Rootkity są wykorzystywane przez hakerów do ukrywania na urządzeniu trwałego, pozornie niewykrywalnego złośliwego oprogramowania, które po cichu kradnie dane lub zasoby, czasami przez wiele lat. Mogą być również używane w sposób keyloggera, w którym naciśnięcia klawiszy i komunikacja są monitorowane, zapewniając widzowi informacje o prywatności.  

Ta konkretna metoda hakerska miała większe znaczenie przed 2006 r., przed wprowadzeniem systemu Microsoft Vista^{(Microsoft Vista)} , który wymagał od dostawców cyfrowego podpisywania wszystkich sterowników komputerów. Kernel Patch Protection ( KPP ) spowodował, że twórcy złośliwego oprogramowania zmienili metody ataków, a dopiero w 2018 r. dzięki operacji oszustwa reklamowego Zacinlo^{(Zacinlo ad fraud operation)} rootkity ponownie znalazły się w centrum uwagi.

Wszystkie rootkity sprzed 2006 roku były oparte na systemie operacyjnym. Sytuacja Zacinlo , rootkita z rodziny złośliwego oprogramowania Detrahere^{(Detrahere malware)} , dała nam coś jeszcze bardziej niebezpiecznego w postaci rootkita opartego na oprogramowaniu układowym. Niezależnie od tego^(Regardless) , rootkity stanowią tylko około 1% wszystkich obserwowanych corocznie szkodliwych programów. 

Mimo to, ze względu na niebezpieczeństwo, jakie mogą stwarzać, rozsądnie byłoby zrozumieć, jak działa wykrywanie rootkitów, które mogły już przeniknąć do twojego systemu.

Wykrywanie rootkitów w systemie Windows 10^{(Windows 10)} ( dogłębne^(In-Depth) )

Zacinlo był w grze przez prawie sześć lat, zanim odkryto, że atakuje platformę Windows 10 . Komponent rootkita był wysoce konfigurowalny i chronił się przed procesami, które uważał za niebezpieczne dla jego funkcjonalności i był zdolny do przechwytywania i deszyfrowania komunikacji SSL .

Szyfrowałby i przechowywał wszystkie dane konfiguracyjne w rejestrze systemu Windows^{(Windows Registry)} , a podczas zamykania systemu Windows zapisywał się ponownie z pamięci na dysk przy użyciu innej nazwy i aktualizował swój klucz rejestru. ^(Windows)Pomogło mu to uniknąć wykrycia przez standardowe oprogramowanie antywirusowe.

To pokazuje, że standardowe oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem nie wystarcza do wykrywania rootkitów. Chociaż istnieje kilka programów antymalware najwyższego poziomu, które ostrzegają o podejrzeniu ataku rootkit. 

5 kluczowych atrybutów dobrego oprogramowania antywirusowego^{(The 5 Key Attributes Of a Good Antivirus Software)}

Większość znanych obecnie programów antywirusowych obsługuje wszystkie pięć z tych godnych uwagi metod wykrywania rootkitów.

• Analiza oparta na sygnaturach^{(Signature-based Analysis)} — oprogramowanie antywirusowe porównuje zarejestrowane pliki ze znanymi sygnaturami rootkitów. Analiza będzie również poszukiwać wzorców zachowań, które naśladują niektóre działania operacyjne znanych rootkitów, takie jak agresywne korzystanie z portów.
• Wykrywanie przechwytywania^{(Interception Detection)} — system operacyjny Windows wykorzystuje tabele wskaźników do uruchamiania poleceń, o których wiadomo, że zachęcają rootkita do działania. ^(Windows)Ponieważ rootkity próbują zastąpić lub zmodyfikować wszystko, co jest uważane za zagrożenie, oznacza to, że twój system jest informowany o ich obecności.
• Porównanie danych z wielu źródeł^{(Multi-Source Data Comparison)} — rootkity^(Rootkits) , próbując pozostać w ukryciu, mogą zmienić niektóre dane prezentowane w standardowym badaniu. Zwrócone wyniki wywołań systemowych wysokiego i niskiego poziomu mogą zdradzić obecność rootkita. Oprogramowanie może również porównywać pamięć procesu załadowaną do pamięci RAM^(RAM) z zawartością pliku na dysku twardym.
• Sprawdzanie integralności^{(Integrity Check)} — każda biblioteka systemowa posiada podpis cyfrowy, który jest tworzony w czasie, gdy system był uważany za „czysty”. Dobre oprogramowanie zabezpieczające może sprawdzać biblioteki pod kątem wszelkich zmian kodu użytego do tworzenia podpisu cyfrowego.
• Porównania rejestru^{(Registry Comparisons)} — większość programów antywirusowych ma je zgodnie z ustalonym harmonogramem. Czysty plik zostanie porównany z plikiem klienta w czasie rzeczywistym, aby określić, czy klient jest lub zawiera niechciany plik wykonywalny (.exe).

