Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。
發(fā)展沿革
在懸念迭起的中外諜戰(zhàn)片里,對戰(zhàn)雙方中的一派勢力通常會派遣特工人員潛伏到對手陣營中。這名臥底人員良好的偽裝使得對手對此長時間毫無察覺;為了能夠長期潛伏他不貿(mào)然采取高風(fēng)險行為以免過早暴露自己;他贏得敵人的信任并因此身居要職,這使得他能夠源源不斷地獲取重要情報并利用其獨特渠道傳送回去。
從某種意義上說這位不速之客就是Rootkit——持久并毫無察覺地駐留在目標計算機中,對系統(tǒng)進行操縱、并通過隱秘渠道收集數(shù)據(jù)的程序。Rootkit的三要素就是:隱藏、操縱、收集數(shù)據(jù)。
“Rootkit”中root術(shù)語來自于unix領(lǐng)域。由于unix主機系統(tǒng)管理員賬號為root賬號,該賬號擁有最小的安全限制,完全控制主機并擁有了管理員權(quán)限被稱為“root”了這臺電腦。然而能夠“root”一臺主機并不意味著能持續(xù)地控制它,因為管理員完全可能發(fā)現(xiàn)了主機遭受入侵并采取清理措施。因此Rootkit的初始含義就在于“能維持root權(quán)限的一套工具”。
Rootkit是什么
簡單地說,Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過加載特殊的驅(qū)動,修改系統(tǒng)內(nèi)核,進而達到隱藏信息的目的。
NSA安全和入侵檢測術(shù)語字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對rootkit的定義如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.
rootkit并不一定是用作獲得系統(tǒng)root訪問權(quán)限的工具。實際上,rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權(quán)限,或者首先密碼猜測或者密碼強制破譯的方式獲得系統(tǒng)的訪問權(quán)限。進入系統(tǒng)后,如果他還沒有獲得root權(quán)限,再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著,攻擊者會在侵入的主機中安裝rootkit,然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關(guān)信息。通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后,攻擊者就會利用這些信息侵入其它的系統(tǒng)。
最早Rootkit用于善意用途,但后來Rootkit也被駭客用在入侵和攻擊他人的電腦系統(tǒng)上,電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數(shù)的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統(tǒng)都有機會成為Rootkit的受害目標。
Rootkit出現(xiàn)于二十世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了rootkit這個名詞。這篇安全資訊就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時間是1997年9月19日。從出現(xiàn)至今,rootkit的技術(shù)發(fā)展非常迅速,應(yīng)用越來越廣泛,檢測難度也越來越大。
主要功能
典型特征及危害
rootkit介紹Rootkit是一種奇特的程序,它具有隱身功能:無論靜止時(作為文件存在),還是活動時,(作為進程存在),都不會被察覺。換句話說,這種程序可能一直存在于我們的計算機中,但我們卻渾然不知,這一功能正是許多人夢寐以求的——不論是計算機黑客,還是計算機取證人員。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息,或等待時機,伺機而動;取證人員也可以利用Rootkit實時監(jiān)控嫌疑人員的不法行為,它不僅能搜集證據(jù),還有利于及時采取行動!
