Cómo detectar rootkits en Windows 10 (Guía detallada)

Los piratas informáticos utilizan los rootkits para ocultar malware persistente y aparentemente indetectable dentro de su dispositivo que robará silenciosamente datos o recursos, a veces en el transcurso de varios años. También se pueden usar en el modo de registro de teclas, donde se supervisan las pulsaciones de teclado y las comunicaciones, proporcionando al espectador información de privacidad.

Este método de piratería particular tuvo más relevancia antes de 2006, antes de que Microsoft Vista requiriera que los proveedores firmen digitalmente todos los controladores de computadora. Kernel Patch Protection (KPP) causó que los creadores de malware cambiaran sus métodos de ataque y solo recientemente a partir de 2018 con el Operación de fraude publicitario de Zacinlo, los rootkits volvieron a aparecer en el centro de atención.

Los rootkits anteriores a 2006 estaban basados ​​específicamente en el sistema operativo. La situación de Zacinlo, un rootkit de la familia de malware Detrahere, nos dio algo aún más peligroso en forma de un rootkit basado en firmware. De todos modos, los rootkits son solo alrededor del uno por ciento de toda la producción de malware que se ve anualmente.

Aun así, debido al peligro que pueden presentar, sería prudente comprender cómo funciona la detección de rootkits que pueden haberse infiltrado en su sistema.

Detección de rootkits en Windows 10 (en -Depth)

Zacinlo tenía en realidad ha estado en juego durante casi seis años antes de ser descubierto apuntando a la plataforma Windows 10. El componente rootkit era altamente configurable y se protegía de los procesos que consideraba peligrosos para su funcionalidad y era capaz de interceptar y descifrar las comunicaciones SSL.

Encriptaría y almacenaría todos sus datos de configuración dentro del Registro de Windows y, mientras Windows se estaba cerrando, reescríbete de la memoria al disco con un nombre diferente y actualiza su clave de registro. Esto lo ayudó a evadir la detección de su software antivirus estándar.

In_content_1 all: [300x250] / dfp: [640x360]->

Esto demuestra que un software antivirus o antimalware estándar no es suficiente para detectar rootkits. Sin embargo, hay algunos programas antimalware de primer nivel que lo alertarán de sospechas de un ataque de rootkit.

Los 5 atributos clave de un buen software antivirus

La mayoría de los programas antivirus destacados de la actualidad realizarán los cinco métodos notables para detectar rootkits.

  • Análisis basado en firmas: el software antivirus comparará los archivos registrados con firmas conocidas de rootkits. El análisis también buscará patrones de comportamiento que imiten ciertas actividades operativas de rootkits conocidos, como el uso agresivo de puertos.
  • Detección de intercepción: el sistema operativo Windows emplea tablas de puntero para ejecutar comandos que se sabe que hacen que un rootkit actúe. Dado que los rootkits intentan reemplazar o modificar cualquier cosa considerada una amenaza, esto alertará a su sistema ante su presencia.
  • Comparación de datos de múltiples fuentes- Rootkits, en su intento de permanecer ocultos , puede alterar ciertos datos presentados en un examen estándar. Los resultados devueltos de las llamadas de sistema de nivel alto y bajo pueden revelar la presencia de un rootkit. El software también puede comparar la memoria de proceso cargada en la RAM con el contenido del archivo en el disco duro.
  • Verificación de integridad- Cada biblioteca del sistema posee una firma digital que se crea en el momento en que el sistema se consideraba "limpio". Un buen software de seguridad puede verificar en las bibliotecas cualquier alteración del código utilizado para crear la firma digital.
  • Comparaciones de registro: la mayoría de los programas de software antivirus tienen estos en un horario preestablecido. Se comparará un archivo limpio con un archivo de cliente, en tiempo real, para determinar si el cliente es o contiene un ejecutable no solicitado (.exe).

    • Realizando escaneos de rootkits

    Realizar un La exploración de rootkit es el mejor intento para detectar la infección de rootkit. En la mayoría de los casos, no se puede confiar en su sistema operativo para identificar un rootkit por sí mismo y presenta un desafío para determinar su presencia. Los rootkits son espías maestros, cubren sus huellas en casi todos los giros y pueden permanecer ocultos a simple vista.

