什么是rootkit ? Rootkit基本是由幾個獨立程序組成,一個典型rootkit包括: 以太網(wǎng)嗅探器程程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。 特洛伊木馬程序,為攻擊者提供后門。 隱藏攻擊者目錄和進程的程序。還包括一些日志清理工具,攻擊者用其刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。 復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。還包括一些用來清理/var/log和/var/adm目錄中其它文件的腳本。 最近最讓IT管理員頭痛的是什么呢?——毫無疑問是rootkit。這種可惡的程序是一批工具集,黑客用它來掩飾對計算機網(wǎng)絡(luò)的入侵并獲得管理員訪問權(quán)限。一旦黑客獲得管理員訪問權(quán)限,就會利用已知的漏洞或者破解密碼來安裝rootkit。然后rootkit會收集網(wǎng)絡(luò)上的用戶ID和密碼,這樣黑客就具有高級訪問權(quán)限了。 rootkit還有監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)和按鍵的功能;為黑客在系統(tǒng)上開“后門”;修改日志文件;攻擊網(wǎng)絡(luò)上的其他計算機;修改系統(tǒng)上已有的工具防止被檢測出來。 那么如何發(fā)現(xiàn)rootkit呢?看看三位Windows安全專家對用戶的rootkit問題提供了什么解決方案吧。 用戶的問題: 我是一家大型非營利機構(gòu)的IT管理員。由于我們?nèi)狈Y金和人手,我們的許多用戶需要用管理員訪問權(quán)限來完成工作。最近,越來越多的用戶抱怨他們的管理員應(yīng)用程序崩潰了。他們的一些管理軟件不再工作,例如,一些系統(tǒng)上的抗病毒軟件神秘的失效了。有的在試圖使用應(yīng)用程序時藍屏死機,有的計算機莫名其妙地重啟或發(fā)送錯誤信息。用普通的間諜軟件和特洛伊木馬掃描工具沒有發(fā)現(xiàn)任何問題。是什么在搗鬼?我們需要重裝所有出現(xiàn)問題的計算機嗎?
===========================================================
專家教你清除rootkit:診斷 Kurt Dillard:缺少細(xì)節(jié),但是,有一些關(guān)鍵的信息。以前一直很可靠的各種計算機系統(tǒng)頻繁出現(xiàn)操作系統(tǒng)崩潰的問題意味著受到感染的計算機中的某些東西被改變了。另一個重要的線索是殺毒軟件自動關(guān)閉自己。最后一個線索是,標(biāo)準(zhǔn)的安全工具不能發(fā)現(xiàn)任何惡意軟件表明如果這些計算機中有新的軟件,這種軟件正在偷偷地運行。這種文件隱藏起來了看不到,但是,仍在運行。如果惟一奇怪的事情是數(shù)不清的系統(tǒng)崩潰,我會懷疑操作系統(tǒng)最新使用的補丁、設(shè)備驅(qū)動程序或者一個安全應(yīng)用程序有問題。這些癥候結(jié)合在一起暗示某些惡意的東西在起作用。然而,它也許不是一個rootkit。你必須要做額外的研究以便發(fā)現(xiàn)正在發(fā)生的是什么。 Lawrence Abrams:當(dāng)你的計算機開始出現(xiàn)異常情況時,我想到的第一件事情就是你的計算機被間諜軟件、病毒、特洛伊木馬、蠕蟲或者其它形式的惡意軟件感染了。如果在你使用殺毒軟件和/或者反間諜軟件進行掃描之后繼續(xù)存在這個問題,那么,這個時候就該使用某些工具進行深入的分析了。需要檢查的是計算機的啟動程序,看看是否存在當(dāng)前殺毒軟件定義中沒有的新的惡意軟件。某些檢測故障的軟件程序是: HijackThis:這是一種通用的主頁劫持者檢測和清除工具,能夠連續(xù)不斷地更新。 WinPFind:這個工具軟件可以掃描硬盤中的普通位置,查找與已知的惡意軟件使用的方式相匹配的文件。 Silent Runners:這個軟件工具檢查Windows是如何啟動的并且創(chuàng)建一個文本文件以便進行研究或者作為一個基準(zhǔn)儲存起來。如果沒有檢測到任何東西,設(shè)法用安全模式運行這個程序和你的殺毒/反間諜軟件。很多與蠕蟲一起發(fā)布的普通的rootkit在安全模式不能夠運行。因此,故障排查軟件在安全模式下可以看到這些惡意軟件。 