Rootkittien tunnistaminen Windows 10:ssä (perusteellinen opas)

Hakkerit käyttävät rootkittejä piilottaakseen pysyviä, näennäisesti havaitsemattomia haittaohjelmia laitteellesi, jotka varastavat hiljaa tietoja tai resursseja, joskus useiden vuosien aikana. Niitä voidaan käyttää myös näppäinlogger-tilassa, jossa näppäinpainalluksiasi ja kommunikaatiotasi valvotaan ja tarjotaan katsojalle yksityisyyttä koskevia tietoja.  

Tämä hakkerointimenetelmä oli tärkeämpi ennen vuotta 2006, ennen kuin Microsoft Vista vaati toimittajia allekirjoittamaan digitaalisesti kaikki tietokoneen ajurit. Kernel Patch Protection ( KPP ) sai haittaohjelmien kirjoittajat muuttamaan hyökkäysmenetelmiään, ja vasta äskettäin vuodesta 2018 alkaen Zacinlo(Zacinlo ad fraud operation) -mainoshuijausoperaation myötä rootkitit nousivat jälleen valokeilaan.

Vuotta 2006 edeltävät rootkit-paketit olivat kaikki nimenomaan käyttöjärjestelmäpohjaisia. Zacinlo - tilanne, Detraheren haittaohjelmaperheen rootkit , (Zacinlo)antoi(Detrahere malware) meille jotain vielä vaarallisempaa, laiteohjelmistopohjaisen rootkitin muodossa. Siitä huolimatta(Regardless) rootkitit muodostavat vain noin yhden prosentin kaikista vuosittaisista haittaohjelmista. 

Silti niiden aiheuttaman vaaran vuoksi olisi järkevää ymmärtää, kuinka järjestelmääsi mahdollisesti jo tunkeutuneiden rootkit-pakettien havaitseminen toimii.

Rootkittien tunnistaminen Windows 10 : ssä(In-Depth) ( perusteellinen )

Zacinlo oli itse asiassa ollut pelissä melkein kuusi vuotta ennen kuin hänet havaittiin kohdistuvan Windows 10 -alustaan. Rootkit-komponentti oli erittäin konfiguroitavissa ja suojasi itsensä toiminnalleen vaarallisilta prosesseilta ja kykeni sieppaamaan ja purkamaan SSL - viestintää.

Se salaa ja tallensi kaikki määritystietonsa Windowsin rekisteriin(Windows Registry) ja kirjoittaisi itsensä uudelleen muistista levylle toisella nimellä Windowsin sammuessa ja päivittäisi rekisteriavaimensa. (Windows)Tämä auttoi sitä välttämään tavallisen virustorjuntaohjelmistosi havaitsemisen.

Tämä osoittaa, että tavallinen virus- tai haittaohjelmien torjuntaohjelmisto ei riitä rootkittien havaitsemiseen. On kuitenkin olemassa muutamia huipputason haittaohjelmien torjuntaohjelmia, jotka varoittavat sinua rootkit-hyökkäyksen epäilyistä. 

Hyvän virustorjuntaohjelmiston 5 tärkeintä ominaisuutta(The 5 Key Attributes Of a Good Antivirus Software)

Suurin osa tämän päivän tunnetuista virustentorjuntaohjelmista suorittaa kaikki nämä viisi merkittävää menetelmää rootkittien havaitsemiseksi.

