Os rootkits são usados ​​por hackers para ocultar malware persistente e aparentemente indetectável em seu dispositivo que rouba dados ou recursos silenciosamente, às vezes ao longo de vários anos. Eles também podem ser usados ​​no modo keylogger, onde suas teclas e comunicações são vigiadas, fornecendo ao espectador informações de privacidade.  

Esse método específico de hacking teve mais relevância antes de 2006, antes do Microsoft Vista exigir que os fornecedores assinassem digitalmente todos os drivers do computador. O Kernel Patch Protection ( KPP ) fez com que os criadores de malware mudassem seus métodos de ataque e apenas recentemente, a partir de 2018, com a operação de fraude de anúncios Zacinlo^{(Zacinlo ad fraud operation)} , os rootkits voltaram aos holofotes.

Os rootkits anteriores a 2006 eram todos baseados especificamente no sistema operacional. A situação do Zacinlo , um rootkit da família de malware Detrahere^{(Detrahere malware)} , nos deu algo ainda mais perigoso na forma de um rootkit baseado em firmware. Independentemente disso^(Regardless) , os rootkits representam apenas cerca de um por cento de toda a saída de malware observada anualmente. 

Mesmo assim, devido ao perigo que eles podem apresentar, seria prudente entender como funciona a detecção de rootkits que podem já ter se infiltrado em seu sistema.

Detectando rootkits no Windows 10 ( em profundidade^(In-Depth) )

Zacinlo estava em jogo há quase seis anos antes de ser descoberto visando a plataforma Windows 10 . O componente rootkit era altamente configurável e se protegia de processos considerados perigosos para sua funcionalidade e era capaz de interceptar e descriptografar comunicações SSL .

Ele criptografaria e armazenaria todos os seus dados de configuração no Registro do Windows^{(Windows Registry)} e, enquanto o Windows^(Windows) estivesse sendo desligado, reescreveria a si mesmo da memória para o disco usando um nome diferente e atualizaria sua chave de registro. Isso o ajudou a evitar a detecção pelo seu software antivírus padrão.

Isso mostra que um software antivírus ou antimalware padrão não é suficiente para detectar rootkits. Embora existam alguns programas antimalware de primeira linha que o alertarão sobre suspeitas de um ataque de rootkit. 

Os 5 principais atributos de um bom software antivírus^{(The 5 Key Attributes Of a Good Antivirus Software)}

A maioria dos programas antivírus proeminentes hoje executa todos esses cinco métodos notáveis ​​para detectar rootkits.

• Análise baseada em assinatura^{(Signature-based Analysis)} – O software antivírus comparará arquivos registrados com assinaturas conhecidas de rootkits. A análise também procurará padrões comportamentais que imitam certas atividades operacionais de rootkits conhecidos, como o uso agressivo de portas.
• Detecção de interceptação^{(Interception Detection)} – O sistema operacional Windows emprega tabelas de ponteiro para executar comandos que são conhecidos por solicitar a ação de um rootkit. Como os rootkits tentam substituir ou modificar qualquer coisa considerada uma ameaça, isso alertará seu sistema para a presença deles.
• Comparação de dados de várias fontes^{(Multi-Source Data Comparison)} – Rootkits , na tentativa de permanecerem ocultos, podem alterar determinados dados apresentados em um exame padrão. Os resultados retornados de chamadas de sistema de alto e baixo nível podem revelar a presença de um rootkit. O software também pode comparar a memória do processo carregada na RAM com o conteúdo do arquivo no disco rígido.
• Verificação de Integridade^{(Integrity Check)} – Toda biblioteca do sistema possui uma assinatura digital que é criada no momento em que o sistema foi considerado “limpo”. Um bom software de segurança pode verificar nas bibliotecas qualquer alteração do código usado para criar a assinatura digital.
• Comparações de registro^{(Registry Comparisons)} – A maioria dos programas de software antivírus os possui em uma programação predefinida. Um arquivo limpo será comparado com um arquivo de cliente, em tempo real, para determinar se o cliente é ou contém um executável não solicitado (.exe).

Executando verificações de rootkits^{(Performing Rootkit Scans)}

Executar uma verificação de rootkit é a melhor tentativa para detectar a infecção por rootkit. Na maioria das vezes, seu sistema operacional não é confiável para identificar um rootkit por conta própria e apresenta um desafio para determinar sua presença. Os rootkits são espiões mestres, cobrindo seus rastros em quase todos os momentos e capazes de permanecer escondidos à vista de todos.

Se você suspeitar que um ataque de vírus de rootkit ocorreu em sua máquina, uma boa estratégia para detecção seria desligar o computador e executar a verificação a partir de um sistema limpo conhecido. Uma maneira infalível de localizar um rootkit em sua máquina é por meio de uma análise de despejo de memória. Um rootkit não pode ocultar as instruções que fornece ao seu sistema enquanto as executa na memória da máquina.

