什么是 Rootkit

花折亦无情
413 阅读6分钟

携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第31天,点击查看活动详情

Rootkit

什么是 Rootkit

rootkit 是一种软件程序,通常是恶意的,它提供对计算机的特权根级别(即管理)访问,同时隐藏其在该计算机上的存在。简而言之,它是一种令人讨厌的恶意软件,可能会严重影响PC的性能,并使您的个人数据面临风险。

安装后,Rootkit 通常与计算机的操作系统同时启动,或者在启动过程开始后启动。但是,有些rootkit可以在目标操作系统之前启动,这使得它们很难检测到。

Rootkit 的潜在后果包括:

  1. 隐藏的恶意软件 - Rootkit允许攻击者在受感染的计算机上安装其他恶意软件。它们对用户和计算机上安装的任何防病毒软件隐藏恶意程序。
  2. 信息窃取 - 借助rootkit安装的恶意软件可用于窃取用户密码,信用卡信息或其他敏感数据,而不会被检测到。
  3. 文件删除 – Rootkit 可以删除系统上的操作系统代码或其他文件。
  4. 窃听 - 黑客可以使用rootkit窃听用户并拦截他们的个人信息。
  5. 文件执行 – 在颠覆系统上的反恶意软件后,rootkit 允许犯罪者远程执行目标计算机上的其他文件。
  6. 远程访问 – Rootkit 可以更改系统配置设置,例如在防火墙设置中打开后门 TCP 端口,或更改启动脚本。这授予攻击者远程访问权限,例如,允许他们在僵尸网络中使用计算机。

根基注入

您可以通过多种方式将 Rootkit 悄悄地安装在您的系统上。这些包括:

背负式

用户可以在不知不觉中安装与明显值得信赖的软件捆绑在一起的rootkit。当管理员授予安装软件的权限时,Rootkit 也会以静默方式安装在计算机上。

2005年,索尼秘密地将一个rootkit与其扩展复制保护软件捆绑在一起,该软件附带了数百万张索尼CD。Rootkit 修改了主机操作系统,并试图阻止用户制作 CD 的副本。但是,黑客能够利用索尼rootkit中的漏洞来恶意访问受影响的系统。

混合威胁

Rootkit 本身无法感染目标计算机。为了传播rootkit,攻击者形成混合威胁,以利用几个不同的漏洞并渗透到系统中。这是通过将 Rootkit 与另外两个组件(滴管和加载器)组合来实现的。

滴管 – 滴管是用于在目标计算机上安装 Rootkit 的程序或文件。Dropper可以通过多种方式分发,包括通过社会工程或暴力攻击,其中犯罪者使用程序反复猜测系统的root用户名和密码。

加载程序 – 加载程序是在用户通过打开或执行文件启动 dropper 程序后启动的恶意代码。加载程序利用漏洞来确保 Rootkit 与目标系统一起加载。例如,内核级 Rootkit 可能使用利用 Linux 漏洞的加载程序将操作系统代码替换为重写的可加载内核模块。

两阶段内核 Rootkit 注入的示例

两阶段内核 Rootkit 注入的示例

根基类型

可以在目标系统上安装多种类型的 Rootkit。一些示例包括:

  1. 用户模式或应用程序 Rootkit – 它们安装在共享库中,并在应用程序层运行,在那里它们可以修改应用程序和 API 行为。用户模式 Rootkit 相对容易检测,因为它们与防病毒程序在同一层运行。
  2. 内核模式 – 这些 Rootkit 在操作系统的内核模块中实现,它们可以控制所有系统进程。除了难以检测之外,内核模式 Rootkit 还会影响目标系统的稳定性。
  3. Bootkit – 这些 Rootkit 通过感染目标系统的主引导记录 (MBR)](en.wikipedia.org/wiki/Master…) 来控制目标系统。Bootkits 允许在目标操作系统加载之前执行恶意程序。
  4. 固件 Rootkit – 这些 Rootkit 可以访问运行设备的软件,例如路由器、网卡、硬盘驱动器或系统 BIOS。
  5. Rootkit 虚拟机管理程序 – 这些 Rootkit 利用硬件虚拟化功能来控制计算机。这是通过绕过内核并在虚拟机中运行目标操作系统来完成的。虚拟机管理程序几乎不可能被检测和清理,因为它们的运行级别高于操作系统,并且可以拦截目标操作系统发出的所有硬件调用。

反 rootkit 措施

保护您的系统免受rootkit的侵害是一个双管齐下的过程,涉及扫描现有恶意软件并防止安装新程序。

Rootkit 扫描程序

扫描程序是旨在解析系统以清除活动 Rootkit 的程序。

虽然扫描程序可以帮助检测和删除应用层 Rootkit,但它们通常对那些在内核、引导或固件级别运行的用户无效。可以在内核级别搜索恶意代码的扫描程序只能在 rootkit 处于非活动状态时运行。这意味着系统必须在安全模式下启动,系统进程停止才能有效。

正是由于这些限制,安全专家建议使用多个扫描程序和rootkit删除程序,因为没有单独的工具可以保证系统是完全干净的。

要完全保护您的系统免受在启动,固件或虚拟机管理程序级别运行的rootkit的影响,唯一的补救措施是备份数据,然后擦除设备并执行全新安装。

先发制人的阻止

Rootkit 预防基于这样一种想法,即 Rootkit 可以通过单个用户和面向 Web 的资产(即网站)传递到您的系统上。

第一个预防措施是对组织中的每个人进行用户教育。这应该包括有关如何检测恶意链接和电子邮件附件的说明,以及禁止从未知来源下载或打开文件的规则。

用户还应接受培训,以识别并避免网络钓鱼企图,其中恶意邮件,网站或文件秘密地似乎来自合法来源。这对于具有管理权限的用户尤其重要。

防止 Rootkit 的其他措施包括:

  1. 保持软件更新并修补应用程序和操作系统中的已知漏洞。
  2. 在敏感计算机上运行防病毒软件,偶尔运行反 Rootkit 工具。
  3. 基于行为的检测,用于分析系统行为以发现 API 调用或 CPU 使用率的可疑模式,这可能表示 Rootkit。
  4. 仔细检查来自数据包分析器、防火墙或其他网络工具的网络日志,以识别与远程控制中心通信的 Rootkit。
avatar
文章
阅读
粉丝