- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補(bǔ)償
Rootkit的基礎(chǔ)知識(shí)和防御方法 |
| 發(fā)布時(shí)間: 2012/7/4 14:12:47 |
|
好多人有一個(gè)誤解,他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問權(quán)限的工具。實(shí)際上,rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常,攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限,或者首先密碼猜測(cè)或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問權(quán)限。進(jìn)入系統(tǒng)后,如果他還沒有獲得root權(quán)限,再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著,攻擊者會(huì)在侵入的主機(jī)中安裝rootkit,然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關(guān)信息。通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后,攻擊者就會(huì)利用這些信息侵入其它的系統(tǒng)。 一 全面認(rèn)識(shí)rootkit: Rootkit出現(xiàn)于二十世紀(jì)90年代初,在1994年2月的一篇安全咨詢報(bào)告中首先使用了rootkit這個(gè)名詞。這篇安全咨詢就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時(shí)間是1997年9月19日。從出現(xiàn)至今,rootkit的技術(shù)發(fā)展非常迅速,應(yīng)用越來越廣泛,檢測(cè)難度也越來越大。 rootkit介紹Rootkit是一種奇特的程序,它具有隱身功能:無論靜止時(shí)(作為文件存在),還是活動(dòng)時(shí),(作為進(jìn)程存在),都不會(huì)被察覺。換句話說,這種程序可能一直存在于我們的計(jì)算機(jī)中,但我們卻渾然不知,這一功能正是許多人夢(mèng)寐以求的——不論是計(jì)算機(jī)黑客,還是計(jì)算機(jī)取證人員。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息,或等待時(shí)機(jī),伺機(jī)而動(dòng);取證人員也可以利用Rootkit實(shí)時(shí)監(jiān)控嫌疑人員的不法行為,它不僅能搜集證據(jù),還有利于及時(shí)采取行動(dòng)。 二 了解Rootkit的攻擊原理: 要了解Rootkit的攻擊原理,就必須從系統(tǒng)原理說起,我們知道,操作系統(tǒng)是由內(nèi)核(Kernel)和外殼(Shell)兩部分組成的,內(nèi)核負(fù)責(zé)一切實(shí)際的工作,包括CPU任務(wù)調(diào)度、內(nèi)存分配管理、設(shè)備管理、文件操作等,外殼是基于內(nèi)核提供的交互功能而存在的界面,它負(fù)責(zé)指令傳遞和解釋。由于內(nèi)核和外殼負(fù)責(zé)的任務(wù)不同,它們的處理環(huán)境也不同,因此處理器提供了多個(gè)不同的處理環(huán)境,把它們稱為運(yùn)行級(jí)別(Ring),Ring讓程序指令能訪問的計(jì)算機(jī)資源依次逐級(jí)遞減,目的在于保護(hù)計(jì)算機(jī)遭受意外損害——內(nèi)核運(yùn)行于Ring 0級(jí)別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有Ring 3級(jí)別,這個(gè)級(jí)別能操作的功能極少,幾乎所有指令都需要傳遞給內(nèi)核來決定能否執(zhí)行,一旦發(fā)現(xiàn)有可能對(duì)系統(tǒng)造成破壞的指令傳遞(例如超越指定范圍的內(nèi)存讀寫),內(nèi)核便返回一個(gè)“非法越權(quán)”標(biāo)志,發(fā)送這個(gè)指令的程序就有可能被終止運(yùn)行,這就是大部分常見的“非法操作”的由來,這樣做的目的是為了保護(hù)計(jì)算機(jī)免遭破壞,如果外殼和內(nèi)核的運(yùn)行級(jí)別一樣,用戶一個(gè)不經(jīng)意的點(diǎn)擊都有可能破壞整個(gè)系統(tǒng)。 由于Ring的存在,除了由系統(tǒng)內(nèi)核加載的程序以外,由外殼調(diào)用執(zhí)行的一般程序都只能運(yùn)行在Ring 3級(jí)別,也就是說,它們的操作指令全部依賴于內(nèi)核授權(quán)的功能,一般的進(jìn)程查看工具和殺毒軟件也不例外,由于這層機(jī)制的存在,我們能看到的進(jìn)程其實(shí)是內(nèi)核 “看到”并通過相關(guān)接口指令(還記得API嗎?)反饋到應(yīng)用程序的,這樣就不可避免的存在一條數(shù)據(jù)通道,雖然在一般情況下它是難以被篡改的,但是不能避免意外的發(fā)生,Rootkit正是“制造”這種意外的程序。簡(jiǎn)單的說,Rootkit實(shí)質(zhì)是一種“越權(quán)執(zhí)行”的應(yīng)用程序,它設(shè)法讓自己達(dá)到和內(nèi)核一樣的運(yùn)行級(jí)別,甚至進(jìn)入內(nèi)核空間,這樣它就擁有了和內(nèi)核一樣的訪問權(quán)限,因而可以對(duì)內(nèi)核指令進(jìn)行修改,最常見的是修改內(nèi)核枚舉進(jìn)程的API,讓它們返回的數(shù)據(jù)始終 “遺漏”Rootkit自身進(jìn)程的信息,一般的進(jìn)程工具自然就“看”不到Rootkit了。