Wat is kernel-level malware en hoe kunt u zich ertegen beschermen?

Malware komt in vele vormen voor, maar kernel-level malware is een van de gevaarlijkste. Wat maakt het zo bedreigend en hoe kun je je ertegen verdedigen? Laten we de details hieronder eens bekijken.

Wat is malware op kernelniveau?

De kernel is het kernonderdeel van een besturingssysteem, verantwoordelijk voor het beheer van alle interacties tussen hardware en software. Het werkt op een verhoogd privilegeniveau, bekend als “kernelmodus”, wat het onbeperkte toegang geeft tot alle systeembronnen, inclusief geheugen, CPU en aangesloten apparaten. De malware die dit privilegeniveau infecteert en manipuleert, staat bekend als kernel-level malware.

Dergelijke malware maakt misbruik van de hoge privileges van de kernel, waardoor het kwaadaardige activiteiten kan uitvoeren met minimale detectie. Door op dit lage niveau te werken, kan het beveiligingsmaatregelen omzeilen, blijven bestaan ​​en controle krijgen over kritieke systeembewerkingen.

Hieronder staan ​​enkele veelvoorkomende voorbeelden van malware op kernelniveau:

Kernel rootkits: dit is een van de meest beruchte vormen van kernel-level malware die een aanvaller ongemerkt controle op afstand over een computer geeft. Deze toegang stelt hen in staat de beveiliging in gevaar te brengen, meer malware te installeren, activiteit te monitoren of het apparaat te gebruiken in DDoS-aanvallen.

Bootkits: dit is een type rootkit dat het BIOS of Master Boot Record (MBR) van de pc infecteert om schadelijke code te laden voordat het besturingssysteem wordt geladen. Ze kunnen schadelijke code op kernelniveau installeren en blijven bestaan ​​tijdens het opnieuw opstarten en opnieuw installeren van het besturingssysteem.

Trojaanse paarden in de kernelmodus: met hogere privileges kunnen deze trojaanse paarden effectief detectie omzeilen door processen te vervangen of zichzelf in andere processen te integreren.

Kernel-level ransomware: dit type ransomware gebruikt kernel privileges om data te versleutelen of gebruikers de toegang tot het systeem te ontzeggen. Het kan de beveiliging efficiënter omzeilen en herstel bemoeilijken.

Hoe u zich kunt beschermen tegen malware op kernelniveau

Gelukkig is het voor kernel-level malware vrij lastig om uw pc te infecteren. Dit type malware vereist verhoogde rechten die het besturingssysteem niet verleent aan ongeautoriseerde programma’s. Daarom vertrouwt kernel-level malware doorgaans op het uitbuiten van bekende kwetsbaarheden of het verkrijgen van fysieke of externe toegang tot een beheerdersaccount.

PC-beveiligingssystemen zijn ontworpen om malware-aanvallen op kernelniveau te detecteren en te voorkomen. Zelfs als iemand opzettelijk probeert dergelijke malware te installeren, zullen de beveiligingsmechanismen van het besturingssysteem de installatie waarschijnlijk blokkeren.

U hebt echter nog steeds beveiligingsfuncties nodig op uw pc om kwetsbaarheden te minimaliseren en aanvallen snel te detecteren. Volg de onderstaande stappen om uzelf te verdedigen tegen malware op kernelniveau:

Zorg ervoor dat Secure Boot en TPM 2.0 zijn ingeschakeld

Secure Boot en TPM 2.0 (Trusted Platform Module) zijn essentiële beveiligingsfuncties in Windows en cruciaal voor de verdediging tegen malware op kernelniveau. Daarom zijn ze ook vereist voor de installatie van Windows 11.

Secure Boot controleert de digitale handtekening van alle software tijdens het opstarten en blokkeert zo de uitvoering van niet-geverifieerde software.

TPM 2.0 is een fysieke beveiligingschip die cryptografische hashes van het opstartproces opslaat. Het detecteert elke manipulatie door deze hashes bij elke opstart te vergelijken en waarschuwt gebruikers als het wijzigingen vindt.

