站内搜索

Rootkit 是什么 – 定义、类型、如何检测等

  Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。

在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

==========================

Rootkit 是一种恶意计算机程序,它向其背后的攻击者提供根级别,即管理员级别的权限。术语 Rootkit 源自两个词Root和Kit。Root 意味着对操作系统的完全控制,Kit 意味着工具的集合。因此,统称 Rootkit 一词的意思是一组用于获得对系统的完全访问权限的工具。

通过 Rootkit,攻击者可以完全控制您的 PC、更改其设置并远程执行其他恶意任务。Rootkit 包含许多用于执行不同任务的恶意工具,例如收集银行详细信息和其他敏感信息、阻止防病毒等安全程序使其无法被检测到、轰炸不相关的广告等。

Rootkit 之所以被认为是最危险的恶意程序之一,是因为它的隐身能力。在获得系统的 root 访问权限后,它可以隐藏在您的操作系统深处,并保持活动状态而不会被检测到。由于它可以像管理员一样控制您的系统,因此可以轻松禁用或操纵安全程序。

==========================

Rootkit是指其主要功能为:隐藏其他程式进程的软件,可能是一个或一个以上的软件组合;广义而言,Rootkit也可视为一项技术。在今天,Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。因为其代码运行在特权模式之下,从而能造成意料之外的危险。最早Rootkit用于善意用途,但后来Rootkit也被骇客用在入侵和攻击他人的电脑系统上,电脑病毒、间谍软体等也常使用Rootkit来隐藏踪迹,因此Rootkit已被大多数的防毒软体归类为具危害性的恶意软体。Linux、Windows、Mac OS等作业系统都有机会成为Rootkit的受害目标。

在现代操作系统中,应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件,操作系统依赖内核空间来管理和调度这些应用。内核空间由四大部分组成,分别是:进程管理(负责分配Cpu时间)、文件访问(把设备调配成文件系统,并提供一个一致的接口供上层程序调用)、安全控制(负责强制规定各个进程的具体的权限和单独的内存范围,避免各进程之间发生冲突)和内存管理(负责进程运行时对内存资源的分配、使用、释放和回收)。内核是一种数据结构,Rootkit技术通过修改这些数据结构来隐藏其它程式的进程、文件、网络通讯和其它相关信息(比如注册表和可能因修改而产生的系统日志等)。例如,通过修改操作系统的EPROCESS链表结构可以达到隐藏进程的效果,挂钩服务调用表可以隐藏文件和目录,挂钩中断描述符表则可以监听键盘击键等等。Rootkit至今仍然是一个发展中的技术领域。

Rootkit 历史

Rootkit一词最早出现在Unix系统上。系统入侵者为了取得系统管理员级的root权限,或者为了清除被系统记录的入侵痕迹,会重新组译一些软体工具(术语称为kit),例如ps、netstat、w、passwd等等,这些软体即称作Rootkit。其后类似的入侵技术或概念在其他的作业系统上也被发展出来,主要是档案、行程、系统记录的隐藏技术,以及网路封包、键盘输入的拦截窃听技术等,许多木马程式都使用了这些技术,因此木马程式也可视为Rootkit的一种。

2005年的Sony BMG CD防拷丑闻(英语:Sony BMG copy protection rootkit scandal)即因Sony被人揭发暗中使用了Rootkit技术来防止盗版,有侵害用户隐私之嫌,并可能对用户系统造成威胁,因而引发轩然大波[1]。Rootkit一词也从此事件开始更广为一般大众所知。

==========================

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

“Rootkit”中root术语来自于unix领域。由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。

rootkit并不一定是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。

==========================

Rootkit 是一种软件程序,通常是恶意的,它提供对计算机的特权根级别(即管理)访问,同时隐藏其在该计算机上的存在。简而言之,它是一种令人讨厌的恶意软件,可能会严重影响PC的性能,并使您的个人数据面临风险。

