什么是rootkit ? Rootkit基本是由幾個(gè)獨(dú)立程序組成,一個(gè)典型rootkit包括: 以太網(wǎng)嗅探器程程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。 特洛伊木馬程序,為攻擊者提供后門(mén)。 隱藏攻擊者目錄和進(jìn)程的程序。還包括一些日志清理工具,攻擊者用其刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。 復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。還包括一些用來(lái)清理/var/log和/var/adm目錄中其它文件的腳本。 最近最讓IT管理員頭痛的是什么呢?——毫無(wú)疑問(wèn)是rootkit。這種可惡的程序是一批工具集,黑客用它來(lái)掩飾對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵并獲得管理員訪問(wèn)權(quán)限。一旦黑客獲得管理員訪問(wèn)權(quán)限,就會(huì)利用已知的漏洞或者破解密碼來(lái)安裝rootkit。然后rootkit會(huì)收集網(wǎng)絡(luò)上的用戶ID和密碼,這樣黑客就具有高級(jí)訪問(wèn)權(quán)限了。 rootkit還有監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)和按鍵的功能;為黑客在系統(tǒng)上開(kāi)“后門(mén)”;修改日志文件;攻擊網(wǎng)絡(luò)上的其他計(jì)算機(jī);修改系統(tǒng)上已有的工具防止被檢測(cè)出來(lái)。 那么如何發(fā)現(xiàn)rootkit呢?看看三位Windows安全專家對(duì)用戶的rootkit問(wèn)題提供了什么解決方案吧。 用戶的問(wèn)題: 我是一家大型非營(yíng)利機(jī)構(gòu)的IT管理員。由于我們?nèi)狈Y金和人手,我們的許多用戶需要用管理員訪問(wèn)權(quán)限來(lái)完成工作。最近,越來(lái)越多的用戶抱怨他們的管理員應(yīng)用程序崩潰了。他們的一些管理軟件不再工作,例如,一些系統(tǒng)上的抗病毒軟件神秘的失效了。有的在試圖使用應(yīng)用程序時(shí)藍(lán)屏死機(jī),有的計(jì)算機(jī)莫名其妙地重啟或發(fā)送錯(cuò)誤信息。用普通的間諜軟件和特洛伊木馬掃描工具沒(méi)有發(fā)現(xiàn)任何問(wèn)題。是什么在搗鬼?我們需要重裝所有出現(xiàn)問(wèn)題的計(jì)算機(jī)嗎?
===========================================================
專家教你清除rootkit:診斷 Kurt Dillard:缺少細(xì)節(jié),但是,有一些關(guān)鍵的信息。以前一直很可靠的各種計(jì)算機(jī)系統(tǒng)頻繁出現(xiàn)操作系統(tǒng)崩潰的問(wèn)題意味著受到感染的計(jì)算機(jī)中的某些東西被改變了。另一個(gè)重要的線索是殺毒軟件自動(dòng)關(guān)閉自己。最后一個(gè)線索是,標(biāo)準(zhǔn)的安全工具不能發(fā)現(xiàn)任何惡意軟件表明如果這些計(jì)算機(jī)中有新的軟件,這種軟件正在偷偷地運(yùn)行。這種文件隱藏起來(lái)了看不到,但是,仍在運(yùn)行。如果惟一奇怪的事情是數(shù)不清的系統(tǒng)崩潰,我會(huì)懷疑操作系統(tǒng)最新使用的補(bǔ)丁、設(shè)備驅(qū)動(dòng)程序或者一個(gè)安全應(yīng)用程序有問(wèn)題。這些癥候結(jié)合在一起暗示某些惡意的東西在起作用。然而,它也許不是一個(gè)rootkit。你必須要做額外的研究以便發(fā)現(xiàn)正在發(fā)生的是什么。 Lawrence Abrams:當(dāng)你的計(jì)算機(jī)開(kāi)始出現(xiàn)異常情況時(shí),我想到的第一件事情就是你的計(jì)算機(jī)被間諜軟件、病毒、特洛伊木馬、蠕蟲(chóng)或者其它形式的惡意軟件感染了。