一、定义
Rootkit是一种恶意软件,旨在让黑客访问和控制目标设备。虽然大多数Rootkit 会影响软件和操作系统,但有些还会感染计算机的硬件和固件。Rootkit善于隐藏自己,担当它们保持隐藏时,其实处于活跃状态。
一旦未经授权获得对计算机的访问权限,Rootkit就使犯罪分子可以窃取个人数据和财务信息,安装恶意软件或将计算机用作僵尸网络的一部分,以散步垃圾邮件和参与DDoS攻击。
名称“Rootkit”源自Unix和Linux操作系统,其中权限最高的账户管理员被称为“root”。允许未经授权的root或管理员级别访问设备的应用程序被称为“工具包”。
二、什么是Rootkit
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。
黑客通过多种方式在目标计算机上安装 Rootkit:
1)最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。
2)另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
3)恶意软件还可以与其它文件捆绑在一起,例如受感染的 PDF、盗版媒体或从可疑的第三方商店获得的应用。
Rootkit 在操作系统的内核附近或内核内运行,这使它们能够向计算机发起命令。任何使用操作系统的东西都是 Rootkit 的潜在目标 —— 随着物联网的扩展,它可能包括冰箱或恒温器等物品。
Rootkit 可以隐藏键盘记录器,在未经您同意的情况下捕获您的击键。这使得网络犯罪分子很容易窃取您的个人信息,例如信用卡或网上银行详细信息。Rootkit 可让黑客使用您的计算机发起 DDoS 攻击或发送垃圾邮件。它们甚至可以禁用或删除安全软件。
一些 Rootkit 用于合法目的 —— 例如,提供远程 IT 支持或协助执法。大多数情况下,它们用于恶意目的。Rootkit 如此危险的原因是它们可以提供各种形式的恶意软件,它们可以操纵计算机的操作系统并为远程用户提供管理员访问权限。
三、Rootkit类型
1、硬件或固件Rootkit
硬件或固件 Rootkit 可以影响您的硬盘驱动器、路由器或系统的 BIOS,这是安装在计算机主板上的小内存芯片上的软件。它们不是针对您的操作系统,而是针对您的设备的固件安装难以检测的恶意软件。因为它们会影响硬件,所以可让黑客记录您的击键以及监控在线活动。虽然与其它类型相比不太常见,但硬件或固件 Rootkit 是对在线安全的严重威胁。
2、Bootloader Rootkit
Bootloader 机制负责在计算机上加载操作系统。Bootloader Rootkit 可攻击此系统,用被破解的 Bootloader 替换您计算机的合法 Bootloader。这甚至可以在计算机的操作系统完全加载之前激活 Rootkit。
3、内存Rootkit
内存 Rootkit 隐藏在计算机的随机存取内存 (RAM) 中,使用计算机的资源在后台执行恶意活动。内存 Rootkit 会影响计算机的 RAM 性能。因为它们只存在于计算机的 RAM 中,不会注入永久代码,所以一旦重新启动系统,内存 Rootkit 就会消失 —— 尽管有时需要进一步的工作才能摆脱它们。它们的寿命短意味着它们往往不会被视为重大威胁。
4、应用程序Rootkit
应用程序 Rootkit 将计算机中的标准文件替换为 Rootkit 文件,甚至可能改变标准应用程序的工作方式。这些 Rootkit 会感染 Microsoft Office、Notepad 或 Paint 等程序。每次运行这些程序时,攻击者都可以访问您的计算机。由于受感染的程序仍然正常运行,Rootkit 检测对于用户来说很困难 —— 但防病毒程序可以检测到它们,因为它们都在应用程序层上运行。
5、内核模式Rootkit
