什么是rootkit ? Rootkit基本是由幾個獨立程序組成,一個典型rootkit包括: 以太網嗅探器程程序,用于獲得網絡上傳輸的用戶名和密碼等信息。 特洛伊木馬程序,為攻擊者提供后門。 隱藏攻擊者目錄和進程的程序。還包括一些日志清理工具,攻擊者用其刪除wtmp、utmp和lastlog等日志文件中有關自己行蹤的條目。 復雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。還包括一些用來清理/var/log和/var/adm目錄中其它文件的腳本。 最近最讓IT管理員頭痛的是什么呢?——毫無疑問是rootkit。這種可惡的程序是一批工具集,黑客用它來掩飾對計算機網絡的入侵并獲得管理員訪問權限。一旦黑客獲得管理員訪問權限,就會利用已知的漏洞或者破解密碼來安裝rootkit。然后rootkit會收集網絡上的用戶ID和密碼,這樣黑客就具有高級訪問權限了。 rootkit還有監控網絡數據和按鍵的功能;為黑客在系統上開“后門”;修改日志文件;攻擊網絡上的其他計算機;修改系統上已有的工具防止被檢測出來。 那么如何發現rootkit呢?看看三位Windows安全專家對用戶的rootkit問題提供了什么解決方案吧。 用戶的問題: 我是一家大型非營利機構的IT管理員。由于我們缺乏資金和人手,我們的許多用戶需要用管理員訪問權限來完成工作。最近,越來越多的用戶抱怨他們的管理員應用程序崩潰了。他們的一些管理軟件不再工作,例如,一些系統上的抗病毒軟件神秘的失效了。有的在試圖使用應用程序時藍屏死機,有的計算機莫名其妙地重啟或發送錯誤信息。用普通的間諜軟件和特洛伊木馬掃描工具沒有發現任何問題。是什么在搗鬼?我們需要重裝所有出現問題的計算機嗎?
===========================================================
專家教你清除rootkit:診斷 Kurt Dillard:缺少細節,但是,有一些關鍵的信息。以前一直很可靠的各種計算機系統頻繁出現操作系統崩潰的問題意味著受到感染的計算機中的某些東西被改變了。另一個重要的線索是殺毒軟件自動關閉自己。最后一個線索是,標準的安全工具不能發現任何惡意軟件表明如果這些計算機中有新的軟件,這種軟件正在偷偷地運行。這種文件隱藏起來了看不到,但是,仍在運行。如果惟一奇怪的事情是數不清的系統崩潰,我會懷疑操作系統最新使用的補丁、設備驅動程序或者一個安全應用程序有問題。這些癥候結合在一起暗示某些惡意的東西在起作用。然而,它也許不是一個rootkit。你必須要做額外的研究以便發現正在發生的是什么。 Lawrence Abrams:當你的計算機開始出現異常情況時,我想到的第一件事情就是你的計算機被間諜軟件、病毒、特洛伊木馬、蠕蟲或者其它形式的惡意軟件感染了。如果在你使用殺毒軟件和/或者反間諜軟件進行掃描之后繼續存在這個問題,那么,這個時候就該使用某些工具進行深入的分析了。需要檢查的是計算機的啟動程序,看看是否存在當前殺毒軟件定義中沒有的新的惡意軟件。某些檢測故障的軟件程序是: HijackThis:這是一種通用的主頁劫持者檢測和清除工具,能夠連續不斷地更新。 WinPFind:這個工具軟件可以掃描硬盤中的普通位置,查找與已知的惡意軟件使用的方式相匹配的文件。 Silent Runners:這個軟件工具檢查Windows是如何啟動的并且創建一個文本文件以便進行研究或者作為一個基準儲存起來。如果沒有檢測到任何東西,設法用安全模式運行這個程序和你的殺毒/反間諜軟件。很多與蠕蟲一起發布的普通的rootkit在安全模式不能夠運行。因此,故障排查軟件在安全模式下可以看到這些惡意軟件。 