Rootkit được tin tặc sử dụng để che giấu phần mềm độc hại dai dẳng, dường như không thể phát hiện trong thiết bị của bạn. Phần mềm này sẽ âm thầm đánh cắp dữ liệu hoặc tài nguyên, đôi khi trong nhiều năm. Chúng cũng có thể được sử dụng trong thời trang keylogger nơi các thao tác gõ phím và thông tin liên lạc của bạn được khảo sát để cung cấp cho người xem thông tin về quyền riêng tư.
Phương pháp hack cụ thể này có liên quan nhiều hơn trước năm 2006, trước khi Microsoft Vista yêu cầu các nhà cung cấp phải ký điện tử vào tất cả các trình điều khiển máy tính. Kernel Patch Protection (KPP) đã khiến các tác giả phần mềm độc hại thay đổi phương pháp tấn công của họ và chỉ gần đây vào năm 2018 với hoạt động gian lận quảng cáo Zacinlo, rootkit mới trở lại tiêu điểm.
Các rootkit trước năm 2006 đều dựa trên hệ điều hành cụ thể. Tình huống Zacinlo, một rootkit từ họ phần mềm độc hại Detrahere, đã cho chúng ta một thứ thậm chí còn nguy hiểm hơn ở dạng rootkit dựa trên phần sụn. Mặc dù vậy, rootkit chỉ chiếm khoảng một phần trăm tổng số phần mềm độc hại xuất ra hàng năm.
Mặc dù vậy, vì sự nguy hiểm mà chúng có thể gây ra, nên cần thận trọng khi hiểu cách phát hiện rootkit có thể đã xâm nhập vào hệ thống của bạn hoạt động.
Nội dung bài viết
Phát hiện Rootkit trong Windows 10 (In-Depth)
Zacinlo thực sự đã chơi được gần sáu năm trước khi bị phát hiện nhắm mục tiêu vào nền tảng Windows 10. Thành phần rootkit có thể định cấu hình cao và tự bảo vệ khỏi các quá trình mà nó cho là nguy hiểm đối với chức năng của nó và có khả năng chặn và giải mã các giao tiếp SSL.
Nó sẽ mã hóa và lưu trữ tất cả dữ liệu cấu hình của nó trong Windows Registry và trong khi Windows đang tắt, nó sẽ tự ghi lại từ bộ nhớ vào đĩa bằng một tên khác và cập nhật khóa đăng ký của nó. Điều này đã giúp nó tránh bị phần mềm chống vi-rút tiêu chuẩn của bạn phát hiện.
Điều này cho thấy rằng một phần mềm chống vi-rút hoặc phần mềm chống phần mềm độc hại tiêu chuẩn là không đủ để phát hiện rootkit. Mặc dù, có một số chương trình chống phần mềm độc hại cấp cao nhất sẽ cảnh báo bạn khi có nghi ngờ về một cuộc tấn công rootkit.
5 thuộc tính chính của một phần mềm diệt virus tốt
Hầu hết các chương trình chống vi-rút nổi bật hiện nay sẽ thực hiện tất cả năm phương pháp đáng chú ý này để phát hiện rootkit.
- Phân tích dựa trên chữ ký – Phần mềm chống vi-rút sẽ so sánh các tệp đã ghi với chữ ký đã biết của rootkit. Phân tích cũng sẽ tìm kiếm các mẫu hành vi bắt chước các hoạt động vận hành nhất định của các rootkit đã biết, chẳng hạn như sử dụng cổng tích cực.
- Phát hiện đánh chặn – Hệ điều hành Windows sử dụng các bảng con trỏ để chạy các lệnh được biết đến để nhắc rootkit hoạt động. Vì rootkit cố gắng thay thế hoặc sửa đổi bất kỳ thứ gì được coi là mối đe dọa, nên điều này sẽ khiến hệ thống của bạn không có mặt chúng.
