Πώς να ανιχνεύσετε Rootkits στα Windows 10 (Οδηγός σε βάθος)

Τα Rootkits χρησιμοποιούνται από χάκερ για να κρύψουν μόνιμο, φαινομενικά μη ανιχνεύσιμο κακόβουλο λογισμικό στη συσκευή σας που θα κλέβει σιωπηλά δεδομένα ή πόρους, μερικές φορές κατά τη διάρκεια πολλών ετών. Μπορούν επίσης να χρησιμοποιηθούν με τον τρόπο καταγραφής πληκτρολογίων όπου τα πλήκτρα και οι επικοινωνίες σας παρακολουθούνται παρέχοντας στον θεατή πληροφορίες απορρήτου.  

Αυτή η συγκεκριμένη μέθοδος hacking είχε μεγαλύτερη συνάφεια πριν από το 2006, πριν τα Microsoft Vista απαιτήσουν από τους προμηθευτές να υπογράφουν ψηφιακά όλα τα προγράμματα οδήγησης υπολογιστών. Το Kernel Patch Protection ( KPP ) έκανε τους συντάκτες κακόβουλου λογισμικού να αλλάξουν τις μεθόδους επίθεσης και μόλις πρόσφατα από το 2018 με τη λειτουργία απάτης διαφημίσεων Zacinlo(Zacinlo ad fraud operation) , τα rootkits επανήλθαν στο προσκήνιο.

Τα rootkits που χρονολογούνται πριν από το 2006 βασίζονταν όλα ειδικά σε λειτουργικό σύστημα. Η κατάσταση Zacinlo , ένα rootkit από την οικογένεια κακόβουλου λογισμικού Detrahere(Detrahere malware) , μας έδωσε κάτι ακόμα πιο επικίνδυνο με τη μορφή ενός rootkit που βασίζεται σε υλικολογισμικό. Ανεξάρτητα(Regardless) από το , τα rootkits είναι μόνο περίπου το ένα τοις εκατό της συνολικής παραγωγής κακόβουλου λογισμικού που εμφανίζεται ετησίως. 

Ακόμα κι έτσι, λόγω του κινδύνου που μπορεί να παρουσιάσουν, θα ήταν συνετό να κατανοήσετε πώς λειτουργεί ο εντοπισμός rootkits που μπορεί να έχουν ήδη διεισδύσει στο σύστημά σας.

Ανίχνευση Rootkits στα Windows 10 ( σε βάθος(In-Depth) )

Ο Zacinlo έπαιζε(Zacinlo) στην πραγματικότητα για σχεδόν έξι χρόνια πριν ανακαλυφθεί ότι στόχευε την πλατφόρμα Windows 10 . Το στοιχείο rootkit είχε υψηλή δυνατότητα διαμόρφωσης και προστατευόταν από διαδικασίες που θεωρούσε επικίνδυνες για τη λειτουργικότητά του και ήταν σε θέση να υποκλέψει και να αποκρυπτογραφήσει επικοινωνίες SSL .

Θα κρυπτογραφούσε και θα αποθήκευε όλα τα δεδομένα διαμόρφωσής του στο Μητρώο των Windows(Windows Registry) και, ενώ τα Windows(Windows) έκλειναν, θα ξαναγραφόταν από μνήμη σε δίσκο χρησιμοποιώντας διαφορετικό όνομα και θα ενημερωνόταν το κλειδί μητρώου του. Αυτό το βοήθησε να αποφύγει τον εντοπισμό από το τυπικό λογισμικό προστασίας από ιούς.

Αυτό δείχνει ότι ένα τυπικό λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό δεν επαρκεί για τον εντοπισμό rootkits. Ωστόσο, υπάρχουν μερικά προγράμματα προστασίας από κακόβουλο λογισμικό κορυφαίας βαθμίδας που θα σας ειδοποιήσουν για υποψίες επίθεσης rootkit. 

Τα 5 βασικά χαρακτηριστικά ενός καλού λογισμικού προστασίας από ιούς(The 5 Key Attributes Of a Good Antivirus Software)

Τα περισσότερα από τα εξέχοντα προγράμματα προστασίας από ιούς σήμερα θα εκτελέσουν και τις πέντε από αυτές τις αξιοσημείωτες μεθόδους για τον εντοπισμό rootkits.

