李宗峰

(菏澤醫(yī)學(xué)?？茖W(xué)校,山東 菏澤 274030)

Root Kit的檢測(cè)與防御

李宗峰

(菏澤醫(yī)學(xué)專科學(xué)校,山東 菏澤 274030)

木馬;用戶模式;安全

近幾年,網(wǎng)絡(luò)應(yīng)用迅速發(fā)展,如網(wǎng)絡(luò)購(gòu)物和網(wǎng)上支付,用戶通過(guò)網(wǎng)上銀行就可以在網(wǎng)絡(luò)上完成支付,網(wǎng)絡(luò)在方便了人們的生活的同時(shí),一些有經(jīng)濟(jì)價(jià)值的信息也成為黑客的目標(biāo)。黑客是通過(guò)木馬控制目標(biāo)計(jì)算機(jī)操作系統(tǒng)軟件的關(guān)鍵組件,用來(lái)獲取訪問(wèn)權(quán)并隱藏在系統(tǒng)中并竊取目標(biāo)用戶計(jì)算機(jī)上的銀行帳戶和密碼。Root Kit即是特洛伊木馬后門工具之一。

1 什么是Rootkit

rootkit是攻擊者用來(lái)隱藏木馬的蹤跡和保留root訪問(wèn)權(quán)限的工具。通常,攻擊者利用系統(tǒng)漏洞通過(guò)遠(yuǎn)程攻擊獲得root訪問(wèn)權(quán),或者通過(guò)密碼猜測(cè)或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問(wèn)權(quán)。當(dāng)攻擊者進(jìn)入系統(tǒng)后,如果他還沒(méi)有獲得root權(quán)限,也能通過(guò)某些安全漏洞獲得系統(tǒng)的root權(quán)。隨后,攻擊者會(huì)在被入侵的用戶計(jì)算機(jī)中安裝rootkit,然后他將經(jīng)常通過(guò)rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄,如果只有自己,攻擊者就開(kāi)始著手清理日志中的有關(guān)信息。通過(guò)rootkit的嗅探器獲得其它計(jì)算機(jī)用戶密碼之后,攻擊者就會(huì)利用這些信息入侵其它的系統(tǒng)[1]。

Rootkit的特點(diǎn):在攻擊者進(jìn)入系統(tǒng)之后安裝Rootkit,其的作用是隱藏攻擊者在系統(tǒng)中的存在。Root Kit具有多種隱藏攻擊者在系統(tǒng)中存在的功能,使系統(tǒng)管理員不能發(fā)現(xiàn)這些攻擊者,而且大多數(shù)Root Kit允許攻擊者登錄到系統(tǒng)中,而不生成任何系統(tǒng)日志。另外,它們還允許攻擊者隱藏使用系統(tǒng)中的文件、進(jìn)程和網(wǎng)絡(luò)。

Root Kit不會(huì)讓攻擊者一開(kāi)始就獲得目標(biāo)系統(tǒng)的根或管理員權(quán)限。攻擊者必須以某種其他方式取得超級(jí)用戶特權(quán),例如通過(guò)緩沖區(qū)溢出攻擊或者通過(guò)猜測(cè)口令的方法。不過(guò),一旦獲得超級(jí)用戶訪問(wèn)權(quán),Root Kit就允許攻擊者一直都可以對(duì)系統(tǒng)進(jìn)行raot訪問(wèn)。攻擊者首先需要以根或管理員身份闖入系統(tǒng)來(lái)安裝Root Kit,在安裝并配置Root Kit后,攻擊者就可以離開(kāi)這個(gè)系統(tǒng)。以后隨時(shí)都可以回來(lái),使用Root Kit潛入目標(biāo)系統(tǒng)并隱藏他們的蹤跡。

rootkit基本上都是由幾個(gè)獨(dú)立的程序組成的,一個(gè)典型rootkit包括:1)以太網(wǎng)嗅探器程程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。2)特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。3)隱藏攻擊者的目錄和進(jìn)程的程序,例如:ps、netstat、rshd和ls等。4)可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。

Root Kit中的每個(gè)組件負(fù)責(zé)一種功能,所以每個(gè)Root Kit就有了多種破壞能力,其中一些包含目標(biāo)系統(tǒng)中十幾個(gè),甚至更多不同程序的替換程序。它們通常還包含各種輔助工具,這些工具允許攻擊者調(diào)整那些被替換程序的特征,包括程序大小和上次修改日期等,從而使得這些程序看上去像是正常的。有了這些工具,Root Kit就徹頭徹尾地變成套特洛伊木馬后門工具了——為了給攻擊者提供最大便利而打包并協(xié)調(diào)在一起[2]。