Om te controleren of Secure Boot is ingeschakeld, zoekt u naar ‘systeeminformatie’ in Windows Search en opent u de app Systeeminformatie . U vindt de waarde Secure Boot State in het Systeemoverzicht . Zorg ervoor dat deze is ingesteld op Aan .

Om te controleren of TPM 2.0 is ingeschakeld (of wordt ondersteund), drukt u op Windows+ Ren typt u tpm.mscin het dialoogvenster Uitvoeren.

Als een van deze is uitgeschakeld, ga dan naar BIOS/UEFI en schakel de waarde in onder de categorie Beveiliging . Het inschakelen van Secure Boot zou eenvoudig moeten zijn, maar TMP 2.0 is een hardwarechip die uw pc mogelijk niet heeft.

Virtualisatiegebaseerde beveiliging inschakelen in Windows

Virtualisatiegebaseerde beveiliging (VBS) gebruikt hardwarevirtualisatie om kritieke systeemprocessen in een geïsoleerde omgeving uit te voeren om te voorkomen dat kwaadaardige apps ermee knoeien. Aangezien malware op kernelniveau vaak misbruik maakt van kwetsbaarheden in kritieke systeemprocessen, beschermt deze functie ze.

Typ in Windows Search ‘windows security’ en open de Windows Security- app. Ga naar Device Security -> Core isolation en zorg ervoor dat Memory integrity is ingeschakeld .

Stel Gebruikersaccountbeheer (UAC) in op Maximale beveiliging

UAC beschermt uw pc door te voorkomen dat apps uw pc installeren of er wijzigingen in aanbrengen zonder uw toestemming. U kunt het instellen op maximale beveiliging, zodat Windows altijd om uw toestemming vraagt ​​wanneer u of een app iets probeert te installeren of een instelling probeert te wijzigen.

Zoek naar “uac” in Windows Search en klik op Wijzigen Gebruikersaccountbeheerinstellingen . Zet de schuifbalk hier helemaal bovenaan op Altijd melden .

Houd uw pc up-to-date

Zoals eerder vermeld, maakt malware op kernelniveau vaak misbruik van kwetsbaarheden om de pc te infecteren. Door uw systeem up-to-date te houden, zorgt u ervoor dat bekende kwetsbaarheden tijdig worden gepatcht, waardoor wordt voorkomen dat kwaadaardige programma’s deze misbruiken.

Zorg ervoor dat u Windows, drivers en BIOS/UEFI bijwerkt naar de nieuwste versies.

Windows: om Windows te updaten, ga naar Windows Update in Windows-instellingen en klik op Controleren op updates . Als er staat U bent up-to-date , is alles in orde. Anders downloadt en installeert u de aanbevolen updates.

Drivers: deze zijn het meest kwetsbaar, omdat ze worden geladen tijdens het bootproces en een gecompromitteerde driver infectie op kernelniveau kan inschakelen. U kunt een driver updater tool zoals iObit Driver Booster gebruiken om automatisch alle drivers te updaten.

BIOS/UEFI: het is lastig om BIOS/UEFI bij te werken, omdat je dit handmatig moet doen. Gelukkig komen dit soort updates maar zelden voor.

Gebruik een standaardgebruikersaccount voor dagelijks gebruik

Het standaardgebruikersaccount heeft beperkte toegang tot veel functies, maar het is goed genoeg voor dagelijks gebruik. Omdat het beperkt is, beperkt het ook de mogelijkheid van kernel-malware om het apparaat te infecteren.

Om een ​​standaardaccount te maken, opent u Windows-instellingen en gaat u naar Accounts -> Andere gebruikers . Klik op Account toevoegen om een ​​nieuw account te maken en zorg ervoor dat u Standaardaccount selecteert in plaats van Administrator.

