Rootkit可以說是最新的安全威脅之一。任何聽說過它的人都知道它臭名昭著:無法刪除,在一臺計算機內(nèi)部存在數(shù)年而不被發(fā)現(xiàn),而且可通過操作系統(tǒng)發(fā)動攻擊。
Rootkits:隱藏的安全威脅
什么是Rootkit呢?根據(jù)www.whatis.com的觀點,一個Rootkit就是一個允許以管理員身份訪問計算機或計算機網(wǎng)絡(luò)的工具的集合(a Rootkit is “a collection oftools that enable administrator-level access to a computeror a computer network.”)。根據(jù)安全專家Greg HogLund的觀點,Rootkit是一個設(shè)計出來在一個系統(tǒng)中隱藏自身和/或其它過程數(shù)據(jù)/活動的工具。雖然名聲不好,Rootkit實際上卻可以擁有十分重要的應(yīng)用,如管理許可證或隱藏一些管理員不想讓其他人看見的文件等。Rootkit的問題在于那些隱藏一些東西并為遠(yuǎn)程用戶提供訪問服務(wù)的程序,它們可被濫用引起各種安全問題。如今Rootkit可被用來危及計算機的安全,因此計算機用戶必須清楚這些Rootkit。Rootkit基本上可作為間諜軟件、特洛伊木馬、釣魚軟件和其它有害程序的一個基礎(chǔ)平臺。關(guān)于Rootkit的好話我們就不多說了,先重點談?wù)凴ootkit被用來犯罪的工具問題。
計算機犯罪的理想工具
因為眾所周知的經(jīng)濟方面上的原因,近年來Rootkit已經(jīng)成為一個日益嚴(yán)重的問題。Rootkit的力量在于它允許遠(yuǎn)程用戶控制受害人的系統(tǒng)。一旦它在你的系統(tǒng)上制造或發(fā)現(xiàn)一個后門,就可以收集各種各樣的個人信息,如信用卡號等。
Rootkit常被用來利用間諜軟件和鍵盤記錄程序進行犯罪活動。Rootkit還可以作為蠕蟲和病毒的快速啟動的跳板。實際上,一些蠕蟲就包含Rootkit,這些Rootkit安裝在被感染蠕蟲的計算機上,從而通過網(wǎng)絡(luò)進一步擴散。Rootkit的最大危險在于它們可以給遠(yuǎn)程用戶一種能夠?qū)ο到y(tǒng)實施“外殼訪問”(shell access)的權(quán)限,也就是說黑客可以完全地控制目標(biāo)系統(tǒng)。如此一來,Rootkit就可以擁有一種幾乎無限的破壞潛力。
Rootkit陰險地潛入
Rootkit可存在于內(nèi)核、庫、和應(yīng)用程序的層次上。內(nèi)核級的Rootkit特別危險,是人們注意的中心,因為它們十分地難于檢測。Rootkit的一個真正狡猾的特點就是:有一些類型的Rootkit可以將其自身與操作系統(tǒng)緊密地綁定,實際上,幾乎不可能檢測它們。其結(jié)果是,Rootkit可以以這種方式取代操作系統(tǒng),如此一來,用戶就不能相信操作系統(tǒng)傳給用戶的信息。
傳統(tǒng)的反間諜軟件和反病毒程序在這種情況下是無能為力的,因為它們依靠操作系統(tǒng)自身來尋求狀態(tài)信息,而操作系統(tǒng)卻已被控制。雖然一些Rootkit實際上相當(dāng)陰險,不過,事實上許多Rootkit可通過關(guān)機,然后從另一個干凈的磁盤重新啟動來檢測到。畢竟一個非活動的Rootkit是無法隱藏自己的。
感染了Rootkit怎么辦?