  • Ανάλυση βάσει υπογραφών(Signature-based Analysis) – Το λογισμικό προστασίας από ιούς θα συγκρίνει τα καταγεγραμμένα αρχεία με τις γνωστές υπογραφές των rootkit. Η ανάλυση θα αναζητήσει επίσης μοτίβα συμπεριφοράς που μιμούνται ορισμένες λειτουργικές δραστηριότητες γνωστών rootkit, όπως η επιθετική χρήση θύρας.
  • Ανίχνευση παρεμπόδισης(Interception Detection) – Το λειτουργικό σύστημα Windows χρησιμοποιεί πίνακες δεικτών για την εκτέλεση εντολών που είναι γνωστό ότι ζητούν από ένα rootkit να ενεργήσει. Εφόσον τα rootkits επιχειρούν να αντικαταστήσουν ή να τροποποιήσουν οτιδήποτε θεωρείται απειλή, αυτό θα αποτρέψει το σύστημά σας στην παρουσία τους.
  • Σύγκριση δεδομένων πολλαπλών πηγών(Multi-Source Data Comparison)Τα Rootkits(Rootkits) , στην προσπάθειά τους να παραμείνουν κρυφά, ενδέχεται να αλλάξουν ορισμένα δεδομένα που παρουσιάζονται σε μια τυπική εξέταση. Τα επιστρεφόμενα αποτελέσματα κλήσεων συστήματος υψηλού και χαμηλού επιπέδου μπορούν να χαρίσουν την παρουσία ενός rootkit. Το λογισμικό μπορεί επίσης να συγκρίνει τη μνήμη διεργασίας που έχει φορτωθεί στη μνήμη RAM(RAM) με το περιεχόμενο του αρχείου στον σκληρό δίσκο.
  • Έλεγχος ακεραιότητας(Integrity Check) – Κάθε βιβλιοθήκη συστήματος διαθέτει μια ψηφιακή υπογραφή που δημιουργείται τη στιγμή που το σύστημα θεωρήθηκε «καθαρό». Το καλό λογισμικό ασφαλείας μπορεί να ελέγξει τις βιβλιοθήκες για οποιαδήποτε αλλαγή του κώδικα που χρησιμοποιείται για τη δημιουργία της ψηφιακής υπογραφής.
  • Σύγκριση μητρώου(Registry Comparisons) – Τα περισσότερα προγράμματα λογισμικού προστασίας από ιούς τα έχουν σε προκαθορισμένο χρονοδιάγραμμα. Ένα καθαρό αρχείο θα συγκριθεί με ένα αρχείο πελάτη, σε πραγματικό χρόνο, για να προσδιοριστεί εάν ο υπολογιστής-πελάτης είναι ή περιέχει ένα εκτελέσιμο αρχείο (.exe) που δεν έχει ζητηθεί.

Εκτέλεση σαρώσεων Rootkit(Performing Rootkit Scans)

Η εκτέλεση σάρωσης rootkit είναι η καλύτερη προσπάθεια για τον εντοπισμό μόλυνσης από το rootkit. Τις περισσότερες φορές το λειτουργικό σας σύστημα δεν είναι αξιόπιστο για την αναγνώριση ενός rootkit από μόνο του και αποτελεί πρόκληση για τον προσδιορισμό της παρουσίας του. Τα Rootkit είναι κύριοι κατάσκοποι, που καλύπτουν τα ίχνη τους σχεδόν σε κάθε στροφή και μπορούν να παραμένουν κρυμμένα σε κοινή θέα.

Εάν υποψιάζεστε ότι έχει λάβει χώρα επίθεση ιού rootkit στον υπολογιστή σας, μια καλή στρατηγική για τον εντοπισμό θα ήταν να απενεργοποιήσετε τον υπολογιστή και να εκτελέσετε τη σάρωση από ένα γνωστό καθαρό σύστημα. Ένας σίγουρος τρόπος για να εντοπίσετε ένα rootkit στο μηχάνημά σας είναι μέσω μιας ανάλυσης ένδειξης ένδειξης μνήμης. Ένα rootkit δεν μπορεί να κρύψει τις οδηγίες που δίνει στο σύστημά σας καθώς τις εκτελεί στη μνήμη του μηχανήματος.

Χρήση WinDbg για ανάλυση κακόβουλου λογισμικού(Using WinDbg For Malware Analysis)

Τα Microsoft Windows(Microsoft Windows) έχουν παράσχει το δικό τους πολυλειτουργικό εργαλείο εντοπισμού σφαλμάτων που μπορεί να χρησιμοποιηθεί για την εκτέλεση σαρώσεων εντοπισμού σφαλμάτων σε εφαρμογές, προγράμματα οδήγησης ή στο ίδιο το λειτουργικό σύστημα. Θα διορθώσει τον κώδικα λειτουργίας πυρήνα και λειτουργίας χρήστη, θα βοηθήσει στην ανάλυση ενδείξεων σφαλμάτων και θα εξετάσει τους καταχωρητές της CPU .