Voer af en toe een opstartscan uit

De boot-time scan is een standaardfunctie in de meeste antivirussoftware, waaronder Microsoft Defender. Deze scan start uw pc opnieuw op en scant deze voordat het besturingssysteem volledig is geladen. Dit is zeer effectief tegen malware op kernelniveau, omdat het deze kan detecteren voordat ze zich proberen te verbergen voor het besturingssysteem. Voer het af en toe uit om te controleren of uw pc schoon is.

Om deze scan in Windows uit te voeren, zoekt u in Windows Zoeken naar ‘windows security’ en opent u de app Windows Security .

Ga naar Virus- en bedreigingsbeveiliging -> Scanopties en selecteer Microsoft Defender Antivirus (offline scan) . Wanneer u op Nu scannen klikt , wordt u gevraagd de pc opnieuw op te starten voor de scan.

Vermijd het uitvoeren van risicovolle programma’s

Dit is een algemeen advies om alle soorten systeembeveiligingsrisico’s te vermijden, maar het is vooral belangrijk als het gaat om malware op kernelniveau. Het kan de kernel niet benaderen zonder de beveiligingsfuncties van het besturingssysteem uit te schakelen. Dit betekent dat malware op kernelniveau duidelijke rode vlaggen zal geven, zoals u vragen om beveiligingsfuncties uit te schakelen om de app te kunnen uitvoeren.

Wees voorzichtig met het downloaden van verdachte software, zoals videogamehacks of gekopieerde premiumprogramma’s. Als een app vereist dat u specifieke beveiligingsmaatregelen uitschakelt, is het potentiële risico waarschijnlijk groter dan de voordelen die het zou bieden.

Wat te doen als uw pc geïnfecteerd raakt

Ongewoon hoog CPU-gebruik, vastlopen, crashen (BSOD) en verdachte netwerkactiviteit zijn veelvoorkomende tekenen van een malware-infectie op kernelniveau. Als u denkt dat uw pc is geïnfecteerd, moet u onmiddellijk actie ondernemen. Helaas hebt u beperkte opties, omdat de malware erg hardnekkig kan zijn.

Gebruik antivirussoftware met een functie voor het verwijderen van rootkits

De meeste antivirussoftware met rootkit-verwijderingsfuncties kan de meeste soorten kernel-level malware verwijderen. Wij raden Malwarebytes aan , omdat het een speciale rootkit-verwijderingsfunctie heeft die zeer effectief is.

U moet eerst de rootkit-scanfunctie inschakelen, omdat deze standaard is uitgeschakeld. Klik op Instellingen in Malwarebytes en ga vervolgens naar het gedeelte Scannen en detecteren . Schakel de optie Scannen op rootkits in .

Bij uw volgende scan wordt ook de rootkitscanfunctie gebruikt, waarmee u de malware op kernelniveau kunt vinden die uw pc infecteert.

Opstartscan uitvoeren

Zoals hierboven vermeld, kan een boot-time scan kernel-level malware detecteren die afhankelijk is van het verbergen van zichzelf voor het bootproces. U kunt de Microsoft Defender scan uitvoeren zoals we hierboven deden, of een app van derden gebruiken. Avast One heeft een krachtige boot-time scan functionaliteit die u kunt proberen als Microsoft Defender faalt.

Windows opnieuw installeren

Als beveiligingssoftware geen malware op kernelniveau kan opvangen, zou het opnieuw installeren van Windows het probleem moeten oplossen. U moet een nieuwe installatie uitvoeren, aangezien de huidige image geïnfecteerd kan zijn. Er zijn meerdere manieren om Windows 11 te installeren, dus kies uw voorkeursmethode.

Over het algemeen kan malware op kernelniveau extreem gevaarlijk zijn, maar het is moeilijk voor hackers om het op uw apparaat te krijgen. Als u problemen ondervindt bij het verwijderen van malware op kernelniveau, kan het probleem worden opgelost door het BIOS te upgraden/opnieuw te installeren. U kunt het ook naar een professional brengen om het BIOS opnieuw te flashen en CMOS te wissen.

Afbeelding tegoed: Freepik . Alle screenshots door Karrar Haider.