- So sánh dữ liệu đa nguồn – Rootkit, trong nỗ lực giấu kín, có thể thay đổi một số dữ liệu nhất định được trình bày trong một bài kiểm tra tiêu chuẩn. Kết quả trả về của các lệnh gọi hệ thống cấp cao và cấp thấp có thể làm giảm sự hiện diện của rootkit. Phần mềm cũng có thể so sánh bộ nhớ tiến trình được nạp vào RAM với nội dung của tệp trên đĩa cứng.
- Kiểm tra tính toàn vẹn – Mọi thư viện hệ thống đều sở hữu một chữ ký số được tạo vào thời điểm hệ thống được coi là “sạch”. Phần mềm bảo mật tốt có thể kiểm tra các thư viện xem có bất kỳ thay đổi nào của mã được sử dụng để tạo chữ ký số hay không.
- So sánh sổ đăng ký – Hầu hết các chương trình phần mềm chống vi-rút đều có các chương trình này theo lịch trình đặt trước. Tệp sạch sẽ được so sánh với tệp máy khách, trong thời gian thực, để xác định xem máy khách có hoặc chứa tệp thực thi không được yêu cầu (.exe) hay không.
Thực hiện quét Rootkit
Thực hiện quét rootkit là nỗ lực tốt nhất để phát hiện nhiễm trùng rootkit. Thông thường, hệ điều hành của bạn không thể được tin cậy để tự xác định rootkit và đưa ra một thách thức để xác định sự hiện diện của nó. Rootkit là những gián điệp bậc thầy, hầu như luôn che giấu dấu vết của họ và có khả năng ẩn mình trong tầm nhìn.
Nếu bạn nghi ngờ một cuộc tấn công bằng vi-rút rootkit đã diễn ra trên máy của mình, một chiến lược tốt để phát hiện là tắt nguồn máy tính và thực hiện quét từ một hệ thống sạch đã biết. Một cách chắc chắn để xác định rootkit trong máy của bạn là thông qua phân tích kết xuất bộ nhớ. Rootkit không thể ẩn các hướng dẫn mà nó cung cấp cho hệ thống của bạn khi nó thực thi chúng trong bộ nhớ của máy.
Sử dụng WinDbg để phân tích phần mềm độc hại
Microsoft Windows đã cung cấp công cụ gỡ lỗi đa chức năng của riêng mình có thể được sử dụng để thực hiện quét gỡ lỗi trên các ứng dụng, trình điều khiển hoặc chính hệ điều hành. Nó sẽ gỡ lỗi chế độ hạt nhân và mã chế độ người dùng, giúp phân tích các kết xuất sự cố và kiểm tra các thanh ghi CPU.
Một số hệ thống Windows sẽ đi kèm với WinDbg đã được tích hợp sẵn. Những hệ thống không có sẽ cần tải xuống từ Microsoft Store. WinDbg Preview là phiên bản WinDbg hiện đại hơn, cung cấp hình ảnh dễ nhìn hơn, cửa sổ nhanh hơn, tập lệnh hoàn chỉnh và các lệnh, tiện ích mở rộng và quy trình làm việc giống như bản gốc.
Ở mức tối thiểu, bạn có thể sử dụng WinDbg để phân tích bộ nhớ hoặc kết xuất sự cố, bao gồm cả Màn hình xanh chết chóc (BSOD). Từ kết quả, bạn có thể tìm kiếm các dấu hiệu của một cuộc tấn công bằng phần mềm độc hại. Nếu bạn cảm thấy rằng một trong các chương trình của mình có thể bị cản trở bởi sự hiện diện của phần mềm độc hại hoặc đang sử dụng nhiều bộ nhớ hơn mức yêu cầu, bạn có thể tạo tệp kết xuất và sử dụng WinDbg để giúp phân tích nó.
Một kết xuất bộ nhớ hoàn chỉnh có thể chiếm dung lượng đĩa đáng kể, vì vậy có thể tốt hơn nếu thực hiện Chế độ hạt nhân kết xuất hoặc kết xuất Bộ nhớ nhỏ thay thế. Kết xuất Chế độ hạt nhân sẽ chứa tất cả thông tin sử dụng bộ nhớ của hạt nhân tại thời điểm xảy ra sự cố. Một kết xuất Bộ nhớ Nhỏ sẽ chứa thông tin cơ bản về các hệ thống khác nhau như trình điều khiển, hạt nhân và hơn thế nữa, nhưng so sánh thì rất nhỏ.
