這本書是瞭解 Rootkits 必讀的聖經:
Rootkits: Subverting the Windows Kernel
Rootkit 的定義:
A rootkit is a tool that is designed to hide itself and other processes、 data and/or activity on a system。
引用於此: The definition of a rootkit
維基百科上的解釋:
A rootkit is a set of software tools intended to conceal running processes, files or system data from the operating system。Rootkits have their origin in benign applications, but in recent years have been used increasingly by malware to help intruders maintain access to systems while avoiding detection。
引用於此:Rootkit
什麼是 Rootkit:
Rootkit 由來已久,它源自於UNIX電腦系統,原本是一組指令,是一種可以獲得電腦系統root存取權限的軟體工具組(kit),因此稱為rootkit(也可以 稱為root kit);root是UNIX系統權限最高的帳號,也就是系統管理者帳號的名稱(因此為了安全起見,管理者應該要會關閉root帳號,另外建立權限相當的 帳號)。
通常只有攻擊者者才會想要獲得電腦系統的root存取權限,因此rootkit還有另一個重要的特性,就是必須想盡一切辦法隱 匿攻擊者的所有行為,不能被發現已經被植入或正在執行rootkit;因為只要被發現,管理者當然就會想盡辦法要移除rootkit,攻擊者就無法遂行目 的。
rootkit沒有病毒或蠕蟲的傳染(也就是自我複製並傳播)特性,而是攻擊者伺機將rootkit程式偷偷的裝進目標系統並暗中 啟動rootkit程式,因此攻擊者會採用任何可以達成這種攻擊目的的手法,例如利用開啟的通訊埠等系統弱點,或者暴力破解密碼、甚至利用木馬程式將 rootkit程式挾帶進入系統。
rootkit都被歸類在惡意軟體(malicious software,malware)的範疇,原因之一,是攻擊者會合併使用rootkit和其他惡意軟體,例如結合後門程式,就可以在目標系統留下後門,以便後續還能控制目標系統,或者竊取目標系統裡的資料。
rootkit 程式會用盡所有的技術或技巧來隱藏自己和所挾帶的惡意軟體,讓使用者不知道也找不到電腦裡的rootkit程式,而這往往也使得rootkit很難被移 除,因此如果電腦被植入rootkit,大多建議清除並重新安裝系統,因為敵暗我明,很難確定是不是已經將所有的rootkit程式檔案都清除乾淨,而且 系統檔案也可能已經遭到rootkit修改。
雖然源自於UNIX系統,但是包括Windows在內的電腦系統也已漸漸出現數種 rootkit,因此現在的rootkit也不必然得是指令,只要能獲得、執行系統高權限使用者帳號,而且不被發現的軟體工具組,或沿用相同概念而撰寫的 程式,都稱為rootkit。尤其近期的rootkit,都特別著重在隱身的技巧,而已經有越來越多的間諜軟體、病毒、蠕蟲、後門等惡意軟體,也開始加入 rootkit的隱身功能。
Rootkit 最有名的案例:
唱 片業者Sony BMG的音樂光碟防拷功能竟然採用了rootkit技術;Windows系統專家Mark Russinovich在無意中發現自己購買的Sony BMG音樂光碟卻隱藏著rootkit,同時也發現Sony BMG所使用的這項技術也可能遭到其他惡意軟體利用。Sony BMG的作法在美國引發了相當的爭議,也因此讓更多人知道或注意到rootkit所可能帶來的資安威脅。
資安業者F-Secure在近日提出警告,指出Sony採用類似rootkit技術,其MicroVault USB隨身碟驅動程式會在Windows內建立隱藏檔案,可能被駭客用來藏匿惡意程式。F-Secure安全研究人員Mika Tolvanen在部落格中 指出,當使用者買了Sony的MicroVault USB隨身碟後,該隨身碟提供指紋辨識功能,並含在驅動程式中,一旦使用者安裝了該驅動程式,就會在視窗中建立一個隱藏目錄及檔案,假設駭客知道該檔名, 就能透過Command Prompt進入該目錄,並建立一個新的隱藏檔,而且可以執行其中的檔案。
Rootkits 列表:
--------------------------------------------------------------------
Anti-Rootkits 工具整裡包:
針對 Linux 環境:
針對 Windows 環境:
偵測用免費工具:
Windows Sysinternals RootkitRevealer
System Virginity Verifier (SVV)
防毒軟體廠商的免費工具:
中國大陸的免費工具:
其他族繁不及備載的工具:
Rootkit Detection & Removal Software
--------------------------------------------------------------------
相關網站:
Windows rootkits of 2005, part one
Windows rootkits of 2005, part two
Windows rootkits of 2005, part three
The Benchmark of Anti-rootkit Software?
0 意見: