Rootkits最早是一组用于UNIX操作系统的工具集,
黑客使用它们隐藏入侵活 动的痕迹,它能在操作系统中隐藏恶意程序。这些程序在植入系统后,rootkits 会将它们 隐藏起来,它能隐藏任何恶意程序过程、文件夹、注册码。
工具简介
在Windows操作系统上也已经出现了大量的Rootkits工具及使用
Rootkits技术编写的软件。这些Rootkits像就像一层铠甲,将自身及指定的文件
保护起来,使其它软件无法发现、修改或删除这些文件。
打个比喻,带有Rootkits的
流氓软件和病毒就像练就了“金钟罩”、“铁布
衫”,不除这种保护伞,各种
杀毒软件都无法对其进行彻底清除。
定义
Rootkits是linux/unix获取
root权限之后使得攻击者可以隐藏自己的踪迹和保留root访问权限的神器,通常攻击者使用 rootkit的检查系统查看是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息,通过rootkit的嗅探器还可以获得其他系统的用户和密码!
技术简介
Rootkits通常分为:应用级别---内核级别----硬件级别,早期的是rootkit主要为应用级rootkit通过替换login、ps、ls、netstat等系统工具或修改.rhosts等系统配置文件等实现隐藏后门,硬件级RootKits主要是指Bios Rootkits,能够在系统加载前获得控制权,通过向磁盘中写入文件,再由引导程序加载该文件重新获得控制权也可以采用虚拟机技术,使整个操作系统运行在rootkit掌握之中,常见的rootkit是内核级rootkit,通过直接修改内核来添加隐藏代码实现控制系统的功能。
第一种Rootkits技术
通常通过释放动态链接库(DLL)文件,并将它们注入到其它软件及
系统进程中运行,通过HOOK方式对消息进行拦截,阻止Windows及应用程序对被保护的文件进行访问。
第二种Rootkits技术
较为复杂,其通过在Windows启动时加载Rootkits驱动程序,获取对Windows的控制权。当程序(Windows及
杀毒软件等)通过系统API及NTAPI访问文件系统时进行监视,一但发现程序访问被Rootkits保护的文件时返回一个虚假的结果,从而达到隐藏或锁定文件的目的。
处理办法
进程注入式
进程注入式Rootkits较好处理,通过使用
杀毒软件的开机扫描(又名Startup Scan、 BootScan)功能都可以轻松清除。
驱动级
驱动级的Rootkits,由于其加载的优先级别较高,现阶段还没有一个较好的解决办法。大多数
杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀,清除失败的现象。
危害
一种新的特洛伊
木马病毒的隐蔽技术是如此的高明,以至于一些安全研究人员称,他们与
恶意代码作者的新一轮大战即将开始。
据
赛门铁克和F-Secure公司在最近的分析中表示,分别被它们称之为“Rustock”和“mailbot”的这种新的
恶意代码采用了rootkit技术躲避来自安全软件的检测。据
赛门铁克公司的安全响应工程师伊利亚于上月末在其博客中写道:它可能会被认为是新一代rootkits技术的诞生。Rustock.A将老技术和新创意集一体,其隐藏技术足以能够躲过许多常用的检测技术。
其它看法
Rootkits技术被认为是一种新的威胁
Rootkits技术被认为是一种新的威胁,它们常常使系统改变隐藏软件,可能是恶意软件。据
赛门铁克公司表示,在Rustock(mailbot)中,Rootkit技术常被用于隐藏一种在被感染的系统上开一个后门的特洛伊木马病毒。据McAfee公司的病毒研究经理克莱格表示,在与安全软件厂商的周旋中,这种最新的Rootkit技术的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。据他表示,安全厂商们正在努力将电脑
黑客挡在自己的后面,然而,这些电脑黑客们也掌握了安全公司的技术。许多技术被综合用来强化这一
恶意代码,而
黑客在隐蔽自己方面做得相当好。伊利亚也写道:多种隐蔽技术的综合运用能够使Rustock在“被感染的计算机上几乎不留下任何蛛丝马迹”。
为了躲避检测,Rustock的运行没有使用
系统进程,而是在
驱动程序和
内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件,而且也没有使用API。据伊利亚表示,检测工具会查找
系统进程、隐藏的文件以及对API的调用。伊利亚还在其博客中写道:Rustock还躲过了rootkit检测工具对一些
内核结构和隐藏的驱动程序。这个rootkit使用的SYS
驱动程序具有多态形,代码也会经常变化。
然而,据一些专家表示,人们受到这一rootkit及其特洛伊木马病毒攻击的机率还是非常低的。据克莱格表示,人们在博客中讨论它的原因并非是它已经相当普及了,而是因为它给现有rootkit检测工具带来了一定的挑战。F-Secure公司已经对其能够检测到当前恶意版本的BlackLight rootkit检测工具进行了更新。
赛门铁克和McAfee公司仍然在开发检测并从计算机上删除这种最新rootkit的工具
最为简单实用的应用级别Rootkit是通过将添加过提权代码的命令替换系统中原始的命令来实现功能的,并且一般提供清理工具删除wtmp、utmp、lastlog等日志文件中自己的行踪,并且复杂点的rootkit还可以向攻击者提供telnel、shell和finger等服务