Rootkits detecteren in Windows 10 (uitgebreide gids)

Rootkits worden door hackers gebruikt om hardnekkige, schijnbaar niet-detecteerbare malware op uw apparaat te verbergen die geruisloos gegevens of bronnen zal stelen, soms in de loop van meerdere jaren. Ze kunnen ook op keylogger-manier worden gebruikt, waarbij uw toetsaanslagen en communicatie worden gecontroleerd en de toeschouwer privacy-informatie krijgt.  

Deze specifieke hackmethode was vóór 2006 relevanter, voordat Microsoft Vista leveranciers verplichtte om alle computerstuurprogramma's digitaal te ondertekenen. De Kernel Patch Protection ( KPP ) zorgde ervoor dat malwareschrijvers hun aanvalsmethoden veranderden en pas sinds 2018, met de Zacinlo-advertentiefraudeoperatie(Zacinlo ad fraud operation) , kwamen rootkits opnieuw in de schijnwerpers.

De rootkits van vóór 2006 waren allemaal specifiek gebaseerd op het besturingssysteem. De Zacinlo- situatie, een rootkit uit de Detrahere-malwarefamilie(Detrahere malware) , gaf ons iets nog gevaarlijkers in de vorm van een op firmware gebaseerde rootkit. Hoe dan(Regardless) ook, rootkits zijn slechts ongeveer één procent van alle malware-output die jaarlijks wordt gezien. 

Toch zou het, vanwege het gevaar dat ze kunnen opleveren, verstandig zijn om te begrijpen hoe het opsporen van rootkits die mogelijk al in uw systeem zijn geïnfiltreerd, werkt.

Rootkits detecteren in Windows 10 ( diepgaand(In-Depth) )

Zacinlo was eigenlijk al bijna zes jaar in het spel voordat hij werd ontdekt als doelwit voor het Windows 10 - platform. De rootkit-component was zeer configureerbaar en beschermde zichzelf tegen processen die hij als gevaarlijk voor zijn functionaliteit beschouwde en was in staat om SSL(SSL) -communicatie te onderscheppen en te decoderen .

Het zou al zijn configuratiegegevens coderen en opslaan in het Windows-register(Windows Registry) en, terwijl Windows werd afgesloten, zichzelf herschrijven van het geheugen naar de schijf met een andere naam en de registersleutel bijwerken. Dit hielp het om detectie door uw standaard antivirussoftware te omzeilen.

Dit toont aan dat een standaard antivirus- of antimalware-software niet voldoende is om rootkits te detecteren. Hoewel, er zijn een paar eersteklas antimalwareprogramma's die u waarschuwen voor vermoedens van een rootkit-aanval. 

De 5 belangrijkste kenmerken van goede antivirussoftware(The 5 Key Attributes Of a Good Antivirus Software)

De meeste van de prominente antivirusprogramma's van vandaag zullen alle vijf van deze opmerkelijke methoden uitvoeren voor het detecteren van rootkits.

  • Op handtekeningen gebaseerde analyse(Signature-based Analysis) - De antivirussoftware vergelijkt gelogde bestanden met bekende handtekeningen van rootkits. De analyse zal ook zoeken naar gedragspatronen die bepaalde operationele activiteiten van bekende rootkits nabootsen, zoals agressief poortgebruik.
  • Detectie van onderschepping(Interception Detection) – Het Windows -besturingssysteem gebruikt aanwijstabellen om opdrachten uit te voeren waarvan bekend is dat ze een rootkit ertoe aanzetten iets te doen. Aangezien rootkits proberen iets te vervangen of aan te passen dat als een bedreiging wordt beschouwd, zal dit uw systeem op hun aanwezigheid wijzen.
  • Vergelijking van gegevens uit meerdere bronnen(Multi-Source Data Comparison)Rootkits kunnen, in hun poging om verborgen te blijven, bepaalde gegevens wijzigen die in een standaardonderzoek worden gepresenteerd. De geretourneerde resultaten van systeemaanroepen op hoog en laag niveau kunnen de aanwezigheid van een rootkit verraden. De software kan ook het procesgeheugen dat in het RAM(RAM) is geladen vergelijken met de inhoud van het bestand op de harde schijf.
  • Integriteitscontrole(Integrity Check) – Elke systeembibliotheek beschikt over een digitale handtekening die is aangemaakt op het moment dat het systeem als “schoon” werd beschouwd. Goede beveiligingssoftware kan de bibliotheken controleren op elke wijziging van de code die is gebruikt om de digitale handtekening te maken.
  • Registervergelijkingen(Registry Comparisons) - De meeste antivirussoftwareprogramma's hebben deze volgens een vooraf ingesteld schema. Een schoon bestand wordt in realtime vergeleken met een clientbestand om te bepalen of de client een ongevraagd uitvoerbaar bestand (.exe) is of bevat.

