Как да открием руткитове в Windows 10 (Подробно ръководство)

Руткитите се използват от хакери, за да скрият постоянен, привидно неоткриваем злонамерен софтуер във вашето устройство, който тихомълком ще открадне данни или ресурси, понякога в продължение на няколко години. Те могат да се използват и по начин на кейлогър, където вашите натискания на клавиши и комуникации се наблюдават, предоставяйки на зрителя информация за поверителност.  

Този конкретен метод за хакване беше по-уместен преди 2006 г., преди Microsoft Vista да изисква от доставчиците да подписват цифрово всички компютърни драйвери. Защитата на корекцията на ядрото(Kernel Patch Protection) ( KPP ) накара авторите на злонамерен софтуер да променят своите методи за атака и едва наскоро, от 2018 г. с операцията за измама с реклами Zacinlo(Zacinlo ad fraud operation) , руткитите отново влязоха в светлината на прожекторите.

Руткитите преди 2006 г. бяха специално базирани на операционна система. Ситуацията със Zacinlo , руткит от семейството на зловреден софтуер Detrahere(Detrahere malware) , ни даде нещо още по-опасно под формата на руткит, базиран на фърмуер. Независимо(Regardless) от това , руткитите са само около един процент от целия изход на злонамерен софтуер, наблюдаван годишно. 

Въпреки това, поради опасността, която могат да представляват, би било разумно да разберете как работи откриването на руткити, които може би вече са проникнали във вашата система.

Откриване на руткитове в Windows 10 ( в дълбочина(In-Depth) )

Zacinlo всъщност е бил в игра почти шест години, преди да бъде открит, че е насочен към платформата Windows 10 . Компонентът на руткит беше силно конфигурируем и се защитаваше от процеси, които смяташе за опасни за неговата функционалност, и беше в състояние да прихваща и декриптира SSL комуникации.

Той ще криптира и съхранява всичките си конфигурационни данни в системния регистър(Windows Registry) на Windows и, докато Windows се изключваше, ще се пренапише от памет на диск, използвайки различно име, и ще актуализира своя ключ на системния регистър. Това му помогна да избегне откриването от стандартния ви антивирусен софтуер.

Това показва, че стандартният антивирусен или антизловреден софтуер не е достатъчен за откриване на руткити. Въпреки това, има няколко анти-зловреден софтуер от най-високо ниво, които ще ви предупредят за подозрения за атака с руткит. 

5-те ключови качества на добрия антивирусен софтуер(The 5 Key Attributes Of a Good Antivirus Software)

Повечето от известните антивирусни програми днес ще изпълняват всичките пет от тези забележителни метода за откриване на руткити.

  • Анализ, базиран на подписи(Signature-based Analysis) – Антивирусният софтуер ще сравнява регистрираните файлове с известни сигнатури на руткити. Анализът ще търси и поведенчески модели, които имитират определени оперативни дейности на известни руткити, като например агресивно използване на портове.
  • Откриване на прихващане(Interception Detection) – Операционната система Windows използва таблици с указатели за изпълнение на команди, за които е известно, че подтикват руткит да действа. Тъй като руткитите се опитват да заменят или модифицират нещо, което се счита за заплаха, това ще предупреди вашата система за тяхното присъствие.
  • Сравнение на данни от няколко източника(Multi-Source Data Comparison)Руткитовете(Rootkits) , в опита си да останат скрити, могат да променят определени данни, представени при стандартен преглед. Върнатите резултати от системни повиквания на високо и ниско ниво могат да разкрият наличието на руткит. Софтуерът може също да сравнява процесната памет, заредена в RAM , със съдържанието на файла на твърдия диск.
  • Проверка на целостта(Integrity Check) – Всяка системна библиотека притежава цифров подпис, който е създаден в момента, в който системата е била считана за „чиста“. Добрият софтуер за сигурност може да провери библиотеките за всякакви промени в кода, използван за създаване на цифров подпис.
  • Сравнения на системния регистър(Registry Comparisons) – Повечето антивирусни програми ги имат по предварително зададен график. Чистият файл ще бъде сравнен с клиентски файл в реално време, за да се определи дали клиентът е или съдържа незаявен изпълним файл (.exe).

Извършване на сканиране на руткит(Performing Rootkit Scans)

Извършването на сканиране на руткит е най-добрият опит за откриване на инфекция с руткит. Най-често на вашата операционна система не може да се има доверие да идентифицира руткит сама и представлява предизвикателство да се определи присъствието му. Руткитите са главни шпиони, които прикриват следите си на почти всяка крачка и могат да останат скрити от очите.