Root Kit可以運(yùn)行在兩個(gè)不同的層次上,這取決于它替換或者修改了目標(biāo)系統(tǒng)中的哪種軟件。Root Kit可以修改系統(tǒng)中現(xiàn)有的二進(jìn)制可執(zhí)行程序或者庫(kù)文件,換言之,它可以修改用戶和管理員運(yùn)行的程序。我們稱這種工其為“用戶模式Root Kit”(user mode Root Kit),因?yàn)樗刂屏瞬僮飨到y(tǒng)的這些用戶級(jí)組件?；蛘?Root Kit可以直接進(jìn)攻系統(tǒng)致命處,也就是操作系統(tǒng)的核心,即內(nèi)核本身,我們將這種類型的Root Kit稱為“內(nèi)核模式Root Kit”(kernel-mode Root Kit)。

RooKit在 Windows中的實(shí)現(xiàn):一直以來(lái),用戶模式Root Kit都把重點(diǎn)主要放在了 UNⅨ系統(tǒng)。由于這個(gè)緣故, Root Kit一詞的顯著特征是root(UNIX的超級(jí)用戶賬號(hào))[3]。Wndows中的用戶模式Root Kit像UNIX上的一樣,修改關(guān)鍵性操作系統(tǒng)軟件以使攻擊者獲得訪問(wèn)權(quán)并臆藏在計(jì)算機(jī)中。在Windows系統(tǒng)中,用戶模式Root Kit技術(shù)應(yīng)用于某些工具中。RooKit在Windows中的實(shí)現(xiàn)過(guò)程如下。

首先,Windows上的用戶模式Root Kit可以與現(xiàn)有的Microsoft操作系統(tǒng)組件相結(jié)合以破壞組件的安全性。Microsoft為了通過(guò)第三方工具擴(kuò)展 Windows的內(nèi)置功能性,己經(jīng)在Windows上開(kāi)發(fā)了多種接口。用戶模式Root Kit可以將自身插入到現(xiàn)有Micmsoft程序之間定義的接口來(lái)利用它們,而無(wú)須覆蓋Windows代碼。比較典型的例子是“FakeGⅢA”。

其次,Wmdows上的用戶模式Root Kit可以僅覆蓋Windows計(jì)算機(jī)上的現(xiàn)有可執(zhí)行文件和庫(kù)文件,如同UNIX上的用戶模式Root Kit。為了完成這個(gè)任務(wù),攻擊者必須首先使防止修改wndows中各種關(guān)鍵性操作系統(tǒng)文件的wFP這一功能失效。比較典型的例子是CodeRedⅡ蠕蟲。

最后,攻擊者可以使用一套很流行的技術(shù)把代碼注入到運(yùn)行進(jìn)程并覆蓋其功能性來(lái)實(shí)現(xiàn) Root Kit。這些用戶模式Root Kit不是在操作硬盤上的文件.而是使用所謂Du。注入和API掛鉤(API hooHng)的技術(shù)把代碼直接加入運(yùn)行進(jìn)程的內(nèi)存中。比較典型的例子是“AFxWindowsRnxKit”。

如何應(yīng)對(duì)rootkit:預(yù)防Wirldows系統(tǒng)中用戶模式Root Kit和使用UNⅨRoot Kit一樣,攻擊者也需要有超級(jí)用戶權(quán)限以實(shí)現(xiàn)每一種Windows Root Kit技術(shù)。所以,需要強(qiáng)化和修補(bǔ)系統(tǒng)以確保攻擊者不能獲取計(jì)算機(jī)上的管理員或系統(tǒng)特權(quán)。強(qiáng)化系統(tǒng),可以采用很多種指南和程序。以免費(fèi)版的Win2K Pro Gold Template為例,來(lái)看一下 Windows安全模板(Security Template)特性。Windows 2000/XP/2003都支持安全模板的概念,它是一個(gè)包含系統(tǒng)各種安全設(shè)置的文件。安全模板可用于集合設(shè)置的賬戶權(quán)限、注冊(cè)表值、口令控制和日志記錄等,還有其他許多Windows安全配置選項(xiàng)的進(jìn)置。通過(guò)在很多系統(tǒng)中應(yīng)用相同的模板文件,能夠確保貫穿環(huán)境的整體安全級(jí)達(dá)到一個(gè)標(biāo)準(zhǔn)的基線。

