簡介
在Windows作業系統上也已經出現了大量的Rootkits工具及使用
Rootkits技術編寫的軟體。這些Rootkits像就像一層鎧甲,將自身及指定的檔案
保護起來,使其它軟體無法發現、修改或刪除這些檔案。
打個比喻,帶有Rootkits的流氓軟體和病毒就像練就了“金鐘罩”、“鐵布
衫”,不除這種保護傘,各種防毒軟體都無法對其進行徹底清除。
定義
Rootkits是linux/unix獲取root許可權之後使得攻擊者可以隱藏自己的蹤跡和保留root訪問許可權的神器,通常攻擊者使用 rootkit的檢查系統查看是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息,通過rootkit的嗅探器還可以獲得其他系統的用戶和密碼!
處理方式
Rootkits的類型及常見處理方式
簡介
Rootkits通常分為:套用級別---核心級別----硬體級別,早期的是rootkit主要為套用級rootkit通過替換login、ps、ls、netstat等系統工具或修改.rhosts等系統配置檔案等實現隱藏後門,硬體級RootKits主要是指Bios Rootkits,能夠在系統載入前獲得控制權,通過向磁碟中寫入檔案,再由引導程式載入該檔案重新獲得控制權也可以採用虛擬機技術,使整個作業系統運行在rootkit掌握之中,常見的rootkit是核心級rootkit,通過直接修改核心來添加隱藏代碼實現控制系統的功能。
第一種Rootkits技術
通常通過釋放動態程式庫(DLL)檔案,並將它們注入到
其它軟體及系統進程中運行,通過HOOK方式對訊息進行攔截,阻止Windows及套用
程式對被保護的檔案進行訪問。
第二種Rootkits技術
較為複雜,其通過在Windows啟動時載入Rootkits驅動程
序,獲取對Windows的控制權。當程式(Windows及防毒軟體等)通過系統API及
NTAPI訪問檔案系統時進行監視,一但發現程式訪問被Rootkits保護的檔案時返回
一個虛假的結果,從而達到隱藏或鎖定檔案的目的。
進程注入式Rootkits較好處理,通過使用防毒軟體的開機掃描
(又名Startup Scan、 BootScan)功能都可以輕鬆清除。然而,對於第二種通過
驅動級的Rootkits,由於其載入的優先權別較高,現階段還沒有一個較好的解決辦
法。大多數防毒軟體在處理使用此類Rootkits技術的病毒時均出現漏查漏殺,清除
失敗的現象。
一種新的特洛伊木馬病毒的隱蔽技術是如此的高明,以至於一些安全研究人員稱,他們與惡意代碼作者的新一輪大戰即將開始。
據賽門鐵克和F-Secure公司在最近的分析中表示,分別被它們稱之為“Rustock”和“mailbot”的這種新的惡意代碼採用了rootkit技術躲避來自安全軟體的檢測。據賽門鐵克公司的安全回響工程師伊利亞於上月末在其部落格中寫道:它可能會被認為是新一代rootkits技術的誕生。Rustock.A將老技術和新創意集一體,其隱藏技術足以能夠躲過許多常用的檢測技術。
其它看法
Rootkits技術被認為是一種新的威脅
Rootkits技術被認為是一種新的威脅,它們常常使系統改變隱藏軟體,可能是惡意軟體。據賽門鐵克公司表示,在Rustock(mailbot)中,Rootkit技術常被用於隱藏一種在被感染的系統上開一個後門的特洛伊木馬病毒。據McAfee公司的病毒研究經理克萊格表示,在與安全軟體廠商的周旋中,這種最新的Rootkit技術的作者在編寫代碼前似乎對檢測工具的內部工作原理有更深的研究。據他表示,安全廠商們正在努力將電腦黑客擋在自己的後面,然而,這些電腦黑客們也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意代碼,而黑客在隱蔽自己方面做得相當好。伊利亞也寫道:多種隱蔽技術的綜合運用能夠使Rustock在“被感染的計算機上幾乎不留下任何蛛絲馬跡”。
為了躲避檢測,Rustock的運行沒有使用系統進程,而是在驅動程式和核心執行緒中運行自己的代碼。它使用的是交替的數據流而非隱藏的檔案,而且也沒有使用API。據伊利亞表示,檢測工具會查找系統進程、隱藏的檔案以及對API的調用。伊利亞還在其部落格中寫道:Rustock還躲過了rootkit檢測工具對一些核心結構和隱藏的驅動程式。這個rootkit使用的SYS驅動程式具有多態形,代碼也會經常變化。
然而,據一些專家表示,人們受到這一rootkit及其特洛伊木馬病毒攻擊的機率還是非常低的。據克萊格表示,人們在部落格中討論它的原因並非是它已經相當普及了,而是因為它給現有rootkit檢測工具帶來了一定的挑戰。F-Secure公司已經對其能夠檢測到當前惡意版本的BlackLight rootkit檢測工具進行了更新。賽門鐵克和McAfee公司仍然在開發檢測並從計算機上刪除這種最新rootkit的工具
最為簡單實用的套用級別Rootkit是通過將添加過提權代碼的命令替換系統中原始的命令來實現功能的,並且一般提供清理工具刪除wtmp、utmp、lastlog等日誌檔案中自己的行蹤,並且複雜點的rootkit還可以向攻擊者提供telnel、shell和finger等服務