    Si sospecha que se ha producido un ataque de virus rootkit en su máquina, una buena estrategia para la detección sería apague la computadora y ejecute el escaneo desde un sistema limpio conocido. Una forma segura de localizar un rootkit dentro de su máquina es a través de un análisis de volcado de memoria. Un rootkit no puede ocultar las instrucciones que le da a su sistema mientras las ejecuta en la memoria de la máquina.

    Uso de WinDbg para análisis de malware

    Microsoft Windows ha proporcionado su propia herramienta de depuración multifunción que se puede utilizar para realizar análisis de depuración de aplicaciones, controladores o el sistema operativo en sí. Depurará el código de modo de kernel y modo de usuario, ayudará a analizar volcados de memoria y examinará los registros de la CPU.

    Algunos sistemas Windows vendrán con WinDbg ya incluido. Aquellos sin deberá descargarlo de la tienda de Microsoft. Vista previa de WinDbg es la versión más moderna de WinDbg, que proporciona imágenes más fáciles de ver, ventanas más rápidas, secuencias de comandos completas y los mismos comandos, extensiones y flujos de trabajo que el original.

    En Como mínimo, puede usar WinDbg para analizar una memoria o un volcado de memoria, incluida una pantalla azul de la muerte (BSOD). A partir de los resultados, puede buscar indicadores de un ataque de malware. Si cree que uno de sus programas puede verse obstaculizado por la presencia de malware o está utilizando más memoria de la necesaria, puede crear un archivo de volcado y use WinDbg para ayudar a analizarlo.

    Un volcado de memoria completo puede ocupar un espacio considerable en el disco, por lo que puede ser mejor realizar un volcado Kernel-Modeo un volcado de memoria pequeña. Un volcado en modo kernel contendrá toda la información de uso de memoria del kernel en el momento del bloqueo. Un volcado de memoria pequeña contendrá información básica sobre diversos sistemas como controladores, el núcleo y más, pero es pequeño en comparación.

    Los volcados de memoria pequeña son más útiles para analizar por qué se ha producido un BSOD. Para detectar rootkits, una versión completa o kernel será más útil.

    Creación de un archivo de volcado en modo kernel

    Un archivo de volcado en modo kernel se puede crear de tres maneras:

    • Habilite el archivo de volcado desde el Panel de control para permitir que el sistema se bloquee por sí mismo
    • Habilite el archivo de volcado desde el Panel de control para obligar al sistema a bloquearse
    • Use una herramienta de depuración para crear uno para usted

      • Iremos con la opción número tres.

      Para realizar el archivo de volcado necesario, solo necesita ingresar el siguiente comando en la ventana Comando de WinDbg.

      Reemplace FileNamecon un nombre apropiado para el archivo de volcado y el "?" con un f. Asegúrese de que la "f" está en minúsculas o de lo contrario creará un tipo diferente de archivo de volcado.

      Una vez que el depurador ha seguido su curso (el primer escaneo tomará considerables minutos), un archivo de volcado ha sido creado y podrá analizar sus hallazgos.

      Comprender lo que está buscando, como el uso de memoria volátil (RAM), para determinar la presencia de un rootkit requiere experiencia y pruebas. Es posible, aunque no recomendado para un novato, probar técnicas de descubrimiento de malware en un sistema en vivo. Hacer esto nuevamente requerirá experiencia y conocimiento profundo sobre el funcionamiento de WinDbg para no desplegar accidentalmente un virus vivo en su sistema.

      Hay formas más seguras y más amigables para los principiantes de descubrir nuestro pozo. enemigo oculto.

      Métodos de escaneo adicionales

      La detección manual y el análisis de comportamiento también son métodos confiables para detectar rootkits. Intentar descubrir la ubicación de un rootkit puede ser un gran problema, por lo que, en lugar de apuntar al rootkit en sí, puede buscar comportamientos similares al rootkit.

      Puede buscar rootkits en paquetes de software descargados mediante el uso Opciones de instalación avanzada o personalizada durante la instalación. Lo que deberá buscar son los archivos desconocidos que figuran en los detalles. Estos archivos deben descartarse, o puede hacer una búsqueda rápida en línea de cualquier referencia a software malicioso.