更高級(jí)的Rootkit還篡改更多API,這樣,用戶就看不到進(jìn)程(進(jìn)程API被攔截),看不到文件(文件讀寫API被攔截),看不到被打開的端口(網(wǎng)絡(luò)組件Sock API被攔截),更攔截不到相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包(網(wǎng)絡(luò)組件NDIS API被攔截)了,幸好網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)指示不受內(nèi)核控制,否則恐怕Rootkit要讓它也不會(huì)亮了才好!我們使用的系統(tǒng)是在內(nèi)核功能支持下運(yùn)作的,如果內(nèi)核變得不可信任了,依賴它運(yùn)行的程序還能信任嗎? 三 rootkit的未來發(fā)展趨勢(shì): 未來的rootkit的發(fā)展趨勢(shì)是與惡意軟件越多地結(jié)合,或者說將自己隱藏于惡意軟件之中。這種隱藏技術(shù)的最嚴(yán)重后果便是rootkit不但能夠輕易的將僵尸隱藏于系統(tǒng)的“視線”之外,還可以避開檢測(cè)rootkit的最后一道防線-網(wǎng)絡(luò)檢測(cè)。而多數(shù)公司需要開放著80號(hào)端口,因?yàn)槠涔蛦T需要使用互聯(lián)網(wǎng)。一些惡意用戶使用這個(gè)通道傳輸數(shù)據(jù)。作為網(wǎng)管員應(yīng)當(dāng)知道,這個(gè)端口主要用作進(jìn)入的而不是發(fā)出的通信,因?yàn)榫W(wǎng)管員應(yīng)當(dāng)依靠網(wǎng)關(guān)設(shè)備上的過濾器來掃描發(fā)出的HTTP數(shù)據(jù)通信。當(dāng)然,這需要好好調(diào)教你的過濾器。惡意的通信還可以借助可接受的發(fā)出數(shù)據(jù)通信來傳輸。例如,它可依附于發(fā)出的DNS數(shù)據(jù)包上。因此,建議管理員密切監(jiān)視三種通信,一是突發(fā)的通信,二是大文件通信,三是其它的異常通信。這三者可能表明有人正在遠(yuǎn)程執(zhí)行控制命令。 從傳統(tǒng)上講,檢測(cè)系統(tǒng)上的rootkit要比檢測(cè)隱藏于網(wǎng)絡(luò)通信中的rootkit困難得多,因?yàn)槎鄶?shù)rootkit要比反病毒軟件有更高的特權(quán)。 不過,我們應(yīng)當(dāng)注意這樣一個(gè)有趣的事實(shí):近來,Vmware公司用其新的VMsafe安全擴(kuò)展增加了對(duì)反病毒的支持,這樣就可以在虛擬機(jī)監(jiān)視程序的保護(hù)下運(yùn)行反病毒產(chǎn)品,其特權(quán)更高。 四 rootkit的檢查和防御: 檢查:特定rootkit的檢測(cè)工具,如RootkitRevealer可以找到內(nèi)核系統(tǒng)調(diào)用和直接磁盤檢查的差異,并可以據(jù)此檢測(cè)隱藏的文件、注冊(cè)表鍵值及其它屬性。例如,在Windows計(jì)算機(jī)上,可以查找任務(wù)管理器的進(jìn)程列表與內(nèi)部系統(tǒng)任務(wù)列表的差異。 不過,要注意,這些工具的運(yùn)行級(jí)別仍低于rootkit。運(yùn)行于用戶系統(tǒng)上的檢測(cè)程序需要?jiǎng)討B(tài)分析計(jì)算機(jī),看看計(jì)算機(jī)是否撒謊。但最佳的方法是從一個(gè)完全干凈的系統(tǒng)檢測(cè)當(dāng)前系統(tǒng)。或者用另外一個(gè)原來完全相同的系統(tǒng)對(duì)當(dāng)前系統(tǒng)進(jìn)行對(duì)比,找出其差異。 防御:rootkit要求深度防御,最新的內(nèi)核級(jí)rootkit,將多種類型的惡意代碼包裝在內(nèi),它可以跳轉(zhuǎn)到處理器,在BIOS檢測(cè)時(shí),再跳轉(zhuǎn)到系統(tǒng)內(nèi)核,在計(jì)算機(jī)被清除和恢復(fù)后也難于徹底根除。這種永久性rootkit已經(jīng)成為最危險(xiǎn)的rootkit,在兩星期以前的黑帽大會(huì)上有研究人員已經(jīng)清楚地演示了這一點(diǎn)。還有一種所謂的游戲僵尸,這種程序尤其喜歡多處理器,它可以運(yùn)行多個(gè)線程,又能平衡負(fù)載。其中有些僵尸可通過自動(dòng)的僵尸程序竊取虛擬幣或虛擬貨物,然后換賣真實(shí)的金錢。rootkit可以從多個(gè)方面來利用固件的漏洞,如可借助于啟動(dòng)加載程序、設(shè)備驅(qū)動(dòng)程序、閃速固件更新等。 很顯然,只有使你的網(wǎng)絡(luò)非常安全讓攻擊者無隙可乘,才能是自己的網(wǎng)絡(luò)免受rootkit的影響。不過,恐怕沒有人能夠提供這個(gè)保證,但是在日常的網(wǎng)絡(luò)管理維護(hù)中保持一些良好的習(xí)慣,能夠在一定程度上減小由rootkit造成的損失,并及時(shí)發(fā)現(xiàn)rootkit的存在。不要在網(wǎng)絡(luò)上使用明文傳輸密碼,或者使用一次性密碼。這樣,即使你的系統(tǒng)已經(jīng)被安裝了rootkit,攻擊者也無法通過網(wǎng)絡(luò)監(jiān)聽,獲得更多用戶名和密碼,從而避免入侵的蔓延。 防止rootkit 進(jìn)入您的系統(tǒng)是能夠使用的最佳辦法。為了實(shí)現(xiàn)這個(gè)目的,可以使用與防范所有攻擊計(jì)算機(jī)的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括:病毒掃描程序、定期更新軟件、在主機(jī)和網(wǎng)絡(luò)上安裝防火墻,以及強(qiáng)密碼策略等。 本文出自:億恩科技【www.ypdoo.com.cn】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號(hào)
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
