• Дом /
  • Windows 10 /
  • Как обнаружить руткиты в Windows 10 (подробное руководство)
December 12, 2019

Как обнаружить руткиты в Windows 10 (подробное руководство)

Руткиты используются хакерами, чтобы скрыть на вашем устройстве постоянное, казалось бы, необнаружимое вредоносное ПО, которое незаметно похищает данные или ресурсы, иногда в течение нескольких лет. Их также можно использовать в качестве кейлоггера, когда ваши нажатия клавиш и общение отслеживаются, предоставляя наблюдателю информацию о конфиденциальности.

Этот конкретный метод взлома стал более актуальным до 2006 года, до того, как Microsoft Vista потребовала от поставщиков поставить цифровую подпись на все драйверы компьютеров. Защита от исправлений ядра (KPP) заставила авторов вредоносных программ изменить свои методы атак, и только недавно, в 2018 году, с появлениемОперация по мошенничеству с рекламой Zacinlo, руткиты снова оказались в центре внимания.

Все руткиты, выпущенные до 2006 года, были ориентированы исключительно на операционную систему. Ситуация с Zacinlo, руткитом из семейства вредоносных программ Detrahere, дала нам нечто еще более опасное в виде руткита на основе прошивки. Тем не менее, руткиты составляют лишь около одного процента всех вредоносных программ, создаваемых ежегодно.

Несмотря на это, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.

Обнаружение руткитов в Windows 10 (подробно)

На самом деле Zacinlo действовал почти шесть лет, прежде чем был обнаружен его нацеленный на платформу Windows 10. Компонент руткита имел широкие возможности настройки и защищал себя от процессов, которые он считал опасными для его функциональности, а также был способен перехватывать и расшифровывать соединения SSL.

Он шифровал и сохранял все свои данные конфигурации в реестре Windows и, пока Windows выключалась, перезаписывал себя из памяти на диск, используя другое имя, и обновлял свой ключ реестра. Это помогло ему избежать обнаружения стандартным антивирусным программным обеспечением.

Это показывает, что стандартного антивирусного или вредоносного программного обеспечения недостаточно для обнаружения руткитов. Тем не менее, существует несколько антивирусных программ высшего уровня, которые предупредят вас о подозрениях на атаку руткитов.

5 ключевых качеств хорошего антивирусного программного обеспечения

Большинство известных сегодня антивирусных программ используют все пять этих известных методов обнаружения руткитов.

  • Сигнатурный анализ– Антивирусное программное обеспечение сравнит зарегистрированные файлы с известными сигнатурами руткитов. Анализ также будет направлен на поиск моделей поведения, имитирующих определенные действия известных руткитов, например агрессивное использование портов.
  • Обнаружение перехвата– Операционная система Windows использует таблицы указателей для запуска команд, которые, как известно, побуждают руткит действовать. Поскольку руткиты пытаются заменить или изменить что-либо, что считается угрозой, это предупредит вашу систему об их присутствии.
  • Сравнение данных из нескольких источников– Руткиты, пытаясь остаться незамеченными, могут изменить некоторые данные, представленные при стандартном обследовании. Возвращенные результаты системных вызовов высокого и низкого уровня могут выдать наличие руткита. Программное обеспечение также может сравнивать память процесса, загруженную в ОЗУ, с содержимым файла на жестком диске.
  • Проверка целостности– Каждая системная библиотека имеет цифровую подпись, созданную в тот момент, когда система считалась «чистой». Хорошее программное обеспечение безопасности может проверять библиотеки на предмет любого изменения кода, используемого для создания цифровой подписи.
  • Сравнение реестров– Большинство антивирусных программ имеют их по заранее заданному расписанию. Чистый файл будет сравниваться с файлом клиента в режиме реального времени, чтобы определить, является ли клиент незапрошенным исполняемым файлом (.exe) или содержит его.

Выполнение сканирования руткитов

Выполнение сканирования руткитов — лучшая попытка обнаружить заражение руткитами. Чаще всего ваша операционная система не может самостоятельно идентифицировать руткит, и ее обнаружение представляет собой проблему. Руткиты — искусные шпионы, заметающие следы практически на каждом шагу и способные оставаться скрытыми на виду.

Если вы подозреваете, что на ваш компьютер произошла вирусная атака руткита, хорошей стратегией обнаружения будет выключение компьютера и выполнение сканирования из заведомо чистой системы. Верный способ обнаружить руткит на вашем компьютере — это анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.

Использование WinDbg для анализа вредоносных программ

Microsoft Windows предоставила собственный многофункциональный инструмент отладки, который можно использовать для выполнения отладочного сканирования приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры ЦП.

Некоторые системы Windows поставляются сWinDbgуже включен в комплект поставки. Тем, у кого его нет, необходимо будет загрузить его из Microsoft Store.Предварительный просмотр WinDbg— это более современная версия WinDbg, обеспечивающая более приятную для глаз визуализацию, более быстрые окна, полноценные сценарии и те же команды, расширения и рабочие процессы, что и оригинал.

Как минимум, вы можете использовать WinDbg для анализа дампа памяти или аварийного дампа, включая «синий экран смерти» (BSOD). По результатам вы можете найти индикаторы атаки вредоносного ПО. Если вы чувствуете, что работа одной из ваших программ может быть затруднена из-за наличия вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.