      Los firewalls y sus informes de registro son una forma increíblemente efectiva de descubrir un rootkit. El software le notificará si su red está bajo escrutinio y debe poner en cuarentena cualquier descarga irreconocible o sospechosa antes de la instalación.

      Si sospecha que puede haber un rootkit en su máquina, puede sumergirse en los informes de registro del firewall y buscar cualquier comportamiento fuera de lo común.

      Revisión de los informes de registro del firewall

      desea revisar sus informes de registro de firewall actuales, haciendo una aplicación de código abierto como IP Traffic Spycon capacidades de filtrado de registro de firewall, una herramienta muy útil. Los informes le mostrarán lo que es necesario ver en caso de que ocurra un ataque.

      Si tiene una red grande con un firewall de filtrado de salida independiente, IP Traffic Spy no será necesario. En su lugar, debería poder ver los paquetes entrantes y salientes a todos los dispositivos y estaciones de trabajo en la red a través de los registros del firewall.

      Ya sea que esté en un hogar o en una pequeña empresa, puede usar el módem proporcionado por su ISP o, si posee uno, un firewall personal o enrutador para abrir los registros del firewall. Podrá identificar el tráfico de cada dispositivo conectado a la misma red.

      También puede ser beneficioso habilitar los archivos de registro de Firewall de Windows. De manera predeterminada, el archivo de registro está deshabilitado, lo que significa que no se escribe información o datos.

      • Para crear un archivo de registro, abra la función Ejecutar presionando la tecla de Windows + R.
      • Escriba wf.mscen el cuadro y presione Enter.
        • En la ventana Firewall de Windows y Seguridad avanzada, resalte“ Firewall de Windows Defender con Seguridad avanzada en la computadora local "en el menú del lado izquierdo. En el menú del extremo derecho, debajo de "Acciones", haga clic en Propiedades.
          • En la nueva ventana de diálogo, navegue a la pestaña "Perfil privado" y seleccione Personalizar, que puede se encuentra en la sección "Registro".
            • La nueva ventana le permitirá seleccionar qué tan grande de un archivo de registro desea escribir, dónde desea que se envíe el archivo y si desea registrar solo los paquetes descartados, una conexión exitosa o ambos .
              • Los paquetes descartados son aquellos que Firewall de Windows ha bloqueado en su nombre.
              • De manera predeterminada, las entradas de registro de Firewall de Windows solo almacenarán los últimos 4 MB de datos y se pueden encontrar en % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
              • Tenga en cuenta que aumentar el límite de tamaño en el uso de datos para los registros puede afectar el rendimiento de su computadora.
              • Presione OKcuando haya terminado.
              • Luego, repita los mismos pasos que acaba de seguir en la pestaña "Perfil privado", solo que esta vez en la pestaña "Perfil público".
                • Los registros ahora se generarán para conexiones públicas y privadas. Puede ver los archivos en un editor de texto como el Bloc de notas o importarlos en una hoja de cálculo.
                • Ahora puede exportar los archivos de registros a un programa analizador de bases de datos como IP Traffic Spy para filtrar y ordenar el tráfico para facilitar identificación.

                  • Esté atento a cualquier cosa fuera de lo común en los archivos de registro. Incluso la más mínima falla del sistema puede indicar una infección de rootkit. Algo similar al uso excesivo de CPU o ancho de banda cuando no está ejecutando algo demasiado exigente, o en absoluto, puede ser una pista importante.

                  Detecta y Elimina / Malware Gusanos Spyware y Trojanos en Windows 10, 8 y 7

                  Artículos Relacionados:

                  Cómo actualizar Windows sin Windows Update Cómo alternar automáticamente los modos oscuro y claro en Windows 10 Cómo arreglar Windows Hello Fingerprint no funciona en Windows 10 Cómo solucionar problemas comunes de impresora en Windows 10 Cómo apagar automáticamente una computadora con Windows 6 equivalentes de Windows a las características populares de MacOS Archivos oscuros del sistema de Windows y por qué debe saber sobre ellos

                  20.12.2019