如果在你使用殺毒軟件和/或者反間諜軟件進(jìn)行掃描之后繼續(xù)存在這個(gè)問(wèn)題,那么,這個(gè)時(shí)候就該使用某些工具進(jìn)行深入的分析了。需要檢查的是計(jì)算機(jī)的啟動(dòng)程序,看看是否存在當(dāng)前殺毒軟件定義中沒(méi)有的新的惡意軟件。某些檢測(cè)故障的軟件程序是: HijackThis:這是一種通用的主頁(yè)劫持者檢測(cè)和清除工具,能夠連續(xù)不斷地更新。 WinPFind:這個(gè)工具軟件可以掃描硬盤(pán)中的普通位置,查找與已知的惡意軟件使用的方式相匹配的文件。 Silent Runners:這個(gè)軟件工具檢查Windows是如何啟動(dòng)的并且創(chuàng)建一個(gè)文本文件以便進(jìn)行研究或者作為一個(gè)基準(zhǔn)儲(chǔ)存起來(lái)。如果沒(méi)有檢測(cè)到任何東西,設(shè)法用安全模式運(yùn)行這個(gè)程序和你的殺毒/反間諜軟件。很多與蠕蟲(chóng)一起發(fā)布的普通的rootkit在安全模式不能夠運(yùn)行。因此,故障排查軟件在安全模式下可以看到這些惡意軟件。 如果在安全模式下發(fā)現(xiàn)新的記錄和文件,計(jì)算機(jī)很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下運(yùn)行同一個(gè)工具軟件之后仍沒(méi)有發(fā)現(xiàn)任何可疑的現(xiàn)象,但是這個(gè)惡意軟件的行為繼續(xù)存在,你可以推測(cè)你正在應(yīng)付一個(gè)更高級(jí)的rootkit。 Kevin Beaver:考慮到安裝的應(yīng)用程序的奇怪行為,你很可能正在對(duì)付某種類型的惡意軟件,最有可能是rootkit或者以遠(yuǎn)程接入特洛伊木馬。這些惡意軟件能夠讓黑客從外部偷偷進(jìn)入沒(méi)有保護(hù)措施的計(jì)算機(jī)。了解這個(gè)事情的惟一方法是運(yùn)行能夠掃描或者監(jiān)視異常行為和rootkit的存在的其它掃描軟件。這種工具可以是Sana安全公司的“Primary Response”,或者Finjan軟件公司的各種解決方案以及Sysinternals公司的“RootkitRevealer”。 我還建議同時(shí)運(yùn)行至少二種或者三種反間諜軟件工具。也許還會(huì)有一些工具軟件你沒(méi)有用到。除了Spybot--Search & Destroy等常用的解決方案和Lavasoft Ad-Aware安全軟件之外還有一些工具。我很幸運(yùn)地使用了冠群國(guó)際的PestPatrol和微軟的AntiSpyware等工具軟件。監(jiān)視老系統(tǒng)活動(dòng)的另外兩個(gè)工具是監(jiān)視和封鎖出站通訊的個(gè)人防火墻(不是Windows防火墻)以及能夠監(jiān)視可疑的系統(tǒng)進(jìn)出的網(wǎng)絡(luò)通信的網(wǎng)絡(luò)分析器。當(dāng)然,只有你的系統(tǒng)連接到網(wǎng)絡(luò)的時(shí)候后一種選擇才是可用的。
============================================================
專家教你清除rootkit:立即行動(dòng) Kurt Dillard:首先,將受影響的系統(tǒng)從網(wǎng)絡(luò)斷開(kāi)是一個(gè)好主意。接下來(lái),你需要決定你愿意投入多少時(shí)間。你愿意收集可能用來(lái)提出犯罪指控的證據(jù)嗎?收集證據(jù)非常耗費(fèi)時(shí)間,而且你必須要認(rèn)真遵循適當(dāng)?shù)淖C據(jù)收集程序來(lái)做。你要確定這個(gè)事件的根源以便采取具體措施堵住被利用的任何安全漏洞嗎?這也需要耗費(fèi)很多時(shí)間。或者像我們大多數(shù)人一樣,你沒(méi)有那樣多的時(shí)間,只是想盡快擺脫故障使系統(tǒng)恢復(fù)正常?無(wú)論你選擇什么辦法,我都希望你在事件發(fā)生之間制定一個(gè)具體的事件反應(yīng)計(jì)劃。如果你沒(méi)有這個(gè)計(jì)劃,你要確定寫(xiě)出一個(gè)適合你的機(jī)構(gòu)的業(yè)務(wù)需求的書(shū)面計(jì)劃。 