Полный дамп памяти может занимать значительный объем дискового пространства, поэтому лучше выполнитьРежим ядраВместо этого используйте дамп или небольшой дамп памяти. Дамп режима ядра будет содержать всю информацию об использовании памяти ядром на момент сбоя. Небольшой дамп памяти будет содержать основную информацию о различных системах, таких как драйверы, ядро ​​и т. д., но по сравнению с ним он крошечный.

Небольшие дампы памяти более полезны при анализе причин возникновения BSOD. Для обнаружения руткитов более полезна полная версия или версия ядра.

Создание файла дампа режима ядра

Файл дампа режима ядра можно создать тремя способами:

  • Включите файл дампа из панели управления, чтобы система могла аварийно завершить работу самостоятельно.
  • Включите файл дампа из панели управления, чтобы вызвать сбой системы.
  • Используйте инструмент отладчика, чтобы создать его для себя.

Мы остановимся на варианте номер три.

Чтобы создать необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командное окно WinDbg.

ЗаменятьИмя файлас соответствующим именем файла дампа и знаком «?» сж. Убедитесь, что буква «f» написана строчными буквами, иначе вы создадите файл дампа другого типа.

Как только отладчик завершит свою работу (первое сканирование займет значительное количество минут), будет создан файл дампа, и вы сможете проанализировать свои результаты.

Понимание того, что вам нужно, например, использование энергозависимой памяти (ОЗУ) для определения наличия руткита, требует опыта и тестирования. Новичкам можно, хотя и не рекомендуется, протестировать методы обнаружения вредоносных программ на работающей системе. Для этого снова потребуются опыт и глубокие знания о работе WinDbg, чтобы случайно не внедрить живой вирус в вашу систему.

Есть более безопасные и удобные для новичков способы обнаружить нашего хорошо спрятанного врага.

Дополнительные методы сканирования

Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка определить местонахождение руткита может оказаться серьезной проблемой, поэтому вместо того, чтобы нацеливаться на сам руткит, вы можете вместо этого искать поведение, подобное руткиту.

Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя параметры расширенной или выборочной установки во время установки. Вам нужно будет искать любые незнакомые файлы, перечисленные в деталях. Эти файлы следует удалить или выполнить быстрый поиск в Интернете любых ссылок на вредоносное программное обеспечение.

Брандмауэры и их отчеты о журналах — невероятно эффективный способ обнаружить руткит. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и должно изолировать все неузнаваемые или подозрительные загрузки перед установкой.

Если вы подозреваете, что на вашем компьютере уже может находиться руткит, вы можете изучить отчеты журналов брандмауэра и поискать необычное поведение.

Просмотр отчетов журналов брандмауэра

Вы захотите просмотреть текущие отчеты о журналах брандмауэра, создав приложение с открытым исходным кодом, напримерШпион IP-трафикас возможностями фильтрации журналов брандмауэра, очень полезный инструмент. Отчеты покажут вам, что необходимо увидеть в случае атаки.

Если у вас большая сеть с автономным брандмауэром с фильтрацией исходящего трафика, IP Traffic Spy не понадобится. Вместо этого вы сможете видеть входящие и исходящие пакеты на все устройства и рабочие станции в сети через журналы брандмауэра.

Независимо от того, находитесь ли вы дома или в малом бизнесе, вы можете использовать модем, предоставленный вашим интернет-провайдером, или, если он у вас есть, персональный брандмауэр или маршрутизатор для получения журналов брандмауэра. Вы сможете идентифицировать трафик для каждого устройства, подключенного к одной сети.

Также может быть полезно включить файлы журнала брандмауэра Windows. По умолчанию файл журнала отключен, что означает, что никакая информация или данные не записываются.

  • Чтобы создать файл журнала, откройте функцию «Выполнить», нажав кнопкуКлавиша Windows + R.
  • Тип wf.mscв поле и нажмитеВводить.
  • В окне «Брандмауэр Windows и дополнительная безопасность» в левом боковом меню выделите «Брандмауэр Защитника Windows в режиме повышенной безопасности на локальном компьютере». В крайнем правом меню в разделе «Действия» нажмитеСвойства.
  • В новом диалоговом окне перейдите на вкладку «Частный профиль» и выберитеНастроить, который можно найти в разделе «Журналирование».
  • В новом окне вы сможете выбрать размер файла журнала для записи, куда вы хотите отправить файл и следует ли регистрировать только отброшенные пакеты, успешное соединение или и то, и другое.
  • Отброшенные пакеты — это те пакеты, которые брандмауэр Windows заблокировал от вашего имени.
  • По умолчанию записи журнала брандмауэра Windows сохраняют только последние 4 МБ данных. Их можно найти в папке%SystemRoot%System32LogFilesFirewallPfirewall.log
  • Имейте в виду, что увеличение ограничения размера данных для журналов может повлиять на производительность вашего компьютера.
  • Пресс Хорошокогда закончите.
  • Затем повторите те же шаги, которые вы только что выполнили на вкладке «Частный профиль», только на этот раз на вкладке «Публичный профиль».
    • Теперь журналы будут создаваться как для общедоступных, так и для частных подключений. Вы можете просмотреть файлы в текстовом редакторе, например в Блокноте, или импортировать их в электронную таблицу.
    • Теперь вы можете экспортировать файлы журналов в программу анализатора базы данных, например IP Traffic Spy, для фильтрации и сортировки трафика для облегчения идентификации.

Следите за чем-нибудь необычным в файлах журналов. Даже малейшая системная ошибка может указывать на заражение руткитом. Что-то вроде чрезмерного использования ЦП или пропускной способности, когда вы не используете ничего слишком требовательного или вообще не используете, может быть важным ключом к разгадке.