Como detectar rootkits no Windows 10 (guia detalhado)

Os rootkits são usados ​​por hackers para ocultar malware persistente e aparentemente indetectável em seu dispositivo que rouba dados ou recursos silenciosamente, às vezes ao longo de vários anos. Eles também podem ser usados ​​no modo keylogger, onde suas teclas e comunicações são vigiadas, fornecendo ao espectador informações de privacidade.  

Esse método específico de hacking teve mais relevância antes de 2006, antes do Microsoft Vista exigir que os fornecedores assinassem digitalmente todos os drivers do computador. O Kernel Patch Protection ( KPP ) fez com que os criadores de malware mudassem seus métodos de ataque e apenas recentemente, a partir de 2018, com a operação de fraude de anúncios Zacinlo(Zacinlo ad fraud operation) , os rootkits voltaram aos holofotes.

Os rootkits anteriores a 2006 eram todos baseados especificamente no sistema operacional. A situação do Zacinlo , um rootkit da família de malware Detrahere(Detrahere malware) , nos deu algo ainda mais perigoso na forma de um rootkit baseado em firmware. Independentemente disso(Regardless) , os rootkits representam apenas cerca de um por cento de toda a saída de malware observada anualmente. 

Mesmo assim, devido ao perigo que eles podem apresentar, seria prudente entender como funciona a detecção de rootkits que podem já ter se infiltrado em seu sistema.

Detectando rootkits no Windows 10 ( em profundidade(In-Depth) )

Zacinlo estava em jogo há quase seis anos antes de ser descoberto visando a plataforma Windows 10 . O componente rootkit era altamente configurável e se protegia de processos considerados perigosos para sua funcionalidade e era capaz de interceptar e descriptografar comunicações SSL .

Ele criptografaria e armazenaria todos os seus dados de configuração no Registro do Windows(Windows Registry) e, enquanto o Windows(Windows) estivesse sendo desligado, reescreveria a si mesmo da memória para o disco usando um nome diferente e atualizaria sua chave de registro. Isso o ajudou a evitar a detecção pelo seu software antivírus padrão.

Isso mostra que um software antivírus ou antimalware padrão não é suficiente para detectar rootkits. Embora existam alguns programas antimalware de primeira linha que o alertarão sobre suspeitas de um ataque de rootkit. 

Os 5 principais atributos de um bom software antivírus(The 5 Key Attributes Of a Good Antivirus Software)

A maioria dos programas antivírus proeminentes hoje executa todos esses cinco métodos notáveis ​​para detectar rootkits.

  • Análise baseada em assinatura(Signature-based Analysis) – O software antivírus comparará arquivos registrados com assinaturas conhecidas de rootkits. A análise também procurará padrões comportamentais que imitam certas atividades operacionais de rootkits conhecidos, como o uso agressivo de portas.
  • Detecção de interceptação(Interception Detection) – O sistema operacional Windows emprega tabelas de ponteiro para executar comandos que são conhecidos por solicitar a ação de um rootkit. Como os rootkits tentam substituir ou modificar qualquer coisa considerada uma ameaça, isso alertará seu sistema para a presença deles.
  • Comparação de dados de várias fontes(Multi-Source Data Comparison)Rootkits , na tentativa de permanecerem ocultos, podem alterar determinados dados apresentados em um exame padrão. Os resultados retornados de chamadas de sistema de alto e baixo nível podem revelar a presença de um rootkit. O software também pode comparar a memória do processo carregada na RAM com o conteúdo do arquivo no disco rígido.
  • Verificação de Integridade(Integrity Check) – Toda biblioteca do sistema possui uma assinatura digital que é criada no momento em que o sistema foi considerado “limpo”. Um bom software de segurança pode verificar nas bibliotecas qualquer alteração do código usado para criar a assinatura digital.
  • Comparações de registro(Registry Comparisons) – A maioria dos programas de software antivírus os possui em uma programação predefinida. Um arquivo limpo será comparado com um arquivo de cliente, em tempo real, para determinar se o cliente é ou contém um executável não solicitado (.exe).

Executando verificações de rootkits(Performing Rootkit Scans)

Executar uma verificação de rootkit é a melhor tentativa para detectar a infecção por rootkit. Na maioria das vezes, seu sistema operacional não é confiável para identificar um rootkit por conta própria e apresenta um desafio para determinar sua presença. Os rootkits são espiões mestres, cobrindo seus rastros em quase todos os momentos e capazes de permanecer escondidos à vista de todos.