如果在安全模式下發(fā)現(xiàn)新的記錄和文件,計算機很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下運行同一個工具軟件之后仍沒有發(fā)現(xiàn)任何可疑的現(xiàn)象,但是這個惡意軟件的行為繼續(xù)存在,你可以推測你正在應(yīng)付一個更高級的rootkit。 Kevin Beaver:考慮到安裝的應(yīng)用程序的奇怪行為,你很可能正在對付某種類型的惡意軟件,最有可能是rootkit或者以遠程接入特洛伊木馬。這些惡意軟件能夠讓黑客從外部偷偷進入沒有保護措施的計算機。了解這個事情的惟一方法是運行能夠掃描或者監(jiān)視異常行為和rootkit的存在的其它掃描軟件。這種工具可以是Sana安全公司的“Primary Response”,或者Finjan軟件公司的各種解決方案以及Sysinternals公司的“RootkitRevealer”。 我還建議同時運行至少二種或者三種反間諜軟件工具。也許還會有一些工具軟件你沒有用到。除了Spybot--Search & Destroy等常用的解決方案和Lavasoft Ad-Aware安全軟件之外還有一些工具。我很幸運地使用了冠群國際的PestPatrol和微軟的AntiSpyware等工具軟件。監(jiān)視老系統(tǒng)活動的另外兩個工具是監(jiān)視和封鎖出站通訊的個人防火墻(不是Windows防火墻)以及能夠監(jiān)視可疑的系統(tǒng)進出的網(wǎng)絡(luò)通信的網(wǎng)絡(luò)分析器。當(dāng)然,只有你的系統(tǒng)連接到網(wǎng)絡(luò)的時候后一種選擇才是可用的。
============================================================
專家教你清除rootkit:立即行動 Kurt Dillard:首先,將受影響的系統(tǒng)從網(wǎng)絡(luò)斷開是一個好主意。接下來,你需要決定你愿意投入多少時間。你愿意收集可能用來提出犯罪指控的證據(jù)嗎?收集證據(jù)非常耗費時間,而且你必須要認(rèn)真遵循適當(dāng)?shù)淖C據(jù)收集程序來做。你要確定這個事件的根源以便采取具體措施堵住被利用的任何安全漏洞嗎?這也需要耗費很多時間。或者像我們大多數(shù)人一樣,你沒有那樣多的時間,只是想盡快擺脫故障使系統(tǒng)恢復(fù)正常?無論你選擇什么辦法,我都希望你在事件發(fā)生之間制定一個具體的事件反應(yīng)計劃。如果你沒有這個計劃,你要確定寫出一個適合你的機構(gòu)的業(yè)務(wù)需求的書面計劃。 收集能夠用于法庭上的信息系統(tǒng)的證據(jù)需要嚴(yán)格的程序,把發(fā)生的一切事情都存檔保存并且保護原始的數(shù)據(jù)。我建議,你應(yīng)該在事件發(fā)生之前與你們機構(gòu)的法律代表和一些業(yè)內(nèi)專家合作制定一個計劃。你要使用逐個字節(jié)拷貝的工具等軟件(也就是Guidance軟件公司的EnCase、AccessData公司的FTK Imager或者X-Ways軟件技術(shù)公司的WinHex等工具軟件),在安全的地方存儲受到影響的系統(tǒng),對這些工具軟件創(chuàng)建的數(shù)據(jù)做適于法庭使用的整理工作。 找出發(fā)生問題的細(xì)節(jié)可能需要很多時間。但是,這項工作是令人著迷和有教育意義的。有一些rootkit檢測工具: ·RootkitRevealer(成名的和令人尊敬的安全專家Mark Russinovich和Bryce Cogswell制作的) ·Blacklight(知名安全軟件廠商F-Secure公司制作的) ·Klister(卑鄙的內(nèi)核模式rootkitFU的作者制作的--你自己需要決定是否讓你的網(wǎng)絡(luò)信賴這個程序員) 這些工具都有自己獨特的功能和缺陷。我喜歡使用RootkitRevealer。但是,惡意軟件作者不斷地更新他們的工具以便避開最新的檢測應(yīng)用程序,因此,我最喜歡的工具也許也不能檢測出所有的惡意軟件。你也許需要手工執(zhí)行微軟研究院2004年發(fā)布的工具軟件“Strider GhostBuster”的白皮書中解釋的那些程序。簡言之,你要在系統(tǒng)啟動的時候拍下系統(tǒng)的快照,收集每個硬盤的目錄列表等信息。然后,你使用替代的操作系統(tǒng)啟動計算機,用你在干凈的操作系統(tǒng)中所看到的東西與被攻破的操作系統(tǒng)中的東西進行比較。 如果你沒有時間了,在使受到影響的計算機系統(tǒng)脫離網(wǎng)絡(luò)之后,你可以直接進入恢復(fù)階段。 