Wykonywanie skanowania rootkitów^{(Performing Rootkit Scans)}

Przeprowadzenie skanowania w poszukiwaniu rootkitów to najlepsza próba wykrycia infekcji rootkitami. Najczęściej twój system operacyjny nie może samodzielnie zidentyfikować rootkita i stanowi wyzwanie dla określenia jego obecności. Rootkity to mistrzowie szpiegów, którzy niemal na każdym kroku zacierają ślady i potrafią pozostać w ukryciu.

Jeśli podejrzewasz, że na twoim komputerze miał miejsce atak wirusa rootkit, dobrą strategią wykrywania jest wyłączenie komputera i wykonanie skanowania ze znanego czystego systemu. Pewnym sposobem na zlokalizowanie rootkita na twoim komputerze jest analiza zrzutu pamięci. Rootkit nie może ukryć instrukcji, które przekazuje systemowi, gdy wykonuje je w pamięci komputera.

Używanie WinDbg do analizy złośliwego oprogramowania^{(Using WinDbg For Malware Analysis)}

Microsoft Windows dostarczył własne wielofunkcyjne narzędzie do debugowania, które może być używane do wykonywania skanowań debugujących w aplikacjach, sterownikach lub samym systemie operacyjnym. Będzie debugować kod trybu jądra i trybu użytkownika, pomaga analizować zrzuty awaryjne i badać rejestry procesora .^(CPU)

Niektóre systemy Windows będą dostarczane z pakietem WinDbg . Te bez oprogramowania będą musiały pobrać go ze sklepu Microsoft Store^{(Microsoft Store)} . WinDbg Preview to nowocześniejsza wersja WinDbg , zapewniająca przyjemniejsze dla oka wizualizacje, szybsze okna, pełne skrypty oraz te same polecenia, rozszerzenia i przepływy pracy, co oryginał.

Jako minimum możesz użyć WinDbg do analizy zrzutu pamięci lub awarii, w tym niebieskiego ekranu ^{(Blue Screen)}śmierci^(Death) ( BSOD ) . Na podstawie wyników możesz szukać wskaźników ataku złośliwego oprogramowania. Jeśli uważasz, że jeden z twoich programów może być utrudniony przez obecność złośliwego oprogramowania lub zużywa więcej pamięci niż jest to wymagane, możesz utworzyć plik zrzutu i użyć WinDbg , aby go przeanalizować.

Kompletny zrzut pamięci może zająć znaczną ilość miejsca na dysku, więc zamiast tego może być lepiej wykonać zrzut w trybie jądra^{(Kernel-Mode)} lub zrzut małej pamięci . ^(Memory)Zrzut w trybie jądra będzie zawierał wszystkie informacje o wykorzystaniu pamięci przez jądro w momencie awarii. Zrzut małej pamięci^(Memory) będzie zawierał podstawowe informacje o różnych systemach, takich jak sterowniki, jądro i inne, ale jest mały w porównaniu.

Małe zrzuty pamięci^(Memory) są bardziej przydatne w analizie przyczyn wystąpienia BSOD . Do wykrywania rootkitów bardziej pomocna będzie pełna wersja lub wersja jądra.

Tworzenie pliku zrzutu w trybie jądra^{(Creating A Kernel-Mode Dump File)}

Plik zrzutu trybu jądra^{(Kernel-Mode)} można utworzyć na trzy sposoby:

• Włącz plik zrzutu z Panelu sterowania^{(Control Panel)} , aby system mógł sam się zawiesić
• Włącz plik zrzutu z Panelu sterowania^{(Control Panel)} , aby wymusić awarię systemu
• Użyj narzędzia do debugowania, aby utworzyć je dla siebie

Pojedziemy z wyborem numer trzy. 