Ορισμένα συστήματα Windows θα συνοδεύονται ήδη από το WinDbg . Όσοι δεν το έχουν θα πρέπει να το κατεβάσουν από το Microsoft Store . Το WinDbg Preview(WinDbg Preview) είναι η πιο μοντέρνα έκδοση του WinDbg , η οποία παρέχει ευκολότερα οπτικά στοιχεία για τα μάτια, ταχύτερα παράθυρα, ολοκληρωμένο σενάριο και τις ίδιες εντολές, επεκτάσεις και ροές εργασίας με το πρωτότυπο.

Στο ελάχιστο, μπορείτε να χρησιμοποιήσετε το WinDbg για να αναλύσετε μια μνήμη ή ένα crash dump, συμπεριλαμβανομένης μιας Blue Screen Of Death ( BSOD ). Από τα αποτελέσματα, μπορείτε να αναζητήσετε δείκτες επίθεσης κακόβουλου λογισμικού. Εάν πιστεύετε ότι ένα από τα προγράμματά σας μπορεί να παρεμποδίζεται από την παρουσία κακόβουλου λογισμικού ή ότι χρησιμοποιεί περισσότερη μνήμη από αυτή που απαιτείται, μπορείτε να δημιουργήσετε ένα αρχείο ένδειξης σφαλμάτων και να χρησιμοποιήσετε το WinDbg για να το αναλύσετε.

Μια πλήρης ένδειξη αποθήκευσης μνήμης μπορεί να καταλαμβάνει σημαντικό χώρο στο δίσκο, επομένως ίσως είναι καλύτερο να εκτελέσετε μια ένδειξη λειτουργίας πυρήνα(Kernel-Mode) ή ένδειξη αποθήκευσης μικρής μνήμης(Memory) . Μια ένδειξη λειτουργίας Kernel-Mode θα περιέχει όλες τις πληροφορίες χρήσης μνήμης από τον πυρήνα τη στιγμή της διακοπής λειτουργίας. Μια ένδειξη μικρής μνήμης(Memory) θα περιέχει βασικές πληροφορίες για διάφορα συστήματα όπως προγράμματα οδήγησης, πυρήνα και άλλα, αλλά είναι πολύ μικρή σε σύγκριση.

Οι μικρές ενδείξεις αποθήκευσης μνήμης(Memory) είναι πιο χρήσιμες για την ανάλυση γιατί έχει συμβεί ένα BSOD . Για τον εντοπισμό rootkit, μια πλήρης έκδοση ή έκδοση πυρήνα θα είναι πιο χρήσιμη.

Δημιουργία αρχείου Dump σε λειτουργία πυρήνα(Creating A Kernel-Mode Dump File)

Ένα αρχείο ένδειξης πυρήνα-Mode μπορεί να δημιουργηθεί με τρεις τρόπους:(Kernel-Mode)

  • Ενεργοποιήστε το αρχείο ένδειξης σφαλμάτων από τον Πίνακα Ελέγχου για(Control Panel) να επιτρέψετε στο σύστημα να διακοπεί από μόνο του
  • Ενεργοποιήστε το αρχείο ένδειξης σφαλμάτων από τον Πίνακα Ελέγχου για(Control Panel) να αναγκάσετε το σύστημα να διακοπεί
  • Χρησιμοποιήστε ένα εργαλείο εντοπισμού σφαλμάτων για να δημιουργήσετε ένα για εσάς

Θα πάμε με την επιλογή νούμερο τρία. 

Για να εκτελέσετε το απαραίτητο αρχείο ένδειξης σφαλμάτων, χρειάζεται μόνο να εισαγάγετε την ακόλουθη εντολή στο παράθυρο εντολών του (Command)WinDbg .

Αντικαταστήστε το FileName με ένα κατάλληλο όνομα για το αρχείο ένδειξης σφαλμάτων και το "?" με ένα f . Βεβαιωθείτε ότι το "f" είναι πεζό, διαφορετικά θα δημιουργήσετε ένα διαφορετικό είδος αρχείου ένδειξης σφαλμάτων.

Μόλις το πρόγραμμα εντοπισμού σφαλμάτων ολοκληρώσει την πορεία του (η πρώτη σάρωση θα διαρκέσει αρκετά λεπτά), θα δημιουργηθεί ένα αρχείο ένδειξης σφαλμάτων και θα μπορείτε να αναλύσετε τα ευρήματά σας.

