解密攻擊者藏匿行蹤的暗器：Ｒｏｏｔｋｉｔ

蔡恩澤

有道是：臥榻之側(cè)豈容他人鼾睡，然而就有一種人，他的床邊有人在鼾睡，他卻渾然不知。而這個睡在別人家床旁打呼的人就是電腦系統(tǒng)攻擊者，他們之所以能偷偷地鉆進別人家的房間，并能逃脫主人的監(jiān)視而安然入睡，靠的是“Rootkit這一獨門暗器。

間諜軟件Rootkit是攻擊者侵入別人電腦后用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。

Rootkit基本上都是由幾個獨立的程序組成的，一個典型的Rootkit包括：以太網(wǎng)嗅探器程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息；特洛伊木馬程序，例如：inetd或者login，為攻擊者提供后門；隱藏攻擊者的目錄和進程的程序，例如：ps、netstat、rshd和ls等；

可能還包括一些日志清理工具，例如：zap、zap2或者z2，攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目；一些復(fù)雜的Rootkit還可以向攻擊者提供telnet、shell和Tenger等服務(wù)，還包括一些用來清理/vat/log和/var/adm目錄中其它文件的一些腳本。

通常，攻擊者通過密碼猜測或密碼強制破譯的方式，利用遠程攻擊獲得別人電腦系統(tǒng)的root訪問權(quán)限。進入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會在侵入的主機中安裝Rootkit，然后他將經(jīng)常通過Rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果沒有異常現(xiàn)象，攻擊者就開始著手清理日志中的有關(guān)信息。通過Rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其它系統(tǒng)。

Rootkit是一種奇特的程序，它具有隱身功能，無論靜止時作為文件存在，還是活動時作為進程存在，都不會被察覺。

Rootkit的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。Rootkit幾乎可以隱藏任何軟件，包括文件服務(wù)器、鍵盤記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在你的計算機上保存許多文件，而你無法看到這些文件。這就好比有人占用你的房間堆放雜物，你卻蒙在鼓里一樣。

這種程序可能一直存在于我們的計算機中，但你卻毫不覺察，直到某一天其它系統(tǒng)的管理員和你聯(lián)系，或者嗅探器的日志把磁盤全部填滿，你才感覺到已經(jīng)大禍臨頭了。

這一功能正是許多人夢寐以求的。黑客可以在入侵后置入Rootkit，秘密地窺探敏感信息，或伺機而動；取證人員可以利用Rootkit實時監(jiān)控嫌疑人員的不法行為，它不僅能搜集證據(jù)，還有利于及時采取行動；而間諜則通過遠程控制程序，緊盯著他們需要的情報。

Rootkit是一種特殊類型的惡意軟件。Rootkit之所以特殊是因為你根本不知道它們在做什么事情。Rootkit基本上是無法檢測到的，而且?guī)缀醪豢赡馨阉鼈儎h除。

雖然檢測工具在不斷增多，但是惡意軟件的開發(fā)者也在不斷尋找新的途徑來掩蓋他們的蹤跡，Rootkit也在不斷更新，呈以下發(fā)展趨勢：

其一，Rootkit不僅可以通過木馬的形式進行傳播，更將借助惡意軟件的形式傳播。未來的Rootkit的發(fā)展趨勢是與惡意軟件越來越多地結(jié)合，或者將自己隱藏于惡意軟件之中。這種隱藏技術(shù)的最嚴重后果便是Rootkit不但能夠輕易地將僵尸隱藏于系統(tǒng)的“視線”之外，還可以避開檢測Rootkit的最后一道防線——網(wǎng)絡(luò)檢測。

其二，嵌入式Windows Rootkit成為主流。今天我們所看到的許多Rootkit活動都是針對Windows平臺的。而據(jù)統(tǒng)計，近年來71％的Rootkit也是針對Windows的，針對Linux的幾乎沒有，這也是未來Rootkit發(fā)展趨勢。

其三，在合法和非法的軟件中都發(fā)現(xiàn)Rootkit攻擊。五花八門的盜竊技術(shù)幾乎能夠把他們傳播到每個已知的惡意軟件中。根據(jù)美國網(wǎng)絡(luò)聯(lián)盟旗下反病毒緊急響應(yīng)組的研究，盜竊技術(shù)的攻擊形式已經(jīng)覆蓋各種軟件分發(fā)形式，許多著名的Rootkit證明了這一點。比如BackDoor-BAC通過垃圾郵件、木馬下載和直接爆發(fā)進行分發(fā)；HackerDefendcr通常通過垃圾郵件、BOT、直接爆發(fā)和P2P的方式進行分發(fā)；還有一些Rootkit通過群發(fā)郵件蠕蟲進行下載，并創(chuàng)建復(fù)雜的混合攻擊。

作為黑客們攻擊目標的利器，Rootkit正在不為人知的黑暗世界，迅速雄起，它也在很大程度上推動著高科技犯罪的不斷演進，必須引起我們的重視。