Usando WinDbg para análise de malware^{(Using WinDbg For Malware Analysis)}

O Microsoft Windows^{(Microsoft Windows)} forneceu sua própria ferramenta de depuração multifuncional que pode ser usada para executar verificações de depuração em aplicativos, drivers ou no próprio sistema operacional. Ele depurará o código do modo kernel e do modo de usuário, ajudará a analisar despejos de memória e examinará os registros da CPU .

Alguns sistemas Windows virão com o WinDbg já incluído. Aqueles sem precisarão baixá-lo da Microsoft Store . O WinDbg Preview^{(WinDbg Preview)} é a versão mais moderna do WinDbg , proporcionando visuais mais fáceis para os olhos, janelas mais rápidas, scripts completos e os mesmos comandos, extensões e fluxos de trabalho do original.

No mínimo, você pode usar o WinDbg para analisar uma memória ou despejo de memória, incluindo uma tela azul^{(Blue Screen)} da morte^(Death) ( BSOD ). A partir dos resultados, você pode procurar indicadores de um ataque de malware. Se você achar que um de seus programas pode ser prejudicado pela presença de malware ou está usando mais memória do que o necessário, você pode criar um arquivo de despejo e usar o WinDbg para ajudar a analisá-lo.

Um despejo de memória completo pode ocupar um espaço em disco significativo, portanto, pode ser melhor executar um despejo de modo Kernel ou um despejo de ^{(Kernel-Mode)}memória^(Memory) pequena . Um dump do modo Kernel conterá todas as informações de uso de memória pelo kernel no momento da falha. Um despejo de memória^(Memory) pequeno conterá informações básicas sobre sistemas variados, como drivers, kernel e muito mais, mas é pequeno em comparação.

Despejos de memória^(Memory) pequenos são mais úteis para analisar por que ocorreu um BSOD . Para detectar rootkits, uma versão completa ou kernel será mais útil.

Criando um arquivo de despejo no modo kernel^{(Creating A Kernel-Mode Dump File)}

Um arquivo de despejo do modo Kernel^{(Kernel-Mode)} pode ser criado de três maneiras:

• Habilite o arquivo de despejo no Painel de Controle^{(Control Panel)} para permitir que o sistema falhe por conta própria
• Habilite o arquivo de despejo do Painel de Controle^{(Control Panel)} para forçar o sistema a travar
• Use uma ferramenta de depuração para criar uma para você

Vamos com a escolha número três. 

Para executar o arquivo de despejo necessário, você só precisa digitar o seguinte comando na janela Comando do ^(Command)WinDbg .

Substitua FileName por um nome apropriado para o arquivo de despejo e o “?” com um f . Certifique-se de que o “f” esteja em minúscula, caso contrário você criará um tipo diferente de arquivo de despejo.

Uma vez que o depurador tenha terminado (a primeira varredura levará alguns minutos), um arquivo de despejo será criado e você poderá analisar suas descobertas.

Entender o que você está procurando, como o uso de memória volátil ( RAM ), para determinar a presença de um rootkit requer experiência e testes. É possível, embora não recomendado para um iniciante, testar técnicas de descoberta de malware em um sistema ativo. Para fazer isso, será necessário novamente experiência e conhecimento profundo sobre o funcionamento do WinDbg para não implantar acidentalmente um vírus ao vivo em seu sistema.

Existem maneiras mais seguras e amigáveis ​​para iniciantes de descobrir nosso inimigo bem escondido.

Métodos de digitalização adicionais^{(Additional Scanning Methods)}

A detecção manual e a análise comportamental também são métodos confiáveis ​​para detectar rootkits. A tentativa de descobrir a localização de um rootkit pode ser um grande problema, então, em vez de direcionar o rootkit em si, você pode procurar comportamentos semelhantes a rootkits.

Você pode procurar rootkits em pacotes de software baixados usando as opções de instalação Avançada^(Advanced) ou Personalizada^(Custom) durante a instalação. O que você precisa procurar são os arquivos desconhecidos listados nos detalhes. Esses arquivos devem ser descartados ou você pode fazer uma pesquisa rápida on-line em busca de referências a softwares mal-intencionados.

Os firewalls e seus relatórios de registro são uma maneira incrivelmente eficaz de descobrir um rootkit. O software irá notificá-lo se a sua rede estiver sob escrutínio e deve colocar em quarentena quaisquer downloads irreconhecíveis ou suspeitos antes da instalação. 

Se você suspeitar que um rootkit já pode estar em sua máquina, você pode mergulhar nos relatórios de log do firewall e procurar qualquer comportamento fora do comum.