安装后,Rootkit 通常与计算机的操作系统同时启动,或者在启动过程开始后启动。但是,有些rootkit可以在目标操作系统之前启动,这使得它们很难检测到。

Rootkit 的潜在后果包括:

1.隐藏的恶意软件 – Rootkit允许攻击者在受感染的计算机上安装其他恶意软件。它们对用户和计算机上安装的任何防病毒软件隐藏恶意程序。
2.信息窃取 – 借助rootkit安装的恶意软件可用于窃取用户密码,信用卡信息或其他敏感数据,而不会被检测到。
3.文件删除 – Rootkit 可以删除系统上的操作系统代码或其他文件。
4.窃听 – 黑客可以使用rootkit窃听用户并拦截他们的个人信息。
5.文件执行 – 在颠覆系统上的反恶意软件后,rootkit 允许犯罪者远程执行目标计算机上的其他文件。
6.远程访问 – Rootkit 可以更改系统配置设置,例如在防火墙设置中打开后门 TCP 端口,或更改启动脚本。这授予攻击者远程访问权限,例如,允许他们在僵尸网络中使用计算机。

==========================

Rootkit 定义和含义

Rootkit 是一种恶意软件,旨在让黑客访问和控制目标设备。虽然大多数 Rootkit 会影响软件和操作系统,但有些还会感染计算机的硬件和固件。Rootkit 善于隐藏自己,但当它们保持隐藏时,其实处于活跃状态。

一旦未经授权获得对计算机的访问权限,Rootkit 就使网络犯罪分子可以窃取个人数据和财务信息,安装恶意软件或将计算机用作僵尸网络的一部分,以散布垃圾邮件和参与DDoS( 分布式拒绝服务)攻击。

名称”Rootkit”源自 Unix 和 Linux 操作系统,其中权限最高的帐户管理员被称为”root”。允许未经授权的 root 或管理员级别访问设备的应用程序被称为”工具包”。

什么是 Rootkit?

Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。

黑客通过多种方式在目标计算机上安装 Rootkit:

1.最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。

2.另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。

3.恶意软件还可以与其它文件捆绑在一起,例如受感染的 PDF、盗版媒体或从可疑的第三方商店获得的应用。
Rootkit 在操作系统的内核附近或内核内运行,这使它们能够向计算机发起命令。任何使用操作系统的东西都是 Rootkit 的潜在目标 —— 随着物联网的扩展,它可能包括冰箱或恒温器等物品。

Rootkit 可以隐藏键盘记录器,在未经您同意的情况下捕获您的击键。这使得网络犯罪分子很容易窃取您的个人信息,例如信用卡或网上银行详细信息。Rootkit 可让黑客使用您的计算机发起 DDoS 攻击或发送垃圾邮件。它们甚至可以禁用或删除安全软件。

一些 Rootkit 用于合法目的 —— 例如,提供远程 IT 支持或协助执法。大多数情况下,它们用于恶意目的。Rootkit 如此危险的原因是它们可以提供各种形式的恶意软件,它们可以操纵计算机的操作系统并为远程用户提供管理员访问权限。

Rootkit 的类型

1. 硬件或固件 Rootkit
硬件或固件 Rootkit 可以影响您的硬盘驱动器、路由器或系统的 BIOS,这是安装在计算机主板上的小内存芯片上的软件。它们不是针对您的操作系统,而是针对您的设备的固件安装难以检测的恶意软件。因为它们会影响硬件,所以可让黑客记录您的击键以及监控在线活动。虽然与其它类型相比不太常见,但硬件或固件 Rootkit 是对在线安全的严重威胁。

2. Bootloader rootkit
Bootloader 机制负责在计算机上加载操作系统。Bootloader Rootkit 可攻击此系统,用被破解的 Bootloader 替换您计算机的合法 Bootloader。这甚至可以在计算机的操作系统完全加载之前激活 Rootkit。