Rootkit的目的在于隱藏自己以及不被其他軟件發(fā)現(xiàn)。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。Rootkit幾乎可以隱藏任何軟件,包括文件服務(wù)器、鍵盤記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在您的計算機上保存許多文件,而您無法看到這些文件。
Rootkit攻擊方式多針對類似敏感數(shù)據(jù)剽竊這樣的環(huán)節(jié),那么某企業(yè)或政府組織“中央服務(wù)器”一類設(shè)備自然是植入Rootkit的首選目標,可這樣的主機設(shè)備往往防護嚴密,不能輕易得手。我們知道數(shù)據(jù)并不是靜止地存放在服務(wù)器中,它往往在機構(gòu)的網(wǎng)絡(luò)中流動。機構(gòu)中級別較高的人員常會擁有對這些設(shè)備數(shù)據(jù)的讀寫權(quán)限,但他們所擁有的個人電腦的防護級別卻通常比中央服務(wù)器要低,這就會給剽竊數(shù)據(jù)的黑客以可趁之機——將Rootkit程序植入相關(guān)人員的個人電腦,并默默的安家,不時地傳回重要數(shù)據(jù)。
原理
針對SunOS和Linux兩種操作系統(tǒng)的rootkit最多。所有的rootkit基本上都是由幾個獨立的程序組成的,一個典型rootkit包括:
1以太網(wǎng)嗅探器程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。
2特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。
3隱藏攻擊者的目錄和進程的程序,例如:ps、netstat、rshd和ls等。
4可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。
一些復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。
還包括一些用來清理/var/log和/var/adm目錄中其它文件的一些腳本。
攻擊者使用rootkit中的相關(guān)程序替代系統(tǒng)原來的ps、ls、netstat和df等程序,使系統(tǒng)管理員無法通過這些工具發(fā)現(xiàn)自己的蹤跡。接著使用日志清理工具清理系統(tǒng)日志,消除自己的蹤跡。然后,攻擊者會經(jīng)常地通過安裝的后門進入系統(tǒng)查看嗅探器的日志,以發(fā)起其它的攻擊。如果攻擊者能夠正確地安裝rootkit并合理地清理了日志文件,系統(tǒng)管理員就會很難察覺系統(tǒng)已經(jīng)被侵入,直到某一天其它系統(tǒng)的管理員和他聯(lián)系或者嗅探器的日志把磁盤全部填滿,他才會察覺已經(jīng)大禍臨頭了。但是,大多數(shù)攻擊者在清理系統(tǒng)日志時不是非常小心或者干脆把系統(tǒng)日志全部刪除了事,警覺的系統(tǒng)管理員可以根據(jù)這些異常情況判斷出系統(tǒng)被侵入。不過,在系統(tǒng)恢復(fù)和清理過程中,大多數(shù)常用的命令例如ps、df和ls已經(jīng)不可信了。許多rootkit中有一個叫做FIX的程序,在安裝rootkit之前,攻擊者可以首先使用這個程序做一個系統(tǒng)二進制代碼的快照,然后再安裝替代程序。FIX能夠根據(jù)原來的程序偽造替代程序的三個時間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠準確地使用這些優(yōu)秀的應(yīng)用程序,并且在安裝rootkit時行為謹慎,就會讓系統(tǒng)管理員很難發(fā)現(xiàn)。
操作指南
如何發(fā)現(xiàn)rootkit及其應(yīng)對措施
很顯然,只有使你的網(wǎng)絡(luò)非常安全讓攻擊者無隙可乘,才能是自己的網(wǎng)絡(luò)免受rootkit的影響。
Rootkit本身不會像病毒或蠕蟲那樣影響計算機的運行。攻擊者可以找出目標系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括:開放的網(wǎng)絡(luò)端口、未打補丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪問權(quán)限之后,攻擊者便可手動安裝一個Rootkit。這種類型的偷偷摸摸的攻擊通常不會觸發(fā)自動執(zhí)行的網(wǎng)絡(luò)安全控制功能,例如入侵檢測系統(tǒng)。
找出Rootkit十分困難。有一些軟件包可以檢測Rootkit。這些軟件包可劃分為以下兩類:基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數(shù)病毒掃描程序,會檢查二進制文件是否為已知的 Rootkit。基于行為的檢查程序試圖通過查找一些代表Rootkit主要行為的隱藏元素來找出Rootkit。一個流行的基于行為的Rootkit檢查程序是Rootkit Revealer.
在發(fā)現(xiàn)系統(tǒng)中存在Rootkit之后,能夠采取的補救措施也較為有限。由于Rootkit可以將自身隱藏起來,所以您可能無法知道它們已經(jīng)在系統(tǒng)中存在了多長的時間。而且您也不知道Rootkit已經(jīng)對哪些信息造成了損害。對于找出的 Rootkit,最好的應(yīng)對方法便是擦除并重新安裝系統(tǒng)。雖然這種手段很嚴厲,但是這是得到證明的唯一可以徹底刪除 Rootkit的方法。
防止Rootkit進入您的系統(tǒng)是能夠使用的最佳辦法。為了實現(xiàn)這個目的,可以使用與防范所有攻擊計算機的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括:病毒掃描程序、定期更新軟件、在主機和網(wǎng)絡(luò)上安裝防火墻,以及強密碼策略等。
參考資料 >