放大镜

rootkit

发布:2016年6月9日

简短的个人介绍

术语“rootkit”来自于“rootkit”,它是一个在系统中提供最高权限的包。它用于描述允许系统中秘密存在未经授权的功能的软件。Rootkits修改和拦截环境的典型模块(OS,或者更深层的bootkits)。

当攻击者需要从系统后门进入并尽可能长时间地保持不被注意的访问时,就会使用rootkit。此外,它们可以注册系统活动,并以攻击者希望的任何方式改变典型行为。

根据活动层的不同,rootkit可以分为以下几种类型:

Usermode环(3):最常见也是最容易实现的,它使用相对简单的技术,如IAT和内联钩子,来更改被调用函数的行为。

Kernelmode(环0):真正的rootkit从这一层开始。它们位于内核空间中,改变内核模式函数的行为。攻击bootloader的内核模式rootkit的一个特定变体称为bootkit。

虚拟机监控程序(环1):运行在最低级别的hypervisor上,它基本上是一个固件。被这种类型的rootkit感染的系统内核不知道它不是与真实的硬件交互,而是与被rootkit改变的环境交互。

规则表明运行在较低层次的rootkit不能被运行在所有以上层次的任何rootkit软件检测到。

历史

修改系统功能的概念出现在1980年,现代rootkit就是在这个概念上发展起来的。当时实施的病毒不仅会给程序打补丁,还会修改系统中断表和内存以不被防病毒软件发现。

当Windows使用的内存模型发生变化时,用户界面程序与核心系统功能隔离开来。它让病毒作者倒退了一段时间;它们不再能够改变系统行为。但慢慢地,变通方案开始出现。

1999年,一个NTRootkit出现了。这是第一个恶意的rootkit专用于Windows NT。2009带来了现场的第一个rootkit的Mac OS X和在2010年臭名昭著的Stuxnet(针对PLC设备)被发现。

第一家创建和发布自己的rootkit的公司是索尼娱乐公司。2005年,他们发起了一个传播索尼BMG Rootkit的秘密活动。他们的动机是通过中断复制他们的出版物的过程来保护他们的版权出版物。如果在PC上播放索尼发行的cd,就会在后台安装rootkit。从那一刻起,它就一直监视用户如何访问索尼cd,并阻止任何复制的尝试。整个阴谋已被揭露,严重影响了公司的声誉。

2006年,一位名叫Joanna Rutkowska的波兰研究员在黑帽会议上介绍了一种新型的rootkit,一种名为BluePill的管理程序级别。

2008年,一种名为Sinoval(又名Torpig)的证书窃取木马使用了一个名为Mebroot的rootkit模块来隐藏其恶意活动,从而绕过了杀毒软件。

2015年,另一家公司联想(Lenovo)被发现在自己的电脑上散布重新安装的rootkit。他们的角色是自动下载专用软件,不考虑用户的意愿。

常见的感染方法

根据rootkit类型的不同,感染方法也不同。用户模式的rootkit通常是其他类型的恶意软件的一部分,它们由典型的感染载体携带,包括垃圾邮件活动和利用包。

幸运的是,最危险的类型也很难安装。

Bootkit可以在从受感染的驱动器启动系统时潜入机器。

有时,rootkit也可以由第三方手动安装,执行“邪恶女佣”攻击。在这种情况下,一个训练有素的人(即专业公司的成员,如黑客团队)被派去安装一个rootkit在无人看管的机器上。

然而,历史表明,有时感染的载体是一个完全合法的软件程序。(乐观的是,到目前为止,那些rootkit执行的活动并没有那么危险。)

相关的家庭

  • NTRootkit
  • 索尼BMG Rootkit
  • GameGuard(带有商业游戏的rootkit)
  • Mebroot(与Sinowal恶意软件一起传播)
  • Blue Pill, SubVirt(管理程序级别的rootkits,作为概念验证编写)

修复

Rootkits(特别是低杠杆类型)是非常难检测的。普通用户甚至可能从未注意到自己已被感染,手动清除威胁几乎是不可能的。这种类型的恶意软件甚至可能隐藏在典型的防病毒程序。只有专门的防rootkit软件可以帮助在这种情况下。然而,它可能也不能100%的保护未知的rootkit,由专业人士编写,基于定制和新颖的想法。这就是为什么有时需要重新安装整个系统的原因。(不过,在UEFI rootkit中可能没有帮助。)

当我们怀疑有rootkit时,最好在系统未运行时分离磁盘并执行取证操作。

之后

恶意rootkit是最危险的恶意软件类型。他们可能会在系统中待很长时间,在不被发现的情况下执行任务。在此期间,用户暴露于攻击者计划的任何恶意活动。通常,他们的操作与隐藏间谍模块或以用户不希望的方式改变系统行为有关。

然而,值得注意的是,rootkit技术不仅适用于网络罪犯和间谍,而且并不总是他们有恶意的意图。一些仿真软件,如Deamon Tools和Alcohol 120%,也使用类似的技术。

避免

第一道防线是使用现代操作系统减少攻击的表面,该系统实现了针对rootkit的对策。例如,64位版本的MS Windows要求所有内核级驱动程序都要签名,以防止未经授权的代码潜入。

永远不要使用来历不明的可启动设备。另外,在下载可引导CD/DVD后,您应该检查控制总和,以确保镜像服务器没有被感染。

强烈建议在BIOS中设置密码,以防止evil maid攻击。

防rootkit软件是该系统的重要组成部分。

选择你的语言