3. 内存 Rootkit
内存 Rootkit 隐藏在计算机的随机存取内存 (RAM) 中,使用计算机的资源在后台执行恶意活动。内存 Rootkit 会影响计算机的 RAM 性能。因为它们只存在于计算机的 RAM 中,不会注入永久代码,所以一旦重新启动系统,内存 Rootkit 就会消失 —— 尽管有时需要进一步的工作才能摆脱它们。它们的寿命短意味着它们往往不会被视为重大威胁。

4. 应用程序 Rootkit
应用程序 Rootkit 将计算机中的标准文件替换为 Rootkit 文件,甚至可能改变标准应用程序的工作方式。这些 Rootkit 会感染 Microsoft Office、Notepad 或 Paint 等程序。每次运行这些程序时,攻击者都可以访问您的计算机。由于受感染的程序仍然正常运行,Rootkit 检测对于用户来说很困难 —— 但防病毒程序可以检测到它们,因为它们都在应用程序层上运行。

5. 内核模式 Rootkit
内核模式 Rootkit 是这种威胁最严重的类型之一,因为它们针对操作系统的核心(即内核级别)。黑客使用它们不仅可以访问计算机上的文件,还可以通过添加自己的代码来更改操作系统的功能。

6. 虚拟 Rootkit
虚拟 Rootkit 会在计算机的操作系统下自行加载。然后,它将目标操作系统托管为虚拟机,从而允许它拦截原始操作系统进行的硬件调用。这种类型的 Rootkit 不必修改内核来颠复操作系统,可能非常难检测。

Rootkit 示例

Stuxnet
历史上最臭名昭著的 Rootkit 之一是 Stuxnet,这是一种在 2010 年发现的恶意计算机蠕虫,据信自 2005 年以来一直在开发中。Stuxnet 对伊朗的核计划造成了重大破坏。虽然这两个国家都不承认责任,但人们普遍认为这是美国和以色列在称为奥运会的合作努力中共同创造的网络武器。

Rootkit 的其它值得注意的例子包括:

Flame
2012 年,网络安全专家发现了 Flame,这是一种主要用于中东的网络间谍活动的 Rootkit。Flame(也称为Flamer、sKyWIper 和 Skywiper)可影响计算机的整个操作系统,使其能够监控流量、捕获屏幕截图和音频、并记录设备击键。Flame 背后的黑客没有被发现,但研究表明它们使用横跨三大洲的 80 台服务器访问受感染的计算机。

Necurs
2012 年,Necurs 作为 Rootkit 出现,据报道当年被在 83,000 起感染中检测到。Necurs 与东欧的精英网络犯罪分子有关,被认为由于其技术复杂性和演化能力而脱颖而出。

ZeroAccess
2011 年,网络安全专家发现了 ZeroAccess,这是一种内核模式 Rootkit,感染了全球超过 200 万台计算机。该 Rootkit 不直接影响受感染计算机的功能,而是在受感染计算机上下载并安装恶意软件,使其成为黑客用于进行网络攻击的全球僵尸网络的一部分。ZeroAccess 如今正在积极使用中。

TDSS
2008 年,TDSS Rootkit 被首次检测到。它与 Bootloader Rootkit 类似,因为它在操作系统的早期阶段加载和运行,使得检测和删除成为挑战。

如何检测 Rootkit

在计算机上检测 Rootkit 的存在可能很困难,因为这种恶意软件明确设计为保持隐藏。Rootkit 还可以禁用安全软件,这使得任务更加困难。因此,Rootkit 恶意软件可能会在您的计算机上长时间保留,从而造成重大损害。

Rootkit 恶意软件的可能迹象包括:

1. 蓝屏
大量的 Windows 错误消息或带有白色文本的蓝屏(有时称为”蓝屏死机”),而您的计算机不断需要重新启动。

2. 异常网络浏览器行为
这可能包括无法识别的书签或链接重定向。

3. 设备性能缓慢
您的设备可能需要一段时间才能启动并执行缓慢或经常死机。它还可能无法响应来自鼠标或键盘的输入。

4. Windows 设置未经许可更改
示例可能包括您的屏幕保护程序更改,任务栏隐藏本身,或显示不正确的日期和时间,而您没有更改任何东西。

5. 网页运行不正常
由于网络流量过多,网页或网络活动出现间歇性或无法正常运行。

Rootkit 扫描是检测 Rootkit 感染的最佳方式,您的防病毒解决方案可以启动它。如果您怀疑有 Rootkit 病毒,检测感染的一种方法是关机并从已知的干净系统执行扫描。

行为分析是 Rootkit 检测的另一种方法。这意味着不是寻找 Rootkit,而是寻找类似 Rootkit 的行为。如果您知道系统的行为很奇怪,那么有针对性的扫描效果很好,行为分析可能会在您意识到自己受到攻击之前提醒您 Rootkit。

如何清除 Rootkit?

删除 Rootkit 是一个复杂的过程,通常需要专门的工具,例如Kaspersky 的 TDSSKiller 实用程序,它可以检测并删除 TDSS Rootkit。有时,完全消除隐藏良好的 Rootkit 的唯一方法是擦除计算机的操作系统并从头开始重建。

如何从Windows 中移除 Rootkit
在 Windows 上,移除通常涉及运行扫描。如果有深度感染,移除 Rootkit 的唯一方法是重新安装 Windows。最好通过外部媒体设备执行此操作,而不是使用内置的 Windows 安装程序。一些 Rootkit 会感染 BIOS,这将需要修复才能修好。如果在修复后仍有 Rootkit,则可能需要一台新电脑。

如何从 Mac 中移除 Rootkit
在 Mac 上,保持最新版本。Mac 更新不只是添加新功能,它们还可以删除恶意软件,包括 Rootkit。Apple 具有内置的安全功能,可以防止恶意软件。但是,macOS 上没有已知的 Rootkit 检测程序,因此如果您怀疑设备上有 Rootkit,则应该重新安装 macOS。这样做会删除计算机上的大多数应用和 Rootkit。如上所述,如果 Rootkit 已感染 BIOS,则需要修复才能修好;如果 Rootkit 仍然存在,则可能需要购买新设备。

如何防止 Rootkit

由于 Rootkit 可能很危险且难以检测,因此在浏览互联网或下载程序时保持警惕非常重要。您为避免计算机病毒而采取的许多相同保护措施也有助于最大限度地降低 Rootkit 的风险:

1. 使用全面的网络安全解决方案
主动保护您的设备,安装全面、先进的防病毒解决方案。卡巴斯基全方位安全软件提供全面的网络威胁防护,还允许您运行 Rootkit 扫描。

2. 了解最新动态
持续的软件更新对于保持安全和防止黑客感染您的恶意软件至关重要。使所有程序和操作系统保持最新状态,以避免利用漏洞的 Rootkit 攻击。

3. 警惕网络钓鱼诈骗
网络钓鱼是一种社会工程攻击,骗子使用电子邮件欺骗用户向它们提供财务信息或下载恶意软件(如 Rootkit)。为了防止 Rootkit 渗透进您的计算机,请避免打开可疑电子邮件,特别是如果发件人不熟悉。如果您不确定某个链接是否可信,不要点击它。

4. 仅从受信任的来源下载文件
打开附件时要小心,避免打开来自不认识的人的附件,以防止 Rootkit 安装在您的计算机上。仅从信誉良好的网站下载软件。当您的网络浏览器告诉您尝试访问的网站不安全时,不要忽略它的警告。

5. 警惕您的计算机的行为或性能
行为问题可能表明有 Rootkit 正在运行。保持警惕任何意外更改,并试图找出为什么会发生这些情况。

Rootkit 是查找和删除最具挑战性的恶意软件类型之一。因为它们很难被发现,预防往往是最好的防御。为确保持续保护,请持续了解最新的网络安全威胁。

Copyright © XiakeShu.com 版权所有 | 备案号:浙ICP备11004787号-12