收集能夠用于法庭上的信息系統(tǒng)的證據(jù)需要嚴(yán)格的程序,把發(fā)生的一切事情都存檔保存并且保護(hù)原始的數(shù)據(jù)。我建議,你應(yīng)該在事件發(fā)生之前與你們機(jī)構(gòu)的法律代表和一些業(yè)內(nèi)專家合作制定一個(gè)計(jì)劃。你要使用逐個(gè)字節(jié)拷貝的工具等軟件(也就是Guidance軟件公司的EnCase、AccessData公司的FTK Imager或者X-Ways軟件技術(shù)公司的WinHex等工具軟件),在安全的地方存儲(chǔ)受到影響的系統(tǒng),對(duì)這些工具軟件創(chuàng)建的數(shù)據(jù)做適于法庭使用的整理工作。 找出發(fā)生問(wèn)題的細(xì)節(jié)可能需要很多時(shí)間。但是,這項(xiàng)工作是令人著迷和有教育意義的。有一些rootkit檢測(cè)工具: ·RootkitRevealer(成名的和令人尊敬的安全專家Mark Russinovich和Bryce Cogswell制作的) ·Blacklight(知名安全軟件廠商F-Secure公司制作的) ·Klister(卑鄙的內(nèi)核模式rootkitFU的作者制作的--你自己需要決定是否讓你的網(wǎng)絡(luò)信賴這個(gè)程序員) 這些工具都有自己獨(dú)特的功能和缺陷。我喜歡使用RootkitRevealer。但是,惡意軟件作者不斷地更新他們的工具以便避開(kāi)最新的檢測(cè)應(yīng)用程序,因此,我最喜歡的工具也許也不能檢測(cè)出所有的惡意軟件。你也許需要手工執(zhí)行微軟研究院2004年發(fā)布的工具軟件“Strider GhostBuster”的白皮書(shū)中解釋的那些程序。簡(jiǎn)言之,你要在系統(tǒng)啟動(dòng)的時(shí)候拍下系統(tǒng)的快照,收集每個(gè)硬盤(pán)的目錄列表等信息。然后,你使用替代的操作系統(tǒng)啟動(dòng)計(jì)算機(jī),用你在干凈的操作系統(tǒng)中所看到的東西與被攻破的操作系統(tǒng)中的東西進(jìn)行比較。 如果你沒(méi)有時(shí)間了,在使受到影響的計(jì)算機(jī)系統(tǒng)脫離網(wǎng)絡(luò)之后,你可以直接進(jìn)入恢復(fù)階段。 Lawrence Abrams:如果你發(fā)現(xiàn)的rootkit看起來(lái)像是與各種惡意軟件捆綁在一起的普通的rootkit,那么,斷開(kāi)這臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接作為你的第一個(gè)措施應(yīng)該是足夠的。這將阻止其傳播以及可能下載和安裝更多的惡意軟件。 另一方面,如果你確定那就是目標(biāo)rootkit,是一個(gè)人專門(mén)攻破這臺(tái)計(jì)算機(jī)并且安裝的rootkit,那么,你應(yīng)該按照你們的機(jī)構(gòu)對(duì)付入侵的政策去做。遺憾的是,大多數(shù)公司對(duì)于這類事件沒(méi)有政策。如果你可能采取法律行動(dòng)的話,最低限度你要立即制作一個(gè)可在法院使用的硬盤(pán)的鏡像,把原始的計(jì)算機(jī)保存起來(lái)以便在法庭上當(dāng)作證據(jù)。如果你不打算采取法律行動(dòng),你就可以直接進(jìn)入恢復(fù)階段。 Kevin Beaver:我首先的建議是斷開(kāi)計(jì)算機(jī)的網(wǎng)絡(luò)連接,不過(guò),這只能在你能夠承受這種損失的情況下才可以這樣做(也就是說(shuō),如果這樣做不影響主要的業(yè)務(wù)經(jīng)營(yíng)的話)。這樣做有助于阻止任何惡意軟件傳播或者影響其它的網(wǎng)絡(luò)計(jì)算機(jī)。第二,安裝/運(yùn)行我在診斷階段提到的應(yīng)用程序。你可能需要運(yùn)行這些程序來(lái)監(jiān)視系統(tǒng)的行動(dòng)。然而,一旦系統(tǒng)受到感染,檢測(cè)程序要發(fā)現(xiàn)異常或者正常的行為都是很困難的,如果不是不可能的話。這主要取決于具體的工具的工作情況。
===========================================================
