在2005年��,專業(yè)反病毒研究中心監(jiān)測發(fā)現����,一項名為Rootkit的技術已經開始被病毒利用�����。從眾多電腦用戶發(fā)送的感染此類病毒的求助信件以及電話來看�,Rootkit類病毒已經成為困擾電腦用戶的新難題。目前大部分的BOT類蠕蟲病毒都采用了Rootkit技術���。位居2005年十大病毒之二的“灰鴿子”變種病毒就采用了Rookit技術��。
Rootkit已經成為眾多惡意軟件的藏身工具�����,在其掩護下惡意軟件可輕易逃脫反病毒及反間諜軟件的監(jiān)控���。mcaffe公司預測��,到2008年����,上述情況將大肆泛濫���,形成前所未有的安全風險��。 McAfee表示���,在2006年初的監(jiān)控中發(fā)現,與2005年同期相比�,蠕蟲、木馬程序及間諜軟件中的Rootkit工具數量激增��,使用頻率增長了600%�����。
Rootkit真面目
Rootkit最早出現可追溯到1986年,當時是指一些可以以管理員身份登錄的Unix應用工具�����,與惡意軟件并沒有什么瓜葛�。
現在����,Rootkit指的是惡意代碼作者用來隱藏他們的代碼不被發(fā)現的工具,它通過監(jiān)聽系統的功能�、用合法的數值取代返回的數據。Rootkit類病毒通過隱藏自身進程(有時甚至連添加的注冊表鍵值也隱藏起來)�,以增加電腦用戶的識別難度并逃避殺毒軟件的查殺。
Rootkit可以被用于各種犯罪�����,如安裝可用于黑客遠程訪問的后門��,或使機器被用于發(fā)動向其他系統攻擊的跳板��。Rootkit還可以發(fā)現尋找它們的安全工具�����,并躲避檢測。傳統的惡意軟件試圖造成盡可能大的破壞����,而Rootkit被用于攻擊焦點目標,例如銀行�。
安全專家說:“借助Rootkit的掩護,未來的惡意軟件將更難對付����,對商業(yè)用戶及消費者造成更大的威脅。”防病毒軟件通常會發(fā)現木馬的存在�,但問題是不能徹底清除它。因為Rootkit本身包含一些經過隱藏的代碼��,有時候��,Rootkit惡意代碼清除之后�,有可能導致PC無法工作。
沒有靈丹妙藥
對付Rootkit的最好辦法是首先防止感染��。除了維護傳統的安全防線(包括防火墻����、防病毒軟件和補丁)外��,專家們還建議鎖定桌面系統來控制軟件的安裝和操作系統的改動。
Winternals Software公司首席軟件設計師Mark Russinovich是著名Rootkit檢測工具RootkitRevealer的開發(fā)者�,但他承認這種工具并不是包治百病的靈丹妙藥。他認為����,如果用戶懷疑中了Rootkit��,“他們應當運行可以得到的各種Rootkit檢測程序���。”
專家們說����,在很多Rootkit檢測工具問世的同時����,Rootkit詭秘的行蹤使發(fā)現和根除它成為一項艱巨的工作。例如定制的Rootkit�,這類Rootkit具有獨特特征,采用已知Rootkit特征(如HackerDefender)進行檢測的工具發(fā)現不了這些特征�����。
CERT(計算機安全應急響應組)曾公布過清除Rootkit方法的清單���,包括備份數據���,清除硬盤上所有內容��,重新安裝操作系統����。最近��,Microsoft官員在InfoSec安全大會上認可“清除并重新安裝”是一種解決此問題的辦法�����,引起會場一片嘩然�。嘗試過清除Rootkit的用戶說,雖然比較麻煩�����,但重新安裝仍是性價比最高的補救措施�����。
Russinovich認為����,用戶需要做的事情就是部署目前可供使用的最新工具來盡量保持機器的清潔����。
Rootkit發(fā)展趨勢
趨勢一 Rootkit不僅僅通過木馬的形式進行傳播�,還可以通過惡意軟件的形式傳播
在過去的三年里,惡意軟件�����、商業(yè)應用的盜竊技術的增長率已經達到6倍多����。盜竊技術突然增長歸因于類似www.的站點�����,這些站點上有數以百萬條Rootkit代碼�。這些代碼加上二進制執(zhí)行代碼,就可以生成惡意軟件�����。幾個被觀察的Rootkit���,比如AFXRootkit���、FURootkit�、He4HOO和KWS-Progent��,可以從這些站點進行租用或修改��。更為糟糕的是�,許多博客通過在線形式教授一些通過編輯源代碼入侵病毒掃描引擎的技術。
趨勢二 Rootkit技術不斷發(fā)展
協作促進了新的和更加先進的盜竊技術的發(fā)展�。這種技術復雜程度的評估是基于一個軟件包里的組件數量。比如��,如果一個名為a.exe的Rootkit安裝了b.exe�����、c.dll���、d.sys����,而d.sys安裝了Rootkit的盜竊組件���,所有組件的數量就是4�����。已知Rootkit的復雜程度在2005年幾乎增長了200%��。在2005年第一季度���,僅僅有60個盜竊組件呈報給有關機構�,而2006年第一季度�,卻有612個組件上報,同比增長了近900%�����。
趨勢三 嵌入式Windows Rootkit成為主流
今天我們所看到的許多Rootkit活動都是針對Windows平臺的�����。在2001年���,有71%的Rootkit活動是針對Windows的,而針對Linux的幾乎沒有��。當針對Linux的Rootkit幾乎不存在時,基于Windows的Rootkit將成為未來的主流��。
趨勢四 在合法和非法的軟件中都發(fā)現Rootkit攻擊
五花八門的盜竊技術幾乎能夠把他們傳播到每個已知的惡意軟件中����。根據McAfee AVERT的研究,盜竊技術的攻擊形式已經覆蓋各種軟件分發(fā)形式���,許多著名的Rootkit證明了這一點����。BackDoor-BAC通過垃圾郵件��、木馬下載和直接爆發(fā)進行分發(fā)�����;HackerDefender通常通過垃圾郵件��、BOT�、直接爆發(fā)和P2P的方式進行分發(fā);還有一些Rootkit通過群發(fā)郵件蠕蟲進行下載��,并創(chuàng)建復雜的混合攻擊。
Rootkit變種
根據這種惡意軟件能否在重新引導后繼續(xù)存活���,以及是在用戶模式下還是在內核模式下執(zhí)行����,Rootkit被分為幾類��。這幾種類型的Rootkit見下表
|
Rootkit
|
特征
|
|
永久型
|
每次系統引導時被激活���。這種Rootkit必須將代碼保存在注冊表或文件系統中����,并配置一種代碼無須用戶干預就可執(zhí)行的方式��。
|
|
基于內存型
|
沒有永久的代碼��,因此在重新引導后不能存活����。
|
|
用戶模式
|
截獲對API的調用��,修改返回的結果���。例如�,當應用執(zhí)行目錄列表時,返回的結果不包括標識與Rootkit相關的文件條目��。
|
|
內核模式
|
不僅能截獲內核模式下的本機API��,而且還可以通過從內核活動進程列表中刪除進程來隱藏惡意軟件�����。
|