Rootkit-scans uitvoeren(Performing Rootkit Scans)

Het uitvoeren van een rootkit-scan is de beste poging om rootkit-infectie te detecteren. Meestal kan uw besturingssysteem niet op zichzelf worden vertrouwd om een ​​rootkit te identificeren en vormt het een uitdaging om de aanwezigheid ervan vast te stellen. Rootkits zijn meesterspionnen, ze verbergen hun sporen bij bijna elke bocht en kunnen in het volle zicht verborgen blijven.

Als u vermoedt dat er een rootkit-virusaanval op uw computer heeft plaatsgevonden, is het een goede detectiestrategie om de computer uit te schakelen en de scan uit te voeren vanaf een bekend schoon systeem. Een trefzekere manier om een ​​rootkit in uw machine te lokaliseren, is door middel van een geheugendumpanalyse. Een rootkit kan de instructies die het aan je systeem geeft niet verbergen terwijl het ze uitvoert in het geheugen van de machine.

WinDbg gebruiken voor malware-analyse(Using WinDbg For Malware Analysis)

Microsoft Windows heeft zijn eigen multifunctionele debugging-tool geleverd die kan worden gebruikt om debugging-scans uit te voeren op toepassingen, stuurprogramma's of het besturingssysteem zelf. Het debugt de code in de kernelmodus en de gebruikersmodus, helpt bij het analyseren van crashdumps en onderzoekt de CPU- registers.

Sommige Windows -systemen worden geleverd met WinDbg al gebundeld. Degenen zonder zullen het moeten downloaden van de Microsoft Store . WinDbg Preview is de modernere versie van WinDbg , die oogverblindende visuals, snellere vensters, complete scripting en dezelfde opdrachten, extensies en workflows biedt als het origineel.

Op het absolute minimum kunt u WinDbg gebruiken om een ​​geheugen- of crashdump te analyseren, inclusief een Blue Screen Of Death ( BSOD ). Aan de hand van de resultaten kunt u zoeken naar indicatoren voor een malware-aanval. Als u denkt dat een van uw programma's mogelijk wordt gehinderd door de aanwezigheid van malware, of meer geheugen gebruikt dan nodig is, kunt u een dumpbestand maken en WinDbg gebruiken om het te analyseren.

Een volledige geheugendump kan veel schijfruimte in beslag nemen, dus het kan beter zijn om in plaats daarvan een kernelmodusdump(Kernel-Mode) of een kleine geheugendump(Memory) uit te voeren . Een kernelmodus-dump bevat alle informatie over het geheugengebruik door de kernel op het moment van de crash. Een kleine geheugendump(Memory) bevat basisinformatie over verschillende systemen zoals stuurprogramma's, de kernel en meer, maar is in vergelijking klein.

Kleine geheugendumps(Memory) zijn nuttiger bij het analyseren waarom een ​​BSOD is opgetreden. Voor het detecteren van rootkits is een volledige versie of kernelversie handiger.

Een dumpbestand in kernelmodus maken(Creating A Kernel-Mode Dump File)

Een kernelmodus-(Kernel-Mode) dumpbestand kan op drie manieren worden gemaakt:

  • Schakel het dumpbestand in via het Configuratiescherm(Control Panel) zodat het systeem vanzelf kan crashen
  • Schakel het dumpbestand in via het Configuratiescherm(Control Panel) om het systeem te laten crashen
  • Gebruik een debugger-tool om er een voor u te maken

We gaan voor keuze nummer drie. 

Om het benodigde dumpbestand uit te voeren, hoeft u alleen de volgende opdracht in het opdrachtvenster(Command) van WinDbg in te voeren .

Vervang Bestandsnaam(FileName) door een geschikte naam voor het dumpbestand en de "?" met een f . Zorg ervoor dat de "f" een kleine letter is, anders creëer je een ander soort dumpbestand.

Als de debugger eenmaal zijn gang heeft gehad (de eerste scan duurt behoorlijk wat minuten), is er een dumpbestand gemaakt en kun je je bevindingen analyseren.

Om te begrijpen waar u naar op zoek bent, zoals het gebruik van vluchtig geheugen ( RAM ), om de aanwezigheid van een rootkit te bepalen, is ervaring en testen vereist. Het is mogelijk, hoewel niet aanbevolen voor een beginner, om technieken voor het ontdekken van malware te testen op een live systeem. Om dit te doen, is opnieuw expertise en diepgaande kennis nodig over de werking van WinDbg om niet per ongeluk een levend virus in uw systeem te plaatsen.

Er zijn veiligere, meer beginnersvriendelijke manieren om onze goed verborgen vijand te ontdekken.

Aanvullende scanmethoden(Additional Scanning Methods)

Handmatige detectie en gedragsanalyse zijn ook betrouwbare methoden voor het detecteren van rootkits. Pogingen om de locatie van een rootkit te achterhalen, kan erg lastig zijn, dus in plaats van je op de rootkit zelf te richten, kun je in plaats daarvan op rootkit-achtig gedrag zoeken.