專家教你清除rootkit:恢復(fù)系統(tǒng) Kurt Dillard:遺憾的是“用核打擊讓站點(diǎn)進(jìn)入軌道”是最有力的恢復(fù)方法。一旦黑客攻破了你的計(jì)算機(jī),你永遠(yuǎn)不會(huì)確定你發(fā)現(xiàn)并清除了每個(gè)一被修改的地方。 如果你擁有最新的備份,按下列步驟執(zhí)行: 1.把硬盤(pán)從被感染的計(jì)算機(jī)中拆下來(lái)安裝到另一臺(tái)干凈的計(jì)算機(jī)中。 2.從干凈的系統(tǒng)備份數(shù)據(jù)。 3.刪除受影響的計(jì)算機(jī)的操作系統(tǒng),并且使用已知的良好的介質(zhì)重新為受影響的計(jì)算機(jī)安裝操作系統(tǒng)。 4.采取在預(yù)防措施階段中介紹的步驟盡最大努力保證系統(tǒng)的安全。 5.把數(shù)據(jù)恢復(fù)到重建的計(jì)算機(jī)中。 6.使用最新的殺毒軟件和反間諜軟件全面掃描恢復(fù)的數(shù)據(jù)。 7.不要存儲(chǔ)任何可執(zhí)行文件。最佳方法是故意刪除二進(jìn)制、腳本、ActiveX控件等任何可執(zhí)行文件。 Lawrence Abrams:從rootkit的影響中恢復(fù)過(guò)來(lái)是很棘手的。如果rootkit是通過(guò)普通的沒(méi)有針對(duì)性的惡意軟件安裝的,清除這種侵犯你的計(jì)算機(jī)的惡意軟件應(yīng)該比恢復(fù)你的計(jì)算機(jī)還要困難。 另一方面,如果你對(duì)付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit,那么,那就是黑客故意把這些rootkit安裝到目標(biāo)計(jì)算機(jī)中的。記住這個(gè)問(wèn)題,你絕對(duì)想不到這些rootkit在你的計(jì)算機(jī)中安裝了什么或者修改了什么。黑客也許會(huì)通過(guò)注冊(cè)表修改安全設(shè)置,用黑客版本的文件替換你系統(tǒng)中的重要文件,或者以其它方式控制受害者的計(jì)算機(jī)或者網(wǎng)絡(luò)。在這種情況下,我總是建議備份數(shù)據(jù)和重新安裝操作系統(tǒng)。在你把數(shù)據(jù)復(fù)制到新安裝的計(jì)算機(jī)之前,掃描一下數(shù)據(jù),檢查是否被感染。 如果重新安裝計(jì)算機(jī)不是一種選擇,你可以使用rootkit檢測(cè)程序查找屬于rootkit的文件。這類工具軟件包括Blacklight、RootkitRevealer和Flister等。由于這些文件在rootkit程序之外很可能看不到,你可以使用可啟動(dòng)的Linux發(fā)布版軟件如KNOPPIX、啟動(dòng)盤(pán)或者通過(guò)一個(gè)網(wǎng)絡(luò)共享(不建議這樣做)清除那些文件。 最后,如果你有資源重新安裝計(jì)算機(jī),那可能是你最佳的選擇。 Kevin Beaver:如果你沒(méi)有檢測(cè)到任何rootkit,但是,異常的行為繼續(xù)出現(xiàn),你的最佳和最安全的選擇是重新格式化和重新安裝系統(tǒng)。在進(jìn)行這種操作之前,你要確保備份一切必要的文件。由于目前大多數(shù)惡意軟件(特別是rootkit)不感染二進(jìn)制或者文本文件,這樣做是很安全的。惡意軟件主要感染可執(zhí)行文件和操作系統(tǒng)以及應(yīng)用程序使用的支持庫(kù)文件。如果你能夠清潔系統(tǒng)(如果發(fā)現(xiàn)了rootkit就很難做到),你需要經(jīng)常掃描系統(tǒng)并且監(jiān)視其它的可疑行為。再說(shuō)一次,一定要使用我在診斷階段所提到的那些工具。
============================================================