内核模式 Rootkit 是这种威胁最严重的类型之一,因为它们针对操作系统的核心(即内核级别)。黑客使用它们不仅可以访问计算机上的文件,还可以通过添加自己的代码来更改操作系统的功能。
6、虚拟Rootkit
虚拟 Rootkit 会在计算机的操作系统下自行加载。然后,它将目标操作系统托管为虚拟机,从而允许它拦截原始操作系统进行的硬件调用。这种类型的 Rootkit 不必修改内核来颠复操作系统,可能非常难检测。
如图所示,有四个层次的保护环(称为保护环)定义了CPU执行程序时程序的权限。放在较高环上的程序不能膨胀较低环上的应用程序。环0给予操作系统内核,环1给予硬件驱动程序,环2给予具有低级访问权限的程序。大多数第三方应用程序使用环3,因为它们不需要任何深层次权限。在环2中实施恶意软件意味着您可以控制所有用户应用程序; 在环1中几乎所有计算机操作都会发生。
四、常见Rootkit
1、Stuxnet
历史上最臭名昭著的 Rootkit 之一是 Stuxnet,这是一种在 2010 年发现的恶意计算机蠕虫,据信自 2005 年以来一直在开发中。Stuxnet 对伊朗的核计划造成了重大破坏。虽然这两个国家都不承认责任,但人们普遍认为这是美国和以色列在称为奥运会的合作努力中共同创造的网络武器。
2、Flame
2012 年,网络安全专家发现了 Flame,这是一种主要用于中东的网络间谍活动的 Rootkit。Flame(也称为Flamer、sKyWIper 和 Skywiper)可影响计算机的整个操作系统,使其能够监控流量、捕获屏幕截图和音频、并记录设备击键。Flame 背后的黑客没有被发现,但研究表明它们使用横跨三大洲的 80 台服务器访问受感染的计算机。
3、Necurs
2012 年,Necurs 作为 Rootkit 出现,据报道当年被在 83,000 起感染中检测到。Necurs 与东欧的精英网络犯罪分子有关,被认为由于其技术复杂性和演化能力而脱颖而出。
4、ZeroAccess
2011 年,网络安全专家发现了 ZeroAccess,这是一种内核模式 Rootkit,感染了全球超过 200 万台计算机。该 Rootkit 不直接影响受感染计算机的功能,而是在受感染计算机上下载并安装恶意软件,使其成为黑客用于进行网络攻击的全球僵尸网络的一部分。ZeroAccess 如今正在积极使用中。
5、TDSS
2008 年,TDSS Rootkit 被首次检测到。它与 Bootloader Rootkit 类似,因为它在操作系统的早期阶段加载和运行,使得检测和删除成为挑战
五、如何检测Rootkit
在计算机上检测 Rootkit 的存在可能很困难,因为这种恶意软件明确设计为保持隐藏。Rootkit 还可以禁用安全软件,这使得任务更加困难。因此,Rootkit 恶意软件可能会在您的计算机上长时间保留,从而造成重大损害。
Rootkit 恶意软件的可能迹象包括:
1)蓝屏
大量的Windows错误消息或带有白色文本的蓝屏(有时称为“蓝屏死机”),导致计算机不算需要重新启动。
2)异常网络浏览器行为
这可能包括无法识别的书签或链接重定向
3)设备性能缓慢
设备可能需要一段时间才能启动并执行缓慢或经常死机。它还可能无法响应来自鼠标或键盘的输入。
4)Windows设置未经许可更改
在没有更改任何东西的情况下,可能包括屏幕程序更改、任务栏隐藏本身、或显示不正确的日期和时间。
5)网页运行不正常
由于网络流量过多,网页或网络活动出现间歇性或无法正常运行。
Rootkit 扫描是检测 Rootkit 感染的最佳方式,您的防病毒解决方案可以启动它。如果您怀疑有 Rootkit 病毒,检测感染的一种方法是关机并从已知的干净系统执行扫描。
行为分析是 Rootkit 检测的另一种方法。这意味着不是寻找 Rootkit,而是寻找类似 Rootkit 的行为。如果您知道系统的行为很奇怪,那么有针对性的扫描效果很好,行为分析可能会在您意识到自己受到攻击之前提醒您 Rootkit。