Ако подозирате, че на вашата машина е извършена руткит вирусна атака, добра стратегия за откриване би била да изключите компютъра и да изпълните сканирането от известна чиста система. Сигурен начин да намерите руткит във вашата машина е чрез анализ на дъмпа на паметта. Руткитът не може да скрие инструкциите, които дава на вашата система, докато ги изпълнява в паметта на машината.

Използване на WinDbg за анализ на зловреден софтуер(Using WinDbg For Malware Analysis)

Microsoft Windows предостави свой собствен многофункционален инструмент за отстраняване на грешки, който може да се използва за извършване на сканиране за отстраняване на грешки на приложения, драйвери или самата операционна система. Той ще отстранява грешки в кода в режим на ядро ​​и потребителски режим, ще помогне за анализиране на срива дъмпи и ще проучи регистрите на процесора(CPU) .

Някои Windows системи ще се доставят с WinDbg , който вече е включен. Тези без ще трябва да го изтеглят от Microsoft Store . WinDbg Preview е по-модерната версия на WinDbg , осигуряваща по-лесна за очите визуализация, по-бързи прозорци, пълни скриптове и същите команди, разширения и работни процеси като оригинала.

Като минимум, можете да използвате WinDbg , за да анализирате памет или срив дъмп, включително син екран(Blue Screen) на смъртта(Death) ( BSOD ). От резултатите можете да потърсите индикатори за атака на зловреден софтуер. Ако смятате, че една от вашите програми може да бъде възпрепятствана от наличието на злонамерен софтуер или използва повече памет, отколкото е необходимо, можете да създадете дъмп файл и да използвате WinDbg , за да го анализирате.

Пълният дъмп на паметта може да заеме значително дисково пространство, така че може да е по-добре вместо това да изпълните дъмп в режим на ядрото(Kernel-Mode) или дъмп на малка памет . (Memory)Dump в режим на ядрото ще съдържа цялата информация за използването на паметта от ядрото в момента на срива. Малък дъмп на паметта(Memory) ще съдържа основна информация за различни системи като драйвери, ядрото и други, но е малък в сравнение.

Малките дъмпове на паметта(Memory) са по-полезни при анализиране защо е възникнал BSOD . За откриване на руткити, пълната версия или версията на ядрото ще бъде по-полезна.

Създаване на Dump файл в режим на ядрото(Creating A Kernel-Mode Dump File)

Dump файл в режим(Kernel-Mode) на ядро ​​може да бъде създаден по три начина:

  • Разрешете дъмп файла от контролния панел(Control Panel) , за да позволите на системата да се срине сама
  • Активирайте дъмп файла от контролния панел(Control Panel) , за да принудите системата да се срине
  • Използвайте инструмент за отстраняване на грешки, за да създадете такъв за вас

Ще продължим с избор номер три. 

За да изпълните необходимия дъмп файл, трябва само да въведете следната команда в командния(Command) прозорец на WinDbg .

Заменете FileName с подходящо име за дъмп файла и „?" с е(f) . Уверете се, че "f" е с малки букви, в противен случай ще създадете различен вид дъмп файл.

След като дебъгерът се зареди (първото сканиране ще отнеме значителни минути), ще бъде създаден дъмп файл и вие ще можете да анализирате своите констатации.

Разбирането на това, което търсите, като например използването на летлива памет ( RAM ), за да определите наличието на руткит, изисква опит и тестване. Възможно е, макар и не се препоръчва за начинаещи, да се тестват техники за откриване на зловреден софтуер в жива система. За да направите това, отново ще са необходими експертни познания и задълбочени познания относно работата на WinDbg , за да не се разположи случайно жив вирус във вашата система.

Има по-безопасни и по-удобни за начинаещи начини да разкрием добре скрития ни враг.

Допълнителни методи за сканиране(Additional Scanning Methods)

Ръчното откриване и анализът на поведението също са надеждни методи за откриване на руткити. Опитът да откриете местоположението на руткит може да бъде голяма болка, така че вместо да се насочите към самия руткит, можете вместо това да потърсите поведение, подобно на руткит.