Η κατανόηση του τι ψάχνετε, όπως η χρήση πτητικής μνήμης ( RAM ), για να προσδιορίσετε την παρουσία ενός rootkit απαιτεί εμπειρία και δοκιμές. Είναι δυνατό, αν και δεν συνιστάται για αρχάριους, να δοκιμάσετε τεχνικές ανακάλυψης κακόβουλου λογισμικού σε ένα ζωντανό σύστημα. Για να γίνει αυτό θα χρειαστεί και πάλι τεχνογνωσία και εις βάθος γνώση σχετικά με τη λειτουργία του WinDbg , ώστε να μην αναπτυχθεί κατά λάθος ένας ζωντανός ιός στο σύστημά σας.

Υπάρχουν ασφαλέστεροι, πιο φιλικοί προς τους αρχάριους τρόπους για να αποκαλύψουμε τον καλά κρυμμένο εχθρό μας.

Πρόσθετες μέθοδοι σάρωσης(Additional Scanning Methods)

Η χειροκίνητη ανίχνευση και η ανάλυση συμπεριφοράς είναι επίσης αξιόπιστες μέθοδοι για την ανίχνευση rootkit. Η προσπάθεια να ανακαλύψετε τη θέση ενός rootkit μπορεί να είναι μεγάλος πόνος, επομένως, αντί να στοχεύσετε το ίδιο το rootkit, μπορείτε να αναζητήσετε συμπεριφορές που μοιάζουν με το rootkit.

Μπορείτε να αναζητήσετε rootkits σε πακέτα λογισμικού που έχετε λάβει χρησιμοποιώντας τις επιλογές για προχωρημένους(Advanced) ή προσαρμοσμένη(Custom) εγκατάσταση κατά την εγκατάσταση. Αυτό που θα χρειαστεί να αναζητήσετε είναι τυχόν άγνωστα αρχεία που αναφέρονται στις λεπτομέρειες. Αυτά τα αρχεία θα πρέπει να απορριφθούν ή μπορείτε να κάνετε μια γρήγορη αναζήτηση στο διαδίκτυο για τυχόν αναφορές σε κακόβουλο λογισμικό.

Τα τείχη προστασίας και οι αναφορές καταγραφής τους είναι ένας απίστευτα αποτελεσματικός τρόπος για να ανακαλύψετε ένα rootkit. Το λογισμικό θα σας ειδοποιήσει εάν το δίκτυό σας είναι υπό έλεγχο και θα πρέπει να τεθεί σε καραντίνα τυχόν μη αναγνωρίσιμες ή ύποπτες λήψεις πριν από την εγκατάσταση. 

Εάν υποψιάζεστε ότι ένα rootkit μπορεί να υπάρχει ήδη στον υπολογιστή σας, μπορείτε να βουτήξετε στις αναφορές καταγραφής του τείχους προστασίας και να αναζητήσετε οποιαδήποτε ασυνήθιστη συμπεριφορά.

Έλεγχος αναφορών καταγραφής τείχους προστασίας(Reviewing Firewall Logging Reports)

Θα θελήσετε να ελέγξετε τις τρέχουσες αναφορές καταγραφής τείχους προστασίας, κάνοντας μια εφαρμογή ανοιχτού κώδικα, όπως το IP Traffic Spy με δυνατότητες φιλτραρίσματος αρχείων καταγραφής τείχους προστασίας, ένα πολύ χρήσιμο εργαλείο. Οι αναφορές θα σας δείξουν τι είναι απαραίτητο να δείτε σε περίπτωση επίθεσης. 

Εάν διαθέτετε μεγάλο δίκτυο με αυτόνομο τείχος προστασίας φιλτραρίσματος εξόδου, το IP Traffic Spy δεν θα είναι απαραίτητο. Αντίθετα, θα πρέπει να μπορείτε να βλέπετε τα εισερχόμενα και εξερχόμενα πακέτα σε όλες τις συσκευές και τους σταθμούς εργασίας στο δίκτυο μέσω των αρχείων καταγραφής του τείχους προστασίας.

Είτε βρίσκεστε σε περιβάλλον οικίας είτε μικρής επιχείρησης, μπορείτε να χρησιμοποιήσετε το μόντεμ που παρέχεται από τον ISP σας ή, εάν διαθέτετε, ένα προσωπικό τείχος προστασίας ή δρομολογητή για να ανακτήσετε τα αρχεία καταγραφής του τείχους προστασίας. Θα μπορείτε να προσδιορίσετε την κίνηση για κάθε συσκευή που είναι συνδεδεμένη στο ίδιο δίκτυο. 

Μπορεί επίσης να είναι ωφέλιμο να ενεργοποιήσετε τα αρχεία καταγραφής τείχους προστασίας των Windows(Windows Firewall Log) . Από προεπιλογή, το αρχείο καταγραφής είναι απενεργοποιημένο που σημαίνει ότι δεν έχουν εγγραφεί πληροφορίες ή δεδομένα.