  • Allekirjoituspohjainen analyysi(Signature-based Analysis) – Virustentorjuntaohjelmisto vertaa lokitiedostoja tunnettuihin rootkit-allekirjoituksiin. Analyysissa etsitään myös käyttäytymismalleja, jotka jäljittelevät tunnettujen rootkittien tiettyjä toimintatapoja, kuten aggressiivista porttien käyttöä.
  • Sieppauksen tunnistus(Interception Detection)Windows -käyttöjärjestelmä käyttää osoitintaulukoita komentojen suorittamiseen, joiden tiedetään kehottavan rootkitiä toimimaan. Koska rootkit-ohjelmat yrittävät korvata tai muokata mitä tahansa uhkaksi katsottavaa, tämä ohjaa järjestelmääsi niiden läsnäoloon.
  • Usean lähteen tietojen vertailu(Multi-Source Data Comparison)Rootkit(Rootkits) -ohjelmistot voivat yrittää pysyä piilossa ja muuttaa tiettyjä vakiotutkimuksessa esitettyjä tietoja. Korkean ja matalan tason järjestelmäkutsujen palautetut tulokset voivat paljastaa rootkitin olemassaolon. Ohjelmisto voi myös verrata RAM -muistiin ladattua prosessimuistia kiintolevyllä olevan tiedoston sisältöön.
  • Eheyden tarkistus(Integrity Check) – Jokaisella järjestelmäkirjastolla on digitaalinen allekirjoitus, joka luodaan silloin, kun järjestelmän katsottiin olevan "puhdas". Hyvä tietoturvaohjelmisto voi tarkistaa kirjastoista mahdolliset muutokset digitaalisen allekirjoituksen luomiseen käytetyssä koodissa.
  • Rekisterin vertailut(Registry Comparisons) – Useimmissa virustorjuntaohjelmissa on nämä ennalta määrätyssä aikataulussa. Puhdasta tiedostoa verrataan asiakastiedostoon reaaliajassa sen määrittämiseksi, onko asiakasohjelma pyytämätön suoritettava tiedosto (.exe).

Suoritetaan Rootkit-skannauksia(Performing Rootkit Scans)

Rootkit-skannaus on paras yritys rootkit-infektion havaitsemiseen. Useimmiten käyttöjärjestelmääsi ei voida luottaa tunnistamaan rootkit itse, ja sen läsnäolon määrittäminen on haaste. Rootkitit ovat mestarivakooja, jotka peittävät jälkensä melkein joka käänteessä ja pystyvät pysymään piilossa näkyvissä.

Jos epäilet, että koneessasi on rootkit-virushyökkäys, hyvä havaitsemisstrategia on sammuttaa tietokone ja suorittaa tarkistus tunnetusta puhtaasta järjestelmästä. Varma tapa löytää rootkit koneeltasi on muistivedosanalyysi. Rootkit ei voi piilottaa järjestelmälle antamiaan ohjeita, kun se suorittaa ne koneen muistissa.

WinDbg:n käyttö haittaohjelmien analysointiin(Using WinDbg For Malware Analysis)

Microsoft Windows on toimittanut oman monitoimisen virheenkorjaustyökalun, jota voidaan käyttää sovellusten, ohjainten tai itse käyttöjärjestelmän virheenkorjaustarkistuksia varten. Se korjaa ydintilan ja käyttäjätilan koodin virheitä, auttaa analysoimaan kaatumisvedoksia ja tutkimaan suorittimen(CPU) rekistereitä.

Joidenkin Windows - järjestelmien mukana toimitetaan WinDbg . Niiden, joilla ei ole, on ladattava se Microsoft Storesta(Microsoft Store) . WinDbg Preview on (WinDbg Preview)WinDbg : n nykyaikaisempi versio , joka tarjoaa silmille helpomman visuaalin, nopeammat ikkunat, täydelliset komentosarjat ja samat komennot, laajennukset ja työnkulut kuin alkuperäinen.

Vähintäänkin voit käyttää WinDbg :tä muisti- tai kaatumisvedosten analysointiin, mukaan lukien Blue Screen Of Death ( BSOD ). Tuloksista voit etsiä merkkejä haittaohjelmahyökkäyksestä. Jos epäilet, että jokin ohjelmistasi saattaa olla haittaohjelmien esteenä tai se käyttää enemmän muistia kuin tarvitaan, voit luoda vedostiedoston ja analysoida sen WinDbg :n avulla.

Täydellinen muistivedos voi viedä paljon levytilaa, joten saattaa olla parempi suorittaa ydintilan(Kernel-Mode) vedos tai pienen muistin(Memory) vedos. Kernel-Mode-vedos sisältää kaikki ytimen muistinkäyttötiedot kaatumisen hetkellä. Pieni muistivedos(Memory) sisältää perustietoja erilaisista järjestelmistä, kuten ohjaimista, ytimestä ja muista, mutta on pieni verrattuna.