Se você suspeitar que um ataque de vírus de rootkit ocorreu em sua máquina, uma boa estratégia para detecção seria desligar o computador e executar a verificação a partir de um sistema limpo conhecido. Uma maneira infalível de localizar um rootkit em sua máquina é por meio de uma análise de despejo de memória. Um rootkit não pode ocultar as instruções que fornece ao seu sistema enquanto as executa na memória da máquina.

Usando WinDbg para análise de malware(Using WinDbg For Malware Analysis)

O Microsoft Windows(Microsoft Windows) forneceu sua própria ferramenta de depuração multifuncional que pode ser usada para executar verificações de depuração em aplicativos, drivers ou no próprio sistema operacional. Ele depurará o código do modo kernel e do modo de usuário, ajudará a analisar despejos de memória e examinará os registros da CPU .

Alguns sistemas Windows virão com o WinDbg já incluído. Aqueles sem precisarão baixá-lo da Microsoft Store . O WinDbg Preview(WinDbg Preview) é a versão mais moderna do WinDbg , proporcionando visuais mais fáceis para os olhos, janelas mais rápidas, scripts completos e os mesmos comandos, extensões e fluxos de trabalho do original.

No mínimo, você pode usar o WinDbg para analisar uma memória ou despejo de memória, incluindo uma tela azul(Blue Screen) da morte(Death) ( BSOD ). A partir dos resultados, você pode procurar indicadores de um ataque de malware. Se você achar que um de seus programas pode ser prejudicado pela presença de malware ou está usando mais memória do que o necessário, você pode criar um arquivo de despejo e usar o WinDbg para ajudar a analisá-lo.

Um despejo de memória completo pode ocupar um espaço em disco significativo, portanto, pode ser melhor executar um despejo de modo Kernel ou um despejo de (Kernel-Mode)memória(Memory) pequena . Um dump do modo Kernel conterá todas as informações de uso de memória pelo kernel no momento da falha. Um despejo de memória(Memory) pequeno conterá informações básicas sobre sistemas variados, como drivers, kernel e muito mais, mas é pequeno em comparação.

Despejos de memória(Memory) pequenos são mais úteis para analisar por que ocorreu um BSOD . Para detectar rootkits, uma versão completa ou kernel será mais útil.

Criando um arquivo de despejo no modo kernel(Creating A Kernel-Mode Dump File)

Um arquivo de despejo do modo Kernel(Kernel-Mode) pode ser criado de três maneiras:

  • Habilite o arquivo de despejo no Painel de Controle(Control Panel) para permitir que o sistema falhe por conta própria
  • Habilite o arquivo de despejo do Painel de Controle(Control Panel) para forçar o sistema a travar
  • Use uma ferramenta de depuração para criar uma para você

Vamos com a escolha número três. 

Para executar o arquivo de despejo necessário, você só precisa digitar o seguinte comando na janela Comando do (Command)WinDbg .

Substitua FileName por um nome apropriado para o arquivo de despejo e o “?” com um f . Certifique-se de que o “f” esteja em minúscula, caso contrário você criará um tipo diferente de arquivo de despejo.

Uma vez que o depurador tenha terminado (a primeira varredura levará alguns minutos), um arquivo de despejo será criado e você poderá analisar suas descobertas.

Entender o que você está procurando, como o uso de memória volátil ( RAM ), para determinar a presença de um rootkit requer experiência e testes. É possível, embora não recomendado para um iniciante, testar técnicas de descoberta de malware em um sistema ativo. Para fazer isso, será necessário novamente experiência e conhecimento profundo sobre o funcionamento do WinDbg para não implantar acidentalmente um vírus ao vivo em seu sistema.

Existem maneiras mais seguras e amigáveis ​​para iniciantes de descobrir nosso inimigo bem escondido.

Métodos de digitalização adicionais(Additional Scanning Methods)

A detecção manual e a análise comportamental também são métodos confiáveis ​​para detectar rootkits. A tentativa de descobrir a localização de um rootkit pode ser um grande problema, então, em vez de direcionar o rootkit em si, você pode procurar comportamentos semelhantes a rootkits.

Você pode procurar rootkits em pacotes de software baixados usando as opções de instalação Avançada(Advanced) ou Personalizada(Custom) durante a instalação. O que você precisa procurar são os arquivos desconhecidos listados nos detalhes. Esses arquivos devem ser descartados ou você pode fazer uma pesquisa rápida on-line em busca de referências a softwares mal-intencionados.