  • Για να δημιουργήσετε ένα αρχείο καταγραφής, ανοίξτε τη λειτουργία Εκτέλεση(Run) πατώντας το Windows key + R .
  • Πληκτρολογήστε wf.msc στο πλαίσιο και πατήστε Enter .

  • Στο παράθυρο Τείχος προστασίας(Windows Firewall) και προηγμένη ασφάλεια(Advanced Security) των Windows, επισημάνετε το "Windows Defender Firewall with Advanced Security on Local Computer" στο μενού στην αριστερή πλευρά. Στη δεξιά πλευρά του μενού κάτω από τις "Ενέργειες", κάντε κλικ στην επιλογή Ιδιότητες(Properties) .

  • Στο νέο παράθυρο διαλόγου, μεταβείτε στην καρτέλα "Ιδιωτικό προφίλ" και επιλέξτε Προσαρμογή(Customize) , που μπορείτε να βρείτε στην ενότητα "Καταγραφή".

  • Το νέο παράθυρο θα σας επιτρέψει να επιλέξετε πόσο μεγάλο αρχείο καταγραφής θα γράψετε, πού θέλετε να σταλεί το αρχείο και αν θα καταγράψετε μόνο πακέτα που έχουν απορριφθεί, επιτυχημένη σύνδεση ή και τα δύο.

  • Τα(Dropped) πακέτα που έχουν απορριφθεί είναι εκείνα που το Τείχος προστασίας των Windows(Windows Firewall) έχει αποκλείσει για λογαριασμό σας.
  • Από προεπιλογή, οι εγγραφές καταγραφής του Τείχους προστασίας των Windows(Windows Firewall) θα αποθηκεύουν μόνο τα τελευταία 4 MB δεδομένων και μπορούν να βρεθούν στο %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Λάβετε υπόψη ότι η αύξηση του ορίου μεγέθους στη χρήση δεδομένων για αρχεία καταγραφής μπορεί να επηρεάσει την απόδοση του υπολογιστή σας.
  • Πατήστε OK όταν τελειώσετε.
  • Στη συνέχεια, επαναλάβετε τα ίδια βήματα που μόλις περάσατε στην καρτέλα "Ιδιωτικό προφίλ", μόνο αυτή τη φορά στην καρτέλα "Δημόσιο προφίλ".
    • Τώρα θα δημιουργηθούν αρχεία καταγραφής τόσο για δημόσιες όσο και για ιδιωτικές συνδέσεις. Μπορείτε να προβάλετε τα αρχεία σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο(Notepad) ή να τα εισαγάγετε σε ένα υπολογιστικό φύλλο.
    • Τώρα μπορείτε να εξάγετε τα αρχεία των αρχείων καταγραφής σε ένα πρόγραμμα ανάλυσης βάσης δεδομένων όπως το IP Traffic Spy για να φιλτράρετε και να ταξινομήσετε την κυκλοφορία για εύκολη αναγνώριση.

Έχετε το νου σας για οτιδήποτε ασυνήθιστο στα αρχεία καταγραφής. Ακόμη και το παραμικρό σφάλμα συστήματος μπορεί να υποδεικνύει μόλυνση του rootkit. Κάτι ανάλογο με την υπερβολική χρήση της CPU ή του εύρους ζώνης όταν δεν εκτελείτε τίποτα πολύ απαιτητικό ή καθόλου, μπορεί να είναι μια σημαντική ένδειξη.



About the author

Είμαι έμπειρος διαχειριστής Windows 10 και Windows 11/10 με κάποια εμπειρία στο Edge. Έχω πλήθος γνώσεων και εμπειρίας να προσφέρω σε αυτόν τον τομέα, γι' αυτό πιστεύω ότι οι δεξιότητές μου θα ήταν πολύτιμο πλεονέκτημα για την εταιρεία σας. Η πολυετής εμπειρία μου τόσο στα Windows 10 όσο και στα Edge μου δίνει τη δυνατότητα να μαθαίνω γρήγορα νέες τεχνολογίες, να επιλύω γρήγορα προβλήματα και να αναλαμβάνω τον έλεγχο όταν πρόκειται για τη λειτουργία της επιχείρησής σας. Επιπλέον, η εμπειρία μου με τα Windows 10 και τον Edge με κάνει να γνωρίζω πολύ καλά όλες τις πτυχές του λειτουργικού συστήματος, κάτι που θα ήταν επωφελές για τη διαχείριση διακομιστών ή τη διαχείριση εφαρμογών λογισμικού.



Related posts