如果在安全模式下發現新的記錄和文件,計算機很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下運行同一個工具軟件之后仍沒有發現任何可疑的現象,但是這個惡意軟件的行為繼續存在,你可以推測你正在應付一個更高級的rootkit。 Kevin Beaver:考慮到安裝的應用程序的奇怪行為,你很可能正在對付某種類型的惡意軟件,最有可能是rootkit或者以遠程接入特洛伊木馬。這些惡意軟件能夠讓黑客從外部偷偷進入沒有保護措施的計算機。了解這個事情的惟一方法是運行能夠掃描或者監視異常行為和rootkit的存在的其它掃描軟件。這種工具可以是Sana安全公司的“Primary Response”,或者Finjan軟件公司的各種解決方案以及Sysinternals公司的“RootkitRevealer”。 我還建議同時運行至少二種或者三種反間諜軟件工具。也許還會有一些工具軟件你沒有用到。除了Spybot--Search & Destroy等常用的解決方案和Lavasoft Ad-Aware安全軟件之外還有一些工具。我很幸運地使用了冠群國際的PestPatrol和微軟的AntiSpyware等工具軟件。監視老系統活動的另外兩個工具是監視和封鎖出站通訊的個人防火墻(不是Windows防火墻)以及能夠監視可疑的系統進出的網絡通信的網絡分析器。當然,只有你的系統連接到網絡的時候后一種選擇才是可用的。
============================================================
專家教你清除rootkit:立即行動 Kurt Dillard:首先,將受影響的系統從網絡斷開是一個好主意。接下來,你需要決定你愿意投入多少時間。你愿意收集可能用來提出犯罪指控的證據嗎?收集證據非常耗費時間,而且你必須要認真遵循適當的證據收集程序來做。你要確定這個事件的根源以便采取具體措施堵住被利用的任何安全漏洞嗎?這也需要耗費很多時間?;蛘呦裎覀兇蠖鄶等艘粯?,你沒有那樣多的時間,只是想盡快擺脫故障使系統恢復正常?無論你選擇什么辦法,我都希望你在事件發生之間制定一個具體的事件反應計劃。如果你沒有這個計劃,你要確定寫出一個適合你的機構的業務需求的書面計劃。 收集能夠用于法庭上的信息系統的證據需要嚴格的程序,把發生的一切事情都存檔保存并且保護原始的數據。我建議,你應該在事件發生之前與你們機構的法律代表和一些業內專家合作制定一個計劃。你要使用逐個字節拷貝的工具等軟件(也就是Guidance軟件公司的EnCase、AccessData公司的FTK Imager或者X-Ways軟件技術公司的WinHex等工具軟件),在安全的地方存儲受到影響的系統,對這些工具軟件創建的數據做適于法庭使用的整理工作。 找出發生問題的細節可能需要很多時間。但是,這項工作是令人著迷和有教育意義的。有一些rootkit檢測工具: ·RootkitRevealer(成名的和令人尊敬的安全專家Mark Russinovich和Bryce Cogswell制作的) ·Blacklight(知名安全軟件廠商F-Secure公司制作的) ·Klister(卑鄙的內核模式rootkitFU的作者制作的--你自己需要決定是否讓你的網絡信賴這個程序員) 這些工具都有自己獨特的功能和缺陷。我喜歡使用RootkitRevealer。但是,惡意軟件作者不斷地更新他們的工具以便避開最新的檢測應用程序,因此,我最喜歡的工具也許也不能檢測出所有的惡意軟件。你也許需要手工執行微軟研究院2004年發布的工具軟件“Strider GhostBuster”的白皮書中解釋的那些程序。簡言之,你要在系統啟動的時候拍下系統的快照,收集每個硬盤的目錄列表等信息。然后,你使用替代的操作系統啟動計算機,用你在干凈的操作系統中所看到的東西與被攻破的操作系統中的東西進行比較。 如果你沒有時間了,在使受到影響的計算機系統脫離網絡之后,你可以直接進入恢復階段。 