Pienet muistivedokset(Memory) ovat hyödyllisempiä analysoitaessa, miksi BSOD on tapahtunut. Rootkittien tunnistamisessa täydellinen tai ydinversio on hyödyllisempi.

Kernel-tilan vedostiedoston luominen(Creating A Kernel-Mode Dump File)

Kernel-Mode- vedostiedosto voidaan luoda kolmella tavalla:

  • Ota vedostiedosto käyttöön Ohjauspaneelista(Control Panel) , jotta järjestelmä kaatuu itsestään
  • Ota vedostiedosto käyttöön Ohjauspaneelista(Control Panel) pakottaaksesi järjestelmän kaatumaan
  • Käytä virheenkorjaustyökalua luodaksesi sellaisen sinulle

Menemme vaihtoehdolla numero kolme. 

Suorittaaksesi tarvittavan vedostiedoston, sinun tarvitsee vain kirjoittaa seuraava komento WinDbg :n (WinDbg)Komento(Command) - ikkunaan .

Korvaa Tiedostonimi(FileName) sopivalla vedostiedoston nimellä ja "?" f -kirjaimella . Varmista, että "f" on pieni kirjain tai muuten luot toisenlaisen vedostiedoston.

Kun debuggeri on suorittanut kurssinsa (ensimmäinen tarkistus kestää huomattavia minuutteja), vedostiedosto on luotu ja voit analysoida havaintojasi.

Etsimäsi kohteen, kuten haihtuvan muistin ( RAM(RAM) ) käytön ymmärtäminen rootkitin olemassaolon määrittämiseksi vaatii kokemusta ja testausta. On mahdollista, vaikkakaan ei suositella aloittelijalle, testata haittaohjelmien havaitsemistekniikoita reaaliaikaisessa järjestelmässä. Tämän tekeminen vaatii jälleen asiantuntemusta ja syvällistä tietoa WinDbg :n toiminnasta, jotta et vahingossa levitä elävää virusta järjestelmääsi.

On olemassa turvallisempia, aloittelijaystävällisempiä tapoja paljastaa hyvin piilossa oleva vihollinen.

Muita skannausmenetelmiä(Additional Scanning Methods)

Manuaalinen tunnistus ja käyttäytymisanalyysi ovat myös luotettavia menetelmiä rootkittien havaitsemiseen. Rootkitin sijainnin selvittäminen voi olla suuri tuska, joten sen sijaan, että kohdistaisit itse rootkittiin, voit sen sijaan etsiä rootkit-tyyppistä käyttäytymistä.

Voit etsiä rootkit-paketteja ladatuista ohjelmistopaketeista käyttämällä Advanced- tai Custom - asennusvaihtoehtoja asennuksen aikana. Sinun tulee etsiä tuntemattomia tiedostoja, jotka on lueteltu tiedoissa. Nämä tiedostot tulee hävittää tai voit tehdä nopean haun verkosta mahdollisten viittausten varalta haittaohjelmiin.

Palomuurit ja niiden lokiraportit ovat uskomattoman tehokas tapa löytää rootkit. Ohjelmisto ilmoittaa sinulle, jos verkkosi on tarkastelun kohteena, ja sen tulee asettaa karanteeniin kaikki tunnistamattomat tai epäilyttävät lataukset ennen asennusta. 

Jos epäilet, että koneessasi voi jo olla rootkit, voit sukeltaa palomuurin lokiraportteihin ja etsiä mitä tahansa normaalista poikkeavaa toimintaa.

Palomuurin lokiraporttien tarkistaminen(Reviewing Firewall Logging Reports)

Haluat tarkistaa nykyiset palomuurin lokiraportit ja tehdä avoimen lähdekoodin sovelluksesta, kuten IP Traffic Spystä(IP Traffic Spy) , jossa on palomuurilokien suodatusominaisuudet, erittäin hyödyllinen työkalu. Raportit näyttävät, mitä sinun on nähtävä, jos hyökkäys tapahtuu. 

Jos sinulla on suuri verkko, jossa on erillinen ulostuloa suodattava palomuuri, IP Traffic Spy ei ole tarpeen. Sen sijaan sinun pitäisi pystyä näkemään saapuvat ja lähtevät paketit kaikille verkon laitteille ja työasemille palomuurin lokien kautta.