Kết xuất bộ nhớ nhỏ hữu ích hơn trong việc phân tích lý do tại sao BSOD xảy ra. Để phát hiện rootkit, phiên bản hoàn chỉnh hoặc phiên bản hạt nhân sẽ hữu ích hơn.
Tạo tệp kết xuất chế độ hạt nhân
Tệp kết xuất Kernel-Mode có thể được tạo theo ba cách:
- Bật tệp kết xuất từ Bảng điều khiển để cho phép hệ thống tự gặp sự cố
- Bật tệp kết xuất từ Bảng điều khiển để buộc hệ thống gặp sự cố
- Sử dụng công cụ gỡ lỗi để tạo một công cụ cho bạn
Chúng tôi sẽ đi với lựa chọn số ba.
Để thực hiện tệp kết xuất cần thiết, bạn chỉ cần nhập lệnh sau vào cửa sổ Lệnh của WinDbg.
Thay thế FileName với tên thích hợp cho tệp kết xuất và dấu “?” với một f. Đảm bảo rằng “f” là chữ thường, nếu không bạn sẽ tạo một loại tệp kết xuất khác.
Khi trình gỡ lỗi đã chạy quá trình của nó (quá trình quét đầu tiên sẽ mất vài phút đáng kể), một tệp kết xuất sẽ được tạo và bạn sẽ có thể phân tích các phát hiện của mình.
Việc hiểu những gì bạn đang tìm kiếm, chẳng hạn như mức sử dụng bộ nhớ dễ bay hơi (RAM), để xác định sự hiện diện của rootkit cần có kinh nghiệm và thử nghiệm. Mặc dù không được khuyến nghị cho người mới sử dụng, nhưng có thể kiểm tra các kỹ thuật phát hiện phần mềm độc hại trên một hệ thống đang hoạt động. Để làm được điều này, bạn sẽ cần phải có kiến thức chuyên môn và kiến thức chuyên sâu về hoạt động của WinDbg để không vô tình triển khai một loại virus đang sống vào hệ thống của bạn.
Có những cách an toàn hơn, thân thiện hơn với người mới bắt đầu để phát hiện ra kẻ thù giấu mặt của chúng ta.
Phương pháp quét bổ sung
Phát hiện thủ công và phân tích hành vi cũng là những phương pháp đáng tin cậy để phát hiện rootkit. Cố gắng phát hiện ra vị trí của rootkit có thể là một vấn đề lớn, vì vậy, thay vì nhắm mục tiêu chính rootkit, bạn có thể tìm kiếm các hành vi giống như rootkit.
Bạn có thể tìm kiếm rootkit trong các gói phần mềm đã tải xuống bằng cách sử dụng các tùy chọn cài đặt Nâng cao hoặc Tùy chỉnh trong khi cài đặt. Những gì bạn cần tìm là bất kỳ tệp lạ nào được liệt kê trong chi tiết. Những tệp này nên bị loại bỏ hoặc bạn có thể thực hiện tìm kiếm nhanh trên mạng để tìm bất kỳ tham chiếu nào đến phần mềm độc hại.
Tường lửa và báo cáo ghi nhật ký của chúng là một cách cực kỳ hiệu quả để khám phá rootkit. Phần mềm sẽ thông báo cho bạn nếu mạng của bạn đang được giám sát chặt chẽ và nên cách ly mọi tải xuống không thể nhận dạng hoặc đáng ngờ trước khi cài đặt.
Nếu bạn nghi ngờ rằng bộ rootkit có thể đã có trên máy của mình, bạn có thể đi sâu vào các báo cáo ghi nhật ký tường lửa và tìm kiếm bất kỳ hành vi nào khác thường.