專家教你清除rootkit:預(yù)防措施 Kurt Dillard: 你可以采取很多應(yīng)對(duì)措施。下面是最有效的五個(gè)措施: 1.避免使用具有管理員權(quán)限的賬戶登錄。你可以使用Windows內(nèi)置的工具RunAs或者M(jìn)akeMeAdmin等工具軟件做到這一點(diǎn)。 2.運(yùn)行一個(gè)為你的整個(gè)網(wǎng)絡(luò)設(shè)置的防火墻以及分配給每個(gè)端口的防火墻軟件,如Windows防火墻(包括Windows XP SP2)。 3.保持你的Windows和其它軟件都是用最新的補(bǔ)丁和服務(wù)包。如果你只有少量的系統(tǒng),你可以使用“Automatic Updates”(自動(dòng)更新)等工具。如果你有很多系統(tǒng),你可以使用Windows服務(wù)器更新服務(wù)。 4.使用擁有最新簽名庫(kù)的流行的殺毒軟件。要了解更多的殺毒軟件廠商,請(qǐng)參閱微軟殺毒合作伙伴網(wǎng)頁(yè)。 5.使用最新的間諜軟件保護(hù)工具,如微軟的Windows反間諜軟件。 要了解更多的有關(guān)減小受到這種惡意軟件攻擊的風(fēng)險(xiǎn)的想法,可以參考我最近發(fā)表的技術(shù)指南。 Lawrence Abrams:安全方面最重要的步驟是盡一切努力阻止用戶使用管理員的權(quán)限登錄網(wǎng)絡(luò)。可以理解的是,使用當(dāng)前的Windows結(jié)構(gòu),這不可能總做到。當(dāng)惡意軟件感染一臺(tái)計(jì)算機(jī)的時(shí)候,這個(gè)惡意軟件將以登錄用戶同樣的安全級(jí)別運(yùn)行。因此,如果用戶具有管理員權(quán)限,這個(gè)惡意軟件也將擁有管理員權(quán)限。這種權(quán)限就給予惡意軟件全面訪問(wèn)你的計(jì)算機(jī)的權(quán)利。 使用阻止其它惡意軟件的最佳做法同樣可以防止rootkit(無(wú)論是有針對(duì)性的蠕蟲(chóng)攜帶的還是病毒式的蠕蟲(chóng)攜帶的)。 1.使用防火墻封鎖經(jīng)常被黑客攻破的Windows TCP端口,如20、21、23、80、135、139、443和445端口。通過(guò)從源頭封鎖這些端口,你首先會(huì)減少被黑客攻破的風(fēng)險(xiǎn)。最佳的做法的是封鎖每一個(gè)端口,僅把一個(gè)端口映射到一臺(tái)需要打開(kāi)端口的機(jī)器上。最近的蠕蟲(chóng)利用的程序中的安全漏洞就是使用這些端口。如果一臺(tái)計(jì)算機(jī)需要使用上述端口,防火墻應(yīng)該確定哪一臺(tái)計(jì)算機(jī)可以通過(guò)這個(gè)端口遠(yuǎn)程接入這臺(tái)計(jì)算機(jī),而不是把端口完全敞開(kāi)。 2.而且,每一臺(tái)計(jì)算機(jī)都應(yīng)該一直擁有最新的安全更新,并且運(yùn)行每一天都更新的殺毒軟件。病毒軟件的新的定義是經(jīng)常發(fā)布的,擁有這些最新的定義是非常重要的。 3.除了殺毒軟件之外,你至少還需要兩種反間諜軟件工具,如在計(jì)算機(jī)上安裝Spybot-Search and Destroy、Webroot軟件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具軟件。使用最新的更新每天或者每個(gè)星期掃描一次能夠自動(dòng)發(fā)揮最新的病毒定義的優(yōu)勢(shì)。 4.最后一條,但是不是最不重要的一條。要教育用戶采取良好的做法。用戶應(yīng)該知道不要點(diǎn)擊互聯(lián)網(wǎng)廣告、陌生人從即時(shí)消息中發(fā)來(lái)的鏈接或者陌生人發(fā)來(lái)的電子郵件的附件。如果一個(gè)新的蠕蟲(chóng)開(kāi)始傳播,IT工作人員應(yīng)該立即發(fā)出電子郵件通知所有的用戶,解釋這種附件、配置或者措詞。 擁有可隨時(shí)使用的防火墻、反惡意軟件工具、最新的安全更新和為用戶提供的良好的互聯(lián)網(wǎng)指南,你應(yīng)該能夠避免受到這些類型的惡意軟件的感染。 Kevin Beaver: 只要計(jì)算機(jī)是由人類操作的或者是連接到網(wǎng)絡(luò)的,就沒(méi)有辦法絕對(duì)保證安全。然而,你可以安裝反間諜軟件、rootkit檢測(cè)工具和監(jiān)視異常情況的軟件來(lái)保證系統(tǒng)的安全。最理想的是,如果你受到過(guò)一次攻擊并且不想再次受到這種攻擊,你最好安裝上述的全部三類安全軟件。此外,這句話也許是老生常談,但是還是要強(qiáng)調(diào)一下。你要確保你嚴(yán)格執(zhí)行所有的操作系統(tǒng)和應(yīng)用程序都使用最新的安全補(bǔ)丁的規(guī)定。 (完)