Lawrence Abrams:如果你發現的rootkit看起來像是與各種惡意軟件捆綁在一起的普通的rootkit,那么,斷開這臺計算機的網絡連接作為你的第一個措施應該是足夠的。這將阻止其傳播以及可能下載和安裝更多的惡意軟件。 另一方面,如果你確定那就是目標rootkit,是一個人專門攻破這臺計算機并且安裝的rootkit,那么,你應該按照你們的機構對付入侵的政策去做。遺憾的是,大多數公司對于這類事件沒有政策。如果你可能采取法律行動的話,最低限度你要立即制作一個可在法院使用的硬盤的鏡像,把原始的計算機保存起來以便在法庭上當作證據。如果你不打算采取法律行動,你就可以直接進入恢復階段。 Kevin Beaver:我首先的建議是斷開計算機的網絡連接,不過,這只能在你能夠承受這種損失的情況下才可以這樣做(也就是說,如果這樣做不影響主要的業務經營的話)。這樣做有助于阻止任何惡意軟件傳播或者影響其它的網絡計算機。第二,安裝/運行我在診斷階段提到的應用程序。你可能需要運行這些程序來監視系統的行動。然而,一旦系統受到感染,檢測程序要發現異?;蛘哒5男袨槎际呛芾щy的,如果不是不可能的話。這主要取決于具體的工具的工作情況。
===========================================================
專家教你清除rootkit:恢復系統 Kurt Dillard:遺憾的是“用核打擊讓站點進入軌道”是最有力的恢復方法。一旦黑客攻破了你的計算機,你永遠不會確定你發現并清除了每個一被修改的地方。 如果你擁有最新的備份,按下列步驟執行: 1.把硬盤從被感染的計算機中拆下來安裝到另一臺干凈的計算機中。 2.從干凈的系統備份數據。 3.刪除受影響的計算機的操作系統,并且使用已知的良好的介質重新為受影響的計算機安裝操作系統。 4.采取在預防措施階段中介紹的步驟盡最大努力保證系統的安全。 5.把數據恢復到重建的計算機中。 6.使用最新的殺毒軟件和反間諜軟件全面掃描恢復的數據。 7.不要存儲任何可執行文件。最佳方法是故意刪除二進制、腳本、ActiveX控件等任何可執行文件。 Lawrence Abrams:從rootkit的影響中恢復過來是很棘手的。如果rootkit是通過普通的沒有針對性的惡意軟件安裝的,清除這種侵犯你的計算機的惡意軟件應該比恢復你的計算機還要困難。 另一方面,如果你對付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit,那么,那就是黑客故意把這些rootkit安裝到目標計算機中的。記住這個問題,你絕對想不到這些rootkit在你的計算機中安裝了什么或者修改了什么。黑客也許會通過注冊表修改安全設置,用黑客版本的文件替換你系統中的重要文件,或者以其它方式控制受害者的計算機或者網絡。在這種情況下,我總是建議備份數據和重新安裝操作系統。在你把數據復制到新安裝的計算機之前,掃描一下數據,檢查是否被感染。 如果重新安裝計算機不是一種選擇,你可以使用rootkit檢測程序查找屬于rootkit的文件。這類工具軟件包括Blacklight、RootkitRevealer和Flister等。由于這些文件在rootkit程序之外很可能看不到,你可以使用可啟動的Linux發布版軟件如KNOPPIX、啟動盤或者通過一個網絡共享(不建議這樣做)清除那些文件。 最后,如果你有資源重新安裝計算機,那可能是你最佳的選擇。 Kevin Beaver:如果你沒有檢測到任何rootkit,但是,異常的行為繼續出現,你的最佳和最安全的選擇是重新格式化和重新安裝系統。在進行這種操作之前,你要確保備份一切必要的文件。由于目前大多數惡意軟件(特別是rootkit)不感染二進制或者文本文件,這樣做是很安全的。惡意軟件主要感染可執行文件和操作系統以及應用程序使用的支持庫文件。如果你能夠清潔系統(如果發現了rootkit就很難做到),你需要經常掃描系統并且監視其它的可疑行為。再說一次,一定要使用我在診斷階段所提到的那些工具。