U kunt rootkits zoeken in gedownloade softwarebundels door tijdens de installatie de geavanceerde(Advanced) of aangepaste(Custom) installatieopties te gebruiken. Waar u naar moet zoeken, zijn onbekende bestanden die in de details worden vermeld. Deze bestanden moeten worden weggegooid, of u kunt snel online zoeken naar verwijzingen naar schadelijke software.

Firewalls en hun lograpporten zijn een ongelooflijk effectieve manier om een ​​rootkit te ontdekken. De software zal u op de hoogte stellen als uw netwerk onder de loep wordt genomen en alle onherkenbare of verdachte downloads voorafgaand aan de installatie in quarantaine moeten plaatsen. 

Als u vermoedt dat er al een rootkit op uw computer aanwezig is, kunt u in de lograpporten van de firewall duiken en op zoek gaan naar ongewoon gedrag.

Firewall-logboekrapporten bekijken(Reviewing Firewall Logging Reports)

U wilt uw huidige firewall-lograpporten bekijken, en een open-sourcetoepassing zoals IP Traffic Spy met firewall-logfiltermogelijkheden maken, een zeer nuttig hulpmiddel. De rapporten laten u zien wat u moet zien als er een aanval plaatsvindt. 

Als je een groot netwerk hebt met een standalone firewall voor het filteren van uitgaand verkeer, is IP Traffic Spy niet nodig. In plaats daarvan zou u de inkomende en uitgaande pakketten naar alle apparaten en werkstations in het netwerk moeten kunnen zien via de firewalllogboeken.

Of u nu thuis of in een klein bedrijf werkt, u kunt de modem van uw internetprovider(ISP) gebruiken of, als u er een heeft, een persoonlijke firewall of router om de firewalllogboeken op te halen. U kunt het verkeer voor elk apparaat dat op hetzelfde netwerk is aangesloten, identificeren. 

Het kan ook nuttig zijn om Windows Firewall-(Windows Firewall Log) logboekbestanden in te schakelen . Het logbestand is standaard uitgeschakeld, wat betekent dat er geen informatie of gegevens worden geschreven.

  • Om een ​​logbestand aan te maken, opent u de functie Uitvoeren(Run) door op de Windows key + R te drukken .
  • Typ wf.msc in het vak en druk op Enter .

  • Markeer in het venster Windows Firewall en geavanceerde beveiliging(Advanced Security) "Windows Defender Firewall met geavanceerde beveiliging(Advanced Security) op lokale computer" in het menu aan de linkerkant. Klik in het menu uiterst rechts onder "Acties" op Eigenschappen(Properties) .

  • Navigeer in het nieuwe dialoogvenster naar het tabblad "Privéprofiel" en selecteer Aanpassen(Customize) , dat u kunt vinden in het gedeelte "Logboekregistratie".

  • In het nieuwe venster kunt u selecteren hoe groot een logbestand moet worden geschreven, waar u het bestand naartoe wilt laten sturen en of u alleen gedropte pakketten, een succesvolle verbinding of beide wilt loggen.

  • Gedropte(Dropped) pakketten zijn pakketten die Windows Firewall namens u heeft geblokkeerd.
  • Standaard slaan Windows Firewall -logboekvermeldingen alleen de laatste 4 MB aan gegevens op en zijn te vinden in de %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Houd er rekening mee dat het verhogen van de limiet voor gegevensgebruik voor logboeken van invloed kan zijn op de prestaties van uw computer.
  • Druk op OK als u klaar bent.
  • Herhaal vervolgens dezelfde stappen die u zojuist hebt doorlopen op het tabblad "Privéprofiel", alleen deze keer op het tabblad "Openbaar profiel".
    • Er worden nu logboeken gegenereerd voor zowel openbare als privéverbindingen. U kunt de bestanden bekijken in een teksteditor zoals Kladblok(Notepad) of ze importeren in een spreadsheet.
    • U kunt nu de logbestanden exporteren naar een database-parserprogramma zoals IP Traffic Spy om het verkeer te filteren en te sorteren voor gemakkelijke identificatie.

Houd een oogje in het zeil voor iets ongewoons in de logbestanden. Zelfs de kleinste systeemfout kan wijzen op een rootkit-infectie. Iets in de trant van overmatig CPU- of bandbreedtegebruik wanneer u niets te veeleisend of helemaal niet gebruikt, kan een belangrijke aanwijzing zijn.



Amy de Haan

About the author

Ik ben een hardware-ingenieur en softwareontwikkelaar met meer dan 10 jaar ervaring in de Apple- en Google-platforms. Mijn vaardigheden liggen in het ontwikkelen van efficiënte, gebruiksvriendelijke oplossingen voor moeilijke technische problemen. Ik heb ervaring met zowel MacOS- als iOS-apparaten, evenals met toetsenbord- en muisbesturing. In mijn vrije tijd vind ik het leuk om te zwemmen, tennis te kijken en naar muziek te luisteren.


Related posts