Win2K Pro Gold Template針對(duì)Windows 2000工作站,為大多數(shù)機(jī)構(gòu)提供了一個(gè)適當(dāng)?shù)陌踩€。對(duì)于安全配置,它起著起點(diǎn)和參考點(diǎn)的作用?？梢愿鶕?jù)你的環(huán)境對(duì)它進(jìn)行調(diào)節(jié),加強(qiáng)或者放松其約束。

檢測(cè)Windows系統(tǒng)中的用戶模式Root Kit。預(yù)防是必要的,但是任何預(yù)防都不是完全不可攻克的。內(nèi)置的WFP工具如果出現(xiàn)任何對(duì)話框或記錄入口,要注意是否關(guān)鍵系統(tǒng)文件已被修改。

盡管WFP提供了某種保護(hù)以防止文件被修改,但你還需要為關(guān)鍵系統(tǒng)使用額外的文件完整性檢測(cè)工具。這些工具依據(jù)于己知有效文件和設(shè)置的加密散列查找關(guān)鍵系統(tǒng)文件上的變化。Fcheck就是一個(gè)在Windows上實(shí)現(xiàn)這樣功能的免費(fèi)工具。此外,Tripwire工具的商業(yè)版也可運(yùn)行在Windows系統(tǒng)。并且Tripwire對(duì)Windows系統(tǒng)還有一個(gè)額外的優(yōu)點(diǎn),即查找對(duì)重要注冊(cè)表設(shè)置進(jìn)行的修改,例如系統(tǒng)中控制 WFP的SFCDisable和其他眾多的安全配置項(xiàng)。還有幾個(gè)其他商業(yè)版文件完整性檢測(cè)工具可用于Windows系統(tǒng),包括 GFI LAN-guardSystem Integrity Monitor和Ionx Data Senfind。

除了文件完整性檢測(cè)程序,Symantec等反病毒軟件也可以檢測(cè)很多用戶模式Rooter,不過(guò)需要在它們加載到系統(tǒng)中且在安裝之前[4]。大多數(shù)防病毒方案都有針對(duì)Windows的幾種不同用戶模式Root Kit的簽名。例如,第1次把AFx WindowsRoot Kit移到用戶的計(jì)算機(jī)上用于測(cè)試時(shí),防病毒工具可能行為完全反常,它阻止程序受到訪問(wèn)。只有停止了防病毒工具,才能安裝AFX工具。所以通過(guò)使用防病毒工具,可以擋住那些掌握用戶模式Root Kit的偶然攻擊者。所以攻擊者在安裝Rooter前,會(huì)首先停止防病毒工具或者修改其簽名基準(zhǔn)。

此外,要準(zhǔn)備第三方工具的CD—ROM。這些第三方工具可以用來(lái)分析系統(tǒng),包括那些查找異常端口使用的程序,例如Fport和 TCPView工具。應(yīng)對(duì) Windows系統(tǒng)中的用戶模式Root Kit

在系統(tǒng)被Root Kit感染后,系統(tǒng)需要從頭開(kāi)始重建。除了使用基本的操作系統(tǒng)安裝,另外還要準(zhǔn)備所有的補(bǔ)丁程序和Hotfixes。重建系統(tǒng)如果僅使用基本的安裝包,而不對(duì)其進(jìn)行修補(bǔ),攻擊者將很可能使用其首次進(jìn)入系統(tǒng)時(shí)所用的漏洞再次直接攻入系統(tǒng)。在系統(tǒng)完全恢復(fù)之后,要使用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)監(jiān)視它,而且密切監(jiān)視計(jì)算機(jī)的日志。這樣如果木馬再來(lái),就能迅速檢測(cè)到[5]。

[1] 林衛(wèi)亮.Win32平臺(tái)下內(nèi)核Rootkit檢測(cè)技術(shù)的研究與應(yīng)用[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù),2009,(10):48.

[2] 孫迪.面向Rootkit技術(shù)的木馬檢測(cè)方法研究[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù),2009,(08):52.

[3] 王東利,欒國(guó)森.Windows環(huán)境下Rootkit隱藏技術(shù)研究[J]電腦知識(shí)與技術(shù),2008,(S2):37.

[4] 羅糧,周熙.Root Kit在Linux下的工作原理及其檢測(cè)[J]計(jì)算機(jī)安全,2007,(03):28.

[5] 顏仁仲,鐘錫昌,張倪.一種自動(dòng)檢測(cè)內(nèi)核級(jí)Rootkit并恢復(fù)系統(tǒng)的方法[J]計(jì)算機(jī)工程,2006,(10):83.

TP393

A

1008-4118(2010)03-0094-02

2010-04-10

10.3969/j.issn.1008-4118.2010.03.58