Lawrence Abrams:如果你發(fā)現(xiàn)的rootkit看起來像是與各種惡意軟件捆綁在一起的普通的rootkit,那么,斷開這臺計算機的網(wǎng)絡(luò)連接作為你的第一個措施應(yīng)該是足夠的。這將阻止其傳播以及可能下載和安裝更多的惡意軟件。 另一方面,如果你確定那就是目標(biāo)rootkit,是一個人專門攻破這臺計算機并且安裝的rootkit,那么,你應(yīng)該按照你們的機構(gòu)對付入侵的政策去做。遺憾的是,大多數(shù)公司對于這類事件沒有政策。如果你可能采取法律行動的話,最低限度你要立即制作一個可在法院使用的硬盤的鏡像,把原始的計算機保存起來以便在法庭上當(dāng)作證據(jù)。如果你不打算采取法律行動,你就可以直接進入恢復(fù)階段。 Kevin Beaver:我首先的建議是斷開計算機的網(wǎng)絡(luò)連接,不過,這只能在你能夠承受這種損失的情況下才可以這樣做(也就是說,如果這樣做不影響主要的業(yè)務(wù)經(jīng)營的話)。這樣做有助于阻止任何惡意軟件傳播或者影響其它的網(wǎng)絡(luò)計算機。第二,安裝/運行我在診斷階段提到的應(yīng)用程序。你可能需要運行這些程序來監(jiān)視系統(tǒng)的行動。然而,一旦系統(tǒng)受到感染,檢測程序要發(fā)現(xiàn)異常或者正常的行為都是很困難的,如果不是不可能的話。這主要取決于具體的工具的工作情況。
===========================================================
專家教你清除rootkit:恢復(fù)系統(tǒng) Kurt Dillard:遺憾的是“用核打擊讓站點進入軌道”是最有力的恢復(fù)方法。一旦黑客攻破了你的計算機,你永遠不會確定你發(fā)現(xiàn)并清除了每個一被修改的地方。 如果你擁有最新的備份,按下列步驟執(zhí)行: 1.把硬盤從被感染的計算機中拆下來安裝到另一臺干凈的計算機中。 2.從干凈的系統(tǒng)備份數(shù)據(jù)。 3.刪除受影響的計算機的操作系統(tǒng),并且使用已知的良好的介質(zhì)重新為受影響的計算機安裝操作系統(tǒng)。 4.采取在預(yù)防措施階段中介紹的步驟盡最大努力保證系統(tǒng)的安全。 5.把數(shù)據(jù)恢復(fù)到重建的計算機中。 6.使用最新的殺毒軟件和反間諜軟件全面掃描恢復(fù)的數(shù)據(jù)。 7.不要存儲任何可執(zhí)行文件。最佳方法是故意刪除二進制、腳本、ActiveX控件等任何可執(zhí)行文件。 Lawrence Abrams:從rootkit的影響中恢復(fù)過來是很棘手的。如果rootkit是通過普通的沒有針對性的惡意軟件安裝的,清除這種侵犯你的計算機的惡意軟件應(yīng)該比恢復(fù)你的計算機還要困難。 另一方面,如果你對付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit,那么,那就是黑客故意把這些rootkit安裝到目標(biāo)計算機中的。記住這個問題,你絕對想不到這些rootkit在你的計算機中安裝了什么或者修改了什么。黑客也許會通過注冊表修改安全設(shè)置,用黑客版本的文件替換你系統(tǒng)中的重要文件,或者以其它方式控制受害者的計算機或者網(wǎng)絡(luò)。在這種情況下,我總是建議備份數(shù)據(jù)和重新安裝操作系統(tǒng)。在你把數(shù)據(jù)復(fù)制到新安裝的計算機之前,掃描一下數(shù)據(jù),檢查是否被感染。 如果重新安裝計算機不是一種選擇,你可以使用rootkit檢測程序查找屬于rootkit的文件。這類工具軟件包括Blacklight、RootkitRevealer和Flister等。由于這些文件在rootkit程序之外很可能看不到,你可以使用可啟動的Linux發(fā)布版軟件如KNOPPIX、啟動盤或者通過一個網(wǎng)絡(luò)共享(不建議這樣做)清除那些文件。 最后,如果你有資源重新安裝計算機,那可能是你最佳的選擇。 Kevin Beaver:如果你沒有檢測到任何rootkit,但是,異常的行為繼續(xù)出現(xiàn),你的最佳和最安全的選擇是重新格式化和重新安裝系統(tǒng)。在進行這種操作之前,你要確保備份一切必要的文件。由于目前大多數(shù)惡意軟件(特別是rootkit)不感染二進制或者文本文件,這樣做是很安全的。惡意軟件主要感染可執(zhí)行文件和操作系統(tǒng)以及應(yīng)用程序使用的支持庫文件。如果你能夠清潔系統(tǒng)(如果發(fā)現(xiàn)了rootkit就很難做到),你需要經(jīng)常掃描系統(tǒng)并且監(jiān)視其它的可疑行為。再說一次,一定要使用我在診斷階段所提到的那些工具。