Olitpa kotona tai pienyrityksessä, voit käyttää Internet- palveluntarjoajasi(ISP) toimittamaa modeemia tai, jos sinulla on sellainen, henkilökohtaista palomuuria tai reititintä palomuurin lokien hakemiseen. Pystyt tunnistamaan jokaisen samaan verkkoon yhdistetyn laitteen liikenteen. 

Voi myös olla hyödyllistä ottaa käyttöön Windowsin palomuurin lokitiedostot(Windows Firewall Log) . Oletusarvoisesti lokitiedosto on poistettu käytöstä, mikä tarkoittaa, että tietoja tai tietoja ei kirjoiteta.

  • Luo lokitiedosto avaamalla Suorita(Run) - toiminto painamalla Windows key + R .
  • Kirjoita ruutuun wf.msc(wf.msc) ja paina Enter .

  • Korosta Windowsin palomuuri(Windows Firewall) ja lisäsuojaus(Advanced Security) -ikkunan vasemmasta sivuvalikosta "Windows Defenderin palomuuri lisäsuojauksella paikallisessa tietokoneessa". (Advanced Security)Napsauta oikean reunan valikon Toiminnot-kohdassa Ominaisuudet(Properties) .

  • Siirry uudessa valintaikkunassa "Yksityinen profiili" -välilehteen ja valitse Mukauta(Customize) , joka löytyy "Lokikirjaus"-osiosta.

  • Uudessa ikkunassa voit valita, kuinka suuri lokitiedosto kirjoitetaan, mihin haluat tiedoston lähetettävän ja kirjataanko vain pudonneet paketit, onnistunut yhteys vai molemmat.

  • Pudotetut(Dropped) paketit ovat niitä, jotka Windowsin palomuuri(Windows Firewall) on estänyt puolestasi.
  • Oletusarvon mukaan Windowsin palomuurin(Windows Firewall) lokimerkinnät tallentavat vain viimeiset 4 Mt tietoa, ja ne löytyvät %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Muista, että lokien tiedonkäytön kokorajoituksen lisääminen voi vaikuttaa tietokoneesi suorituskykyyn.
  • Paina OK , kun olet valmis.
  • Toista seuraavaksi samat vaiheet, jotka kävit juuri läpi "Yksityinen profiili" -välilehdellä, tällä kertaa vain "Julkinen profiili" -välilehdessä.
    • Nyt luodaan lokit sekä julkisille että yksityisille yhteyksille. Voit tarkastella tiedostoja tekstieditorissa, kuten Muistiossa(Notepad) , tai tuoda ne laskentataulukkoon.
    • Voit nyt viedä lokitiedostot tietokannan jäsennysohjelmaan, kuten IP Traffic Spy , suodattamaan ja lajittelemaan liikennettä tunnistamisen helpottamiseksi.

Pidä silmällä kaikkea poikkeavaa lokitiedostoissa. Pieninkin järjestelmävika voi viitata rootkit-infektioon. Jotain liiallista suorittimen(CPU) tai kaistanleveyden käyttöä, kun et käytä mitään liian vaativaa tai ollenkaan, voi olla merkittävä vihje.



Daniel Jääskö

About the author

Olen kokenut Windows 10- ja Windows 11/10 -järjestelmänvalvoja, jolla on kokemusta Edgestä. Minulla on runsaasti tietoa ja kokemusta tarjottavana tällä alalla, minkä vuoksi uskon, että osaamisestani on hyötyä yrityksellesi. Vuosien kokemukseni sekä Windows 10:stä että Edgestä antaa minulle mahdollisuuden oppia nopeasti uusia tekniikoita, ratkaista ongelmia nopeasti ja ottaa vastuuta yrityksesi johtamisesta. Lisäksi kokemukseni Windows 10:stä ja Edgestä tekevät minut erittäin perehtyneeksi käyttöjärjestelmän kaikista näkökohdista, mikä olisi hyödyllistä palvelimien hallinnassa tai ohjelmistosovellusten hallinnassa.


Related posts