Можете да търсите руткити в изтеглените софтуерни пакети, като използвате разширените(Advanced) или персонализирани(Custom) опции за инсталиране по време на инсталацията. Това, което ще трябва да потърсите, са всички непознати файлове, изброени в подробностите. Тези файлове трябва да бъдат изхвърлени или можете да направите бързо търсене онлайн за препратки към злонамерен софтуер.

Защитните стени и техните отчети за регистриране са невероятно ефективен начин за откриване на руткит. Софтуерът ще ви уведоми, ако вашата мрежа е под контрол и трябва да постави под карантина всички неразпознаваеми или подозрителни изтегляния преди инсталирането. 

Ако подозирате, че руткит вече може да има на вашата машина, можете да се потопите в отчетите за регистриране на защитната стена и да потърсите някакво необичайно поведение.

Преглед на отчети за регистриране на защитната стена(Reviewing Firewall Logging Reports)

Ще искате да прегледате текущите си отчети за регистриране на защитната стена, като направите приложение с отворен код като IP Traffic Spy с възможности за филтриране на регистрационни файлове на защитната стена, много полезен инструмент. Отчетите ще ви покажат какво е необходимо да видите, ако възникне атака. 

Ако имате голяма мрежа със самостоятелна изходяща филтрираща защитна стена, IP Traffic Spy няма да е необходим. Вместо това трябва да можете да виждате входящите и изходящите пакети към всички устройства и работни станции в мрежата чрез регистрационните файлове на защитната стена.

Независимо дали сте в домашна или малка бизнес среда, можете да използвате модема, предоставен от вашия доставчик(ISP) на интернет услуги , или, ако притежавате такъв, лична защитна стена или рутер, за да изтеглите регистрационните файлове на защитната стена. Ще можете да идентифицирате трафика за всяко устройство, свързано към една и съща мрежа. 

Може също да е полезно да активирате регистрационните файлове на защитната стена на Windows . (Windows Firewall Log)По подразбиране регистрационният файл е деактивиран, което означава, че не се записва информация или данни.

  • За да създадете регистрационен файл, отворете функцията Run , като натиснете клавиша Windows key + R R.
  • Въведете wf.msc в полето и натиснете Enter .

  • В прозореца Защитна стена(Windows Firewall) и разширена защита(Advanced Security) на Windows маркирайте „Защитна стена на Windows Defender с разширена защита(Advanced Security) на локален компютър“ в лявото странично меню. В крайното дясно меню под „Действия“ щракнете върху Свойства(Properties) .

  • В новия диалогов прозорец отидете до раздела „Частен профил“ и изберете Персонализиране(Customize) , което може да се намери в секцията „Регистриране“.

  • Новият прозорец ще ви позволи да изберете колко голям регистрационен файл да запишете, къде искате да бъде изпратен файлът и дали да регистрирате само изпуснати пакети, успешна връзка или и двете.

  • Изпуснатите(Dropped) пакети са тези, които защитната стена на Windows(Windows Firewall) е блокирала от ваше име.
  • По подразбиране записите в регистрационния файл на защитната стена на Windows(Windows Firewall) ще съхраняват само последните 4MB данни и могат да бъдат намерени в %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Имайте предвид, че увеличаването на ограничението за размера на използването на данни за регистрационни файлове може да повлияе на производителността на вашия компютър.
  • Натиснете OK , когато приключите.
  • След това повторете същите стъпки, през които току-що преминахте в раздела „Частен профил“, само този път в раздела „Обществен профил“.
    • Сега ще се генерират регистрационни файлове както за публични, така и за частни връзки. Можете да преглеждате файловете в текстов редактор като Notepad или да ги импортирате в електронна таблица.
    • Вече можете да експортирате файловете на регистрационните файлове в програма за анализ на база данни като IP Traffic Spy , за да филтрирате и сортирате трафика за лесна идентификация.

Внимавайте за нещо необичайно в регистрационните файлове. Дори и най-малката системна грешка може да показва инфекция с руткит. Нещо по линия на прекомерното използване на процесора(CPU) или честотната лента, когато не използвате нищо твърде взискателно или изобщо, може да бъде основна улика.



About the author

„Аз съм експерт по Windows и Office на свободна практика. Имам над 10 години опит в работата с тези инструменти и мога да ви помогна да извлечете максимума от тях. Моите умения включват: работа с Microsoft Word, Excel, PowerPoint и Outlook; създаване на уеб страници и приложения; и помагане на клиентите да постигнат своите бизнес цели."



Related posts