有一種觀點認(rèn)為,在感染之前(或者沒有被安裝Rootkit)),只需備份系統(tǒng),然后重新格式化磁盤再恢復(fù)系統(tǒng)是個好辦法。無可否認(rèn),這是針對此問題的一個極端的方法。現(xiàn)在有多種免費的或開源的Rootkit檢測工具來解決問題,不過這并非是真正的安全之道。用戶應(yīng)謹(jǐn)慎地選擇這種軟件。特別是免費的Rootkit檢測工具并不能像商業(yè)軟件那樣及時更新,而此Rootkit的發(fā)展步伐又是如此之快,因此我們還要尋求其它的方法。
因為Rootkit經(jīng)常被用作間諜軟件的平臺,配置最好的可以解決Rootkit問題的商業(yè)軟件或硬件廠商通常是那些有著豐富的間諜軟件檢測和清除經(jīng)驗的公司。一個Rootkit的檢測和清除程序使用多維向量來確認(rèn)問題。這種程序還應(yīng)該有最新的被確認(rèn)的Rootkit的列表,從而確保那些新出現(xiàn)的Rootkit不會成為漏網(wǎng)之魚。這也就是用戶及時更新其簽名文件的重要原因。
記住下面一點也是很重要的:并非所有的Rootkit都是惡意的。用戶并不想要一個Rootkit檢測程序只是檢測那些它所能夠發(fā)現(xiàn)的惡意的Rootkit。一個良好的Rootkit檢測程序還應(yīng)該分辨善意和惡意的Rootkit,并能讓管理員禁用或啟用這些Rootkit程序。
檢測和清除Rootkit的策略
從一定意義上講,Rootkit是難于清除的,特別是對于那些處于操作系統(tǒng)級的Rootkit來說。不過,這又依賴于Rootkit的執(zhí)行、實施方法。用戶可以在操作系統(tǒng)內(nèi)核級上安裝工具軟件,也可以在用戶模式水平上放置一些工具。總的來說,Rootkit的目的地是對用戶隱藏信息、過程和文件,因此無論是檢測還是清除都是相當(dāng)困難的、復(fù)雜的。一般說來,刪除比檢測更難于實施,因為你要確保操作系統(tǒng)在清除Rootkit后還能正常工作。當(dāng)今的大多數(shù)Rootkit都是可以從系統(tǒng)中安全地清除的,但今后一、兩年內(nèi),清除Rootkit可能會是一個相當(dāng)重大的挑戰(zhàn)。
那么檢測和清除Rootkit的最困難的方面是什么呢?我們說過,Rootkit就是來隱藏信息的。這樣你就再也不能真正的相信操作系統(tǒng)本身。一旦你的機器感染了惡意的Rootkit,那么操作系統(tǒng)所告訴你的任何東西都不再是真正可信的信息。因此,從操作系統(tǒng)中清除一個Rootkit的首要一步就是引入能夠理解操作系統(tǒng)最低級信息的技術(shù)。例如,磁盤如何被格式化。因此對操作系統(tǒng)之下的技術(shù)所掌握的能力能夠使你確認(rèn)任何可認(rèn)為是Rootkit的蛛絲馬跡。換句話說,對一個操作系統(tǒng)的更高深的知識和能力是非常關(guān)鍵的。
科學(xué)的檢測技術(shù)應(yīng)位于操作系統(tǒng)之下,我們可以將操作系統(tǒng)在機器上所看到的與檢測軟件在操作系統(tǒng)最低層上所看到的相比較。如果二者匹配,操作系統(tǒng)極有可能是干凈的、安全的,但如果二者有差異,那你就應(yīng)該好好看一下了,因為這有可能是一個潛在的Rootkit感染的跡象。
用戶可以采取以下幾方面的步驟來減少總體的暴露程度和被Rootkit感染的風(fēng)險:
1.通過盡快地確保計算機打上最新的補丁來保證系統(tǒng)的健康,特別是如果你采用微軟的操作系統(tǒng)的話。不過,這條忠告適用于任何其它的操作系統(tǒng)或應(yīng)用程序。
2.建議用戶以非超級用戶的身份登錄。說來容易做來難。不過,事實是:如果你減少登錄用戶的權(quán)限,你就是在大大地減少被Rootkit感染的風(fēng)險。
3.總是同時地、及時地更新你的反間諜軟件和反病毒軟件。
筆者還要建議此文的閱讀者:一定要小心所謂的免費下載!一些所謂的免費下載并不是真得免費。因為你是要付出代價的。很多所謂的“免費”下載可能會包含惡意軟件或Rootkit,用戶完全應(yīng)該采取預(yù)防措施以防止這種事情的發(fā)生。盡量從可信任的站點下載,因為它們可為用戶提供一定的安全保障,但并非絕對。