Aby wykonać niezbędny plik zrzutu, wystarczy wprowadzić następujące polecenie w oknie poleceń ^(Command)WinDbg .

Zastąp FileName odpowiednią nazwą pliku zrzutu i znakiem „?” z f . Upewnij się, że „f” jest małymi literami, w przeciwnym razie utworzysz inny rodzaj pliku zrzutu.

Po uruchomieniu debuggera (pierwsze skanowanie zajmie sporo minut), zostanie utworzony plik zrzutu i będziesz mógł przeanalizować swoje wyniki.

Zrozumienie tego, czego szukasz, na przykład użycia pamięci ulotnej ( RAM ), w celu określenia obecności rootkita, wymaga doświadczenia i testów. Możliwe jest, choć nie jest to zalecane dla nowicjuszy, przetestowanie technik wykrywania złośliwego oprogramowania na aktywnym systemie. Aby to zrobić, ponownie będziesz potrzebować specjalistycznej wiedzy i dogłębnej wiedzy na temat działania WinDbg , aby przypadkowo nie wdrożyć żywego wirusa do twojego systemu.

Istnieją bezpieczniejsze, bardziej przyjazne dla początkujących sposoby na wykrycie naszego dobrze ukrytego wroga.

Dodatkowe metody skanowania^{(Additional Scanning Methods)}

Ręczne wykrywanie i analiza behawioralna to również niezawodne metody wykrywania rootkitów. Próba odkrycia lokalizacji rootkita może być poważnym problemem, więc zamiast kierować się na sam rootkit, możesz zamiast tego szukać zachowań podobnych do rootkita.

Możesz szukać rootkitów w pobranych pakietach oprogramowania, korzystając z opcji instalacji Zaawansowanej^(Advanced) lub Własnej^(Custom) podczas instalacji. Musisz poszukać wszelkich nieznanych plików wymienionych w szczegółach. Pliki te należy wyrzucić lub można szybko wyszukać w Internecie wszelkie odniesienia do złośliwego oprogramowania.

Zapory sieciowe i raporty z ich rejestrowania to niezwykle skuteczny sposób na wykrycie rootkita. Oprogramowanie powiadomi Cię, jeśli Twoja sieć jest sprawdzana, i przed instalacją powinno poddać kwarantannie wszelkie nierozpoznawalne lub podejrzane pliki do pobrania. 

Jeśli podejrzewasz, że rootkit może już być na twoim komputerze, możesz zagłębić się w raporty rejestrowania zapory i poszukać wszelkich nietypowych zachowań.

Przeglądanie raportów rejestrowania zapory^{(Reviewing Firewall Logging Reports)}

Będziesz chciał przejrzeć swoje bieżące raporty rejestrowania zapory, dzięki czemu aplikacja typu open source, taka jak IP Traffic Spy , z funkcjami filtrowania dzienników zapory, będzie bardzo przydatnym narzędziem. Raporty pokażą Ci, co należy zobaczyć w przypadku ataku. 

Jeśli masz dużą sieć z samodzielną zaporą sieciową filtrującą ruch wychodzący, Szpieg ruchu IP^{(IP Traffic Spy)} nie będzie potrzebny. Zamiast tego powinieneś być w stanie zobaczyć pakiety przychodzące i wychodzące do wszystkich urządzeń i stacji roboczych w sieci za pośrednictwem dzienników zapory.

Niezależnie od tego, czy pracujesz w domu, czy w małej firmie, możesz użyć modemu dostarczonego przez dostawcę usług internetowych^(ISP) lub, jeśli masz taki, osobistej zapory lub routera, aby wyświetlić dzienniki zapory. Będziesz mógł zidentyfikować ruch dla każdego urządzenia podłączonego do tej samej sieci. 

Korzystne może być również włączenie plików dziennika zapory systemu Windows^{(Windows Firewall Log)} . Domyślnie plik dziennika jest wyłączony, co oznacza, że ​​nie są zapisywane żadne informacje ani dane.

• Aby utworzyć plik dziennika, otwórz funkcję Uruchom^(Run) , naciskając Windows key + R .
• Wpisz wf.msc w polu i naciśnij Enter .