Revisando relatórios de log de firewall^{(Reviewing Firewall Logging Reports)}

Você vai querer revisar seus relatórios de log de firewall atuais, tornando um aplicativo de código aberto como o IP Traffic Spy^{(IP Traffic Spy)} com recursos de filtragem de log de firewall, uma ferramenta muito útil. Os relatórios mostrarão o que é necessário ver caso ocorra um ataque. 

Se você tiver uma rede grande com um firewall de filtragem de saída autônomo, o IP Traffic Spy^{(IP Traffic Spy)} não será necessário. Em vez disso, você poderá ver os pacotes de entrada e saída para todos os dispositivos e estações de trabalho na rede por meio dos logs do firewall.

Esteja você em uma configuração doméstica ou de uma pequena empresa, você pode usar o modem fornecido pelo seu ISP ou, se tiver um, um firewall ou roteador pessoal para acessar os logs do firewall. Você poderá identificar o tráfego de cada dispositivo conectado à mesma rede. 

Também pode ser benéfico habilitar os arquivos de log do Firewall do Windows . ^{(Windows Firewall Log)}Por padrão, o arquivo de log está desabilitado, o que significa que nenhuma informação ou dado é gravado.

• Para criar um arquivo de log, abra a função Executar^(Run) pressionando a Windows key + R .
• Digite wf.msc na caixa e pressione Enter .

• Na janela Firewall do Windows^{(Windows Firewall)} e Segurança Avançada^{(Advanced Security)} , destaque “Windows Defender Firewall com Segurança Avançada^{(Advanced Security)} no Computador Local” no menu do lado esquerdo. No menu do lado direito, em “Ações”, clique em Propriedades^(Properties) .

• Na nova janela de diálogo, navegue até a guia “Perfil Privado” e selecione Personalizar^(Customize) , que pode ser encontrado na seção “Logging”.

• A nova janela permitirá que você selecione o tamanho de um arquivo de log a ser gravado, para onde deseja que o arquivo seja enviado e se deseja registrar apenas pacotes descartados, conexão bem-sucedida ou ambos.

• Os pacotes descartados^(Dropped) são aqueles que o Firewall do Windows^{(Windows Firewall)} bloqueou em seu nome.
• Por padrão, as entradas de log do Firewall do Windows^{(Windows Firewall)} armazenarão apenas os últimos 4 MB de dados e podem ser encontradas em %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Lembre-se de que aumentar o limite de tamanho no uso de dados para logs pode afetar o desempenho do computador.
• Pressione OK quando terminar.
• Em seguida, repita os mesmos passos que você acabou de fazer na aba “Perfil Privado”, só que desta vez na aba “Perfil Público”.
  • Os logs agora serão gerados para conexões públicas e privadas. Você pode visualizar os arquivos em um editor de texto como o Bloco^(Notepad) de Notas ou importá-los para uma planilha.
  • Agora você pode exportar os arquivos dos logs para um programa analisador de banco de dados como o IP Traffic Spy^{(IP Traffic Spy)} para filtrar e classificar o tráfego para facilitar a identificação.

Fique de olho em qualquer coisa fora do comum nos arquivos de log. Mesmo a menor falha do sistema pode indicar uma infecção por rootkit. Algo como o uso excessivo de CPU ou largura de banda quando você não está executando nada muito exigente, ou nada, pode ser uma pista importante.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, seemingly undеtectable malware within your dеvice that will silently steal data or resources, sometimes over the course of multiple years. They can also be used in keylogger fashiоn where your keystrоkes and сommunications are surveilled providing the onlooker with privacy informаtion.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Download Quick Start Guide para o Windows 10 a partir de Microsoft

• Como usar Windows 10 PC - Basic Tutorial e Dicas para Iniciantes

• Download Windows Ink Guide para Windows 10 de Microsoft

• Conhecer Windows 10 Guide para Employees de Microsoft

• Group Policy Settings Reference Guide para Windows 10

• Event ID 158 Erro - disco idêntico GUIDs assignment em Windows 10

• Picsart oferece Custom Stickers & Exclusive 3D Editing em Windows 10

• Best Free Barcode Scanner software para Windows 10

• Como Enter BIOS em Windows 10 [Guia]

• Não é possível conectar-se a Xbox Live; Fix Xbox Live Networking issue em Windows 10

• Desativar tela sensível ao toque no Windows 10 [GUIA]

• Ultimate Windows 10 WiFi Troubleshooting Guide

• O que é pacote de habilitação em Windows 10

• Como usar Network Sniffer Tool PktMon.exe em Windows 10

• Como desativar as salvaguardas para Feature Updates no Windows 10

• O que é Control Flow Guard em Windows 10 - como ligá-lo ou desligar

• Como abrir .aspx arquivos no computador Windows 10

• Guia OTT para backups, imagens do sistema e recuperação no Windows 10

• Reset Network Data Usage em Windows 10 [GUIA]

• Guia de solução de problemas de tela azul da morte para Windows 10