============================================================
專家教你清除rootkit:預(yù)防措施 Kurt Dillard: 你可以采取很多應(yīng)對措施。下面是最有效的五個措施: 1.避免使用具有管理員權(quán)限的賬戶登錄。你可以使用Windows內(nèi)置的工具RunAs或者MakeMeAdmin等工具軟件做到這一點。 2.運行一個為你的整個網(wǎng)絡(luò)設(shè)置的防火墻以及分配給每個端口的防火墻軟件,如Windows防火墻(包括Windows XP SP2)。 3.保持你的Windows和其它軟件都是用最新的補丁和服務(wù)包。如果你只有少量的系統(tǒng),你可以使用“Automatic Updates”(自動更新)等工具。如果你有很多系統(tǒng),你可以使用Windows服務(wù)器更新服務(wù)。 4.使用擁有最新簽名庫的流行的殺毒軟件。要了解更多的殺毒軟件廠商,請參閱微軟殺毒合作伙伴網(wǎng)頁。 5.使用最新的間諜軟件保護工具,如微軟的Windows反間諜軟件。 要了解更多的有關(guān)減小受到這種惡意軟件攻擊的風(fēng)險的想法,可以參考我最近發(fā)表的技術(shù)指南。 Lawrence Abrams:安全方面最重要的步驟是盡一切努力阻止用戶使用管理員的權(quán)限登錄網(wǎng)絡(luò)。可以理解的是,使用當(dāng)前的Windows結(jié)構(gòu),這不可能總做到。當(dāng)惡意軟件感染一臺計算機的時候,這個惡意軟件將以登錄用戶同樣的安全級別運行。因此,如果用戶具有管理員權(quán)限,這個惡意軟件也將擁有管理員權(quán)限。這種權(quán)限就給予惡意軟件全面訪問你的計算機的權(quán)利。 使用阻止其它惡意軟件的最佳做法同樣可以防止rootkit(無論是有針對性的蠕蟲攜帶的還是病毒式的蠕蟲攜帶的)。 1.使用防火墻封鎖經(jīng)常被黑客攻破的Windows TCP端口,如20、21、23、80、135、139、443和445端口。通過從源頭封鎖這些端口,你首先會減少被黑客攻破的風(fēng)險。最佳的做法的是封鎖每一個端口,僅把一個端口映射到一臺需要打開端口的機器上。最近的蠕蟲利用的程序中的安全漏洞就是使用這些端口。如果一臺計算機需要使用上述端口,防火墻應(yīng)該確定哪一臺計算機可以通過這個端口遠程接入這臺計算機,而不是把端口完全敞開。 2.而且,每一臺計算機都應(yīng)該一直擁有最新的安全更新,并且運行每一天都更新的殺毒軟件。病毒軟件的新的定義是經(jīng)常發(fā)布的,擁有這些最新的定義是非常重要的。 3.除了殺毒軟件之外,你至少還需要兩種反間諜軟件工具,如在計算機上安裝Spybot-Search and Destroy、Webroot軟件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具軟件。使用最新的更新每天或者每個星期掃描一次能夠自動發(fā)揮最新的病毒定義的優(yōu)勢。 4.最后一條,但是不是最不重要的一條。要教育用戶采取良好的做法。用戶應(yīng)該知道不要點擊互聯(lián)網(wǎng)廣告、陌生人從即時消息中發(fā)來的鏈接或者陌生人發(fā)來的電子郵件的附件。如果一個新的蠕蟲開始傳播,IT工作人員應(yīng)該立即發(fā)出電子郵件通知所有的用戶,解釋這種附件、配置或者措詞。 擁有可隨時使用的防火墻、反惡意軟件工具、最新的安全更新和為用戶提供的良好的互聯(lián)網(wǎng)指南,你應(yīng)該能夠避免受到這些類型的惡意軟件的感染。 Kevin Beaver: 只要計算機是由人類操作的或者是連接到網(wǎng)絡(luò)的,就沒有辦法絕對保證安全。然而,你可以安裝反間諜軟件、rootkit檢測工具和監(jiān)視異常情況的軟件來保證系統(tǒng)的安全。最理想的是,如果你受到過一次攻擊并且不想再次受到這種攻擊,你最好安裝上述的全部三類安全軟件。此外,這句話也許是老生常談,但是還是要強調(diào)一下。你要確保你嚴(yán)格執(zhí)行所有的操作系統(tǒng)和應(yīng)用程序都使用最新的安全補丁的規(guī)定。 (完)