Xem lại báo cáo ghi nhật ký tường lửa
Bạn sẽ muốn xem lại các báo cáo ghi nhật ký tường lửa hiện tại của mình, tạo một ứng dụng nguồn mở như Gián điệp lưu lượng IP với khả năng lọc nhật ký tường lửa, một công cụ rất hữu ích. Các báo cáo sẽ cho bạn thấy những gì cần thiết để xem nếu một cuộc tấn công xảy ra.
Nếu bạn có một mạng lớn với tường lửa lọc đầu ra độc lập, IP Traffic Spy sẽ không cần thiết. Thay vào đó, bạn sẽ có thể xem các gói gửi đến và gửi đi đến tất cả các thiết bị và máy trạm trên mạng thông qua nhật ký tường lửa.
Cho dù bạn đang ở trong gia đình hay cơ sở kinh doanh nhỏ, bạn có thể sử dụng modem do ISP của bạn cung cấp hoặc nếu bạn sở hữu một bộ định tuyến hoặc tường lửa cá nhân để lấy nhật ký tường lửa. Bạn sẽ có thể xác định lưu lượng cho từng thiết bị được kết nối với cùng một mạng.
Nó cũng có thể có lợi khi bật các tệp Nhật ký Tường lửa của Windows. Theo mặc định, tệp nhật ký bị vô hiệu hóa có nghĩa là không có thông tin hoặc dữ liệu nào được ghi.
- Để tạo tệp nhật ký, hãy mở chức năng Chạy bằng cách nhấn Phím Windows + R.
- Kiểu wf.msc vào hộp và nhấn Đi vào.
- Trong cửa sổ Tường lửa và Bảo mật Nâng cao của Windows đánh dấu “Tường lửa của Bộ bảo vệ Windows với Bảo mật Nâng cao trên Máy tính Cục bộ” ở menu bên trái. Trên menu phía ngoài cùng bên phải, nhấp vào “Tác vụ” Tính chất.
- Trong cửa sổ hộp thoại mới, điều hướng đến tab “Hồ sơ riêng tư” và chọn Tùy chỉnh, có thể được tìm thấy trong phần “Ghi nhật ký”.
- Cửa sổ mới sẽ cho phép bạn chọn mức độ lớn của tệp nhật ký để ghi, nơi bạn muốn tệp được gửi và liệu chỉ ghi nhật ký các gói bị bỏ, kết nối thành công hay cả hai.
- Các gói bị rơi là những gói mà Tường lửa của Windows đã chặn thay mặt bạn.
- Theo mặc định, các mục nhật ký Tường lửa của Windows sẽ chỉ lưu trữ 4MB dữ liệu cuối cùng và có thể được tìm thấy trong % SystemRoot% System32 LogFiles Firewall Pfirewall.log
- Hãy nhớ rằng việc tăng giới hạn kích thước đối với việc sử dụng dữ liệu cho nhật ký có thể ảnh hưởng đến hiệu suất máy tính của bạn.
- nhấn đồng ý khi hoàn thành.
- Tiếp theo, lặp lại các bước tương tự bạn vừa trải qua trong tab “Hồ sơ cá nhân”, chỉ lần này là trong tab “Hồ sơ công khai”.
- Nhật ký bây giờ sẽ được tạo cho cả kết nối công cộng và riêng tư. Bạn có thể xem các tệp trong trình soạn thảo văn bản như Notepad hoặc nhập chúng vào bảng tính.
- Giờ đây, bạn có thể xuất các tệp nhật ký vào một chương trình phân tích cú pháp cơ sở dữ liệu như IP Traffic Spy để lọc và sắp xếp lưu lượng để dễ dàng xác định.
Theo dõi bất kỳ điều gì bất thường trong các tệp nhật ký. Ngay cả một lỗi hệ thống nhỏ nhất cũng có thể cho thấy bạn bị nhiễm rootkit. Một cái gì đó dọc theo dòng sử dụng CPU hoặc băng thông quá mức khi bạn không chạy bất cứ thứ gì quá đòi hỏi, hoặc ở tất cả, có thể là một manh mối chính.