============================================================
專家教你清除rootkit:預防措施 Kurt Dillard: 你可以采取很多應對措施。下面是最有效的五個措施: 1.避免使用具有管理員權限的賬戶登錄。你可以使用Windows內置的工具RunAs或者MakeMeAdmin等工具軟件做到這一點。 2.運行一個為你的整個網絡設置的防火墻以及分配給每個端口的防火墻軟件,如Windows防火墻(包括Windows XP SP2)。 3.保持你的Windows和其它軟件都是用最新的補丁和服務包。如果你只有少量的系統,你可以使用“Automatic Updates”(自動更新)等工具。如果你有很多系統,你可以使用Windows服務器更新服務。 4.使用擁有最新簽名庫的流行的殺毒軟件。要了解更多的殺毒軟件廠商,請參閱微軟殺毒合作伙伴網頁。 5.使用最新的間諜軟件保護工具,如微軟的Windows反間諜軟件。 要了解更多的有關減小受到這種惡意軟件攻擊的風險的想法,可以參考我最近發表的技術指南。 Lawrence Abrams:安全方面最重要的步驟是盡一切努力阻止用戶使用管理員的權限登錄網絡。可以理解的是,使用當前的Windows結構,這不可能總做到。當惡意軟件感染一臺計算機的時候,這個惡意軟件將以登錄用戶同樣的安全級別運行。因此,如果用戶具有管理員權限,這個惡意軟件也將擁有管理員權限。這種權限就給予惡意軟件全面訪問你的計算機的權利。 使用阻止其它惡意軟件的最佳做法同樣可以防止rootkit(無論是有針對性的蠕蟲攜帶的還是病毒式的蠕蟲攜帶的)。 1.使用防火墻封鎖經常被黑客攻破的Windows TCP端口,如20、21、23、80、135、139、443和445端口。通過從源頭封鎖這些端口,你首先會減少被黑客攻破的風險。最佳的做法的是封鎖每一個端口,僅把一個端口映射到一臺需要打開端口的機器上。最近的蠕蟲利用的程序中的安全漏洞就是使用這些端口。如果一臺計算機需要使用上述端口,防火墻應該確定哪一臺計算機可以通過這個端口遠程接入這臺計算機,而不是把端口完全敞開。 2.而且,每一臺計算機都應該一直擁有最新的安全更新,并且運行每一天都更新的殺毒軟件。病毒軟件的新的定義是經常發布的,擁有這些最新的定義是非常重要的。 3.除了殺毒軟件之外,你至少還需要兩種反間諜軟件工具,如在計算機上安裝Spybot-Search and Destroy、Webroot軟件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具軟件。使用最新的更新每天或者每個星期掃描一次能夠自動發揮最新的病毒定義的優勢。 4.最后一條,但是不是最不重要的一條。要教育用戶采取良好的做法。用戶應該知道不要點擊互聯網廣告、陌生人從即時消息中發來的鏈接或者陌生人發來的電子郵件的附件。如果一個新的蠕蟲開始傳播,IT工作人員應該立即發出電子郵件通知所有的用戶,解釋這種附件、配置或者措詞。 擁有可隨時使用的防火墻、反惡意軟件工具、最新的安全更新和為用戶提供的良好的互聯網指南,你應該能夠避免受到這些類型的惡意軟件的感染。 Kevin Beaver: 只要計算機是由人類操作的或者是連接到網絡的,就沒有辦法絕對保證安全。然而,你可以安裝反間諜軟件、rootkit檢測工具和監視異常情況的軟件來保證系統的安全。最理想的是,如果你受到過一次攻擊并且不想再次受到這種攻擊,你最好安裝上述的全部三類安全軟件。此外,這句話也許是老生常談,但是還是要強調一下。你要確保你嚴格執行所有的操作系統和應用程序都使用最新的安全補丁的規定。 (完)
