Guide до Windows 10 от Microsoft

• Как использовать Windows 10 PC - Basic Учебное пособие и советы для начинающих

• Download Windows Ink Guide для Windows 10 ​​от Microsoft

• Знакомства Windows 10 Guide для Employees от Microsoft

• Group Policy Settings Reference Guide для Windows 10

• Руководство по диспетчеру задач Windows 10 — часть II

• Reset Network Data Usage на Windows 10 [Руководство]

• Полное руководство по настройкам мыши в Windows 10

• Создать Keyboard Shortcut, чтобы открыть ваш любимый Website в Windows 10

• Make Firefox display Media Controls на Windows 10 Lock Screen

• Быстро Clear All Cache в Windows 10 [Ultimate Guide]

• Step-by-Step Guide для установки FFmpeg на Windows 10

• Руководство по диспетчеру задач Windows 10 — часть III

• Легко запускать файлы с MyLauncher для компьютеров Windows 10

• Ultimate Windows 10 WiFi Troubleshooting Guide

• Руководство по диспетчеру задач Windows 10 — часть I

• Как открыть файлы .aspx на компьютере Windows 10

• Watch Цифровое телевидение и слушать Radio на Windows 10 с ProgDVB

• Best бесплатно Barcode Scanner software для Windows 10

• Не может подключиться к Xbox Live; Fix Xbox Live Networking issue в Windows 10