Os firewalls e seus relatórios de registro são uma maneira incrivelmente eficaz de descobrir um rootkit. O software irá notificá-lo se a sua rede estiver sob escrutínio e deve colocar em quarentena quaisquer downloads irreconhecíveis ou suspeitos antes da instalação. 

Se você suspeitar que um rootkit já pode estar em sua máquina, você pode mergulhar nos relatórios de log do firewall e procurar qualquer comportamento fora do comum.

Revisando relatórios de log de firewall(Reviewing Firewall Logging Reports)

Você vai querer revisar seus relatórios de log de firewall atuais, tornando um aplicativo de código aberto como o IP Traffic Spy(IP Traffic Spy) com recursos de filtragem de log de firewall, uma ferramenta muito útil. Os relatórios mostrarão o que é necessário ver caso ocorra um ataque. 

Se você tiver uma rede grande com um firewall de filtragem de saída autônomo, o IP Traffic Spy(IP Traffic Spy) não será necessário. Em vez disso, você poderá ver os pacotes de entrada e saída para todos os dispositivos e estações de trabalho na rede por meio dos logs do firewall.

Esteja você em uma configuração doméstica ou de uma pequena empresa, você pode usar o modem fornecido pelo seu ISP ou, se tiver um, um firewall ou roteador pessoal para acessar os logs do firewall. Você poderá identificar o tráfego de cada dispositivo conectado à mesma rede. 

Também pode ser benéfico habilitar os arquivos de log do Firewall do Windows . (Windows Firewall Log)Por padrão, o arquivo de log está desabilitado, o que significa que nenhuma informação ou dado é gravado.

  • Para criar um arquivo de log, abra a função Executar(Run) pressionando a Windows key + R .
  • Digite wf.msc na caixa e pressione Enter .

  • Na janela Firewall do Windows(Windows Firewall) e Segurança Avançada(Advanced Security) , destaque “Windows Defender Firewall com Segurança Avançada(Advanced Security) no Computador Local” no menu do lado esquerdo. No menu do lado direito, em “Ações”, clique em Propriedades(Properties) .

  • Na nova janela de diálogo, navegue até a guia “Perfil Privado” e selecione Personalizar(Customize) , que pode ser encontrado na seção “Logging”.

  • A nova janela permitirá que você selecione o tamanho de um arquivo de log a ser gravado, para onde deseja que o arquivo seja enviado e se deseja registrar apenas pacotes descartados, conexão bem-sucedida ou ambos.

  • Os pacotes descartados(Dropped) são aqueles que o Firewall do Windows(Windows Firewall) bloqueou em seu nome.
  • Por padrão, as entradas de log do Firewall do Windows(Windows Firewall) armazenarão apenas os últimos 4 MB de dados e podem ser encontradas em %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Lembre-se de que aumentar o limite de tamanho no uso de dados para logs pode afetar o desempenho do computador.
  • Pressione OK quando terminar.
  • Em seguida, repita os mesmos passos que você acabou de fazer na aba “Perfil Privado”, só que desta vez na aba “Perfil Público”.
    • Os logs agora serão gerados para conexões públicas e privadas. Você pode visualizar os arquivos em um editor de texto como o Bloco(Notepad) de Notas ou importá-los para uma planilha.
    • Agora você pode exportar os arquivos dos logs para um programa analisador de banco de dados como o IP Traffic Spy(IP Traffic Spy) para filtrar e classificar o tráfego para facilitar a identificação.

Fique de olho em qualquer coisa fora do comum nos arquivos de log. Mesmo a menor falha do sistema pode indicar uma infecção por rootkit. Algo como o uso excessivo de CPU ou largura de banda quando você não está executando nada muito exigente, ou nada, pode ser uma pista importante.



About the author

Eu sou um engenheiro de windows,ios,pdf,errors,gadgets com mais de 10 anos de experiência. Trabalhei em muitos aplicativos e estruturas do Windows de alta qualidade, como OneDrive for Business, Office 365 e muito mais. Meu trabalho recente incluiu desenvolver o leitor de pdf para a plataforma Windows e trabalhar para tornar as mensagens de erro mais claras para os usuários. Além disso, estou envolvido no desenvolvimento da plataforma ios há alguns anos e estou muito familiarizado com seus recursos e peculiaridades.



Related posts