• W oknie Zapora systemu Windows^{(Windows Firewall)} i zabezpieczenia zaawansowane^{(Advanced Security)} zaznacz opcję „Zapora systemu Windows Defender z zabezpieczeniami zaawansowanymi^{(Advanced Security)} na komputerze lokalnym” w menu po lewej stronie. W menu po prawej stronie w sekcji „Działania” kliknij Właściwości^(Properties) .

• W nowym oknie dialogowym przejdź do zakładki „Profil prywatny” i wybierz Dostosuj^(Customize) , którą można znaleźć w sekcji „Logowanie”.

• Nowe okno pozwoli Ci wybrać, jak duży plik dziennika ma zostać zapisany, gdzie chcesz go wysłać i czy rejestrować tylko odrzucone pakiety, udane połączenie lub jedno i drugie.

• Odrzucone^(Dropped) pakiety to te, które Zapora systemu Windows^{(Windows Firewall)} zablokowała w Twoim imieniu.
• Domyślnie wpisy dziennika Zapory systemu Windows^{(Windows Firewall)} przechowują tylko ostatnie 4 MB danych i można je znaleźć w %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Pamiętaj, że zwiększenie limitu rozmiaru na wykorzystanie danych w dziennikach może wpłynąć na wydajność komputera.
• Po zakończeniu naciśnij OK .
• Następnie powtórz te same kroki, które właśnie wykonałeś w zakładce "Profil prywatny", tylko tym razem w zakładce "Profil publiczny".
  • Logi będą teraz generowane zarówno dla połączeń publicznych, jak i prywatnych. Możesz przeglądać pliki w edytorze tekstu, takim jak Notatnik^(Notepad) , lub importować je do arkusza kalkulacyjnego.
  • Możesz teraz eksportować pliki dzienników do programu parsera bazy danych, takiego jak IP Traffic Spy , aby filtrować i sortować ruch w celu łatwej identyfikacji.

Miej oko na wszystko, co nietypowe w plikach dziennika. Nawet najmniejsza awaria systemu może wskazywać na infekcję rootkitem. Coś w stylu nadmiernego wykorzystania procesora^(CPU) lub przepustowości, gdy nie używasz niczego zbyt wymagającego lub w ogóle, może być główną wskazówką.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide рerѕistent, seemingly undetectable malware wіthin your device that will silently steal dаta or resources, sometimes over the course of multіple years. They сan also be used in keylogger fashion where your keystrokes and communications are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Pobierz przewodniki Windows 10 dla początkujących od Microsoft

• Jak korzystać z komputera z systemem Windows 10 — samouczek podstawowy i wskazówki dla początkujących

• Pobierz przewodnik po atramentach systemu Windows dla systemu Windows 10 od firmy Microsoft

• Pobierz przewodniki Windows 10 dla początkujących od Microsoft

• Przewodnik po ustawieniach zasad grupy dla systemu Windows 10

• Wyłącz ekran blokady w systemie Windows 10 [PRZEWODNIK]

• Przewodnik po Menedżerze zadań Windows 10 – część I

• Nie można połączyć się z usługą Xbox Live; Napraw problem z siecią Xbox Live w systemie Windows 10

• Pobierz przewodniki Windows 10 dla początkujących od Microsoft

• Jak otworzyć pliki .aspx na komputerze z systemem Windows 10

• Łatwe uruchamianie plików za pomocą myLauncher na komputery z systemem Windows 10

• Jak edytować plik Hosts w systemie Windows 10 [PRZEWODNIK]

• Jak zainstalować NumPy za pomocą PIP w systemie Windows 10?

• Wyłącz ekran dotykowy w systemie Windows 10 [PRZEWODNIK]

• Przewodnik OTT dotyczący kopii zapasowych, obrazów systemu i odzyskiwania w systemie Windows 10

• Skróty klawiaturowe w systemie Windows 10: najlepszy przewodnik

• Co to jest pakiet aktywacyjny w systemie Windows 10?

• 3 najlepsze aplikacje Reddit dla systemu Windows 10, które są dostępne w Sklepie Windows

• Co to jest funkcja Control Flow Guard w systemie Windows 10 — jak ją włączyć lub wyłączyć?

• Spraw, aby Firefox wyświetlał sterowanie multimediami na ekranie blokady systemu Windows 10