content/zh-cn/images/repository/isc/2021/rootkit_image1_710x400px_300dpi.jpg

Rootkit 定义和含义

Rootkit 是一种恶意软件,旨在让黑客访问和控制目标设备。虽然大多数 Rootkit 会影响软件和操作系统,但有些还会感染计算机的硬件和固件。Rootkit 善于隐藏自己,但当它们保持隐藏时,其实处于活跃状态。

一旦未经授权获得对计算机的访问权限,Rootkit 就使网络犯罪分子可以窃取个人数据和财务信息,安装恶意软件或将计算机用作僵尸网络的一部分,以散布垃圾邮件和参与DDoS 分布式拒绝服务)攻击

名称"Rootkit"源自 Unix 和 Linux 操作系统,其中权限最高的帐户管理员被称为"root"。允许未经授权的 root 或管理员级别访问设备的应用程序被称为"工具包"。

什么是 Rootkit?

Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。

黑客通过多种方式在目标计算机上安装 Rootkit:

  1. 最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。
  2. 另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
  3. 恶意软件还可以与其它文件捆绑在一起,例如受感染的 PDF、盗版媒体或从可疑的第三方商店获得的应用。

Rootkit 在操作系统的内核附近或内核内运行,这使它们能够向计算机发起命令。任何使用操作系统的东西都是 Rootkit 的潜在目标 —— 随着物联网的扩展,它可能包括冰箱或恒温器等物品。

Rootkit 可以隐藏键盘记录器,在未经您同意的情况下捕获您的击键。这使得网络犯罪分子很容易窃取您的个人信息,例如信用卡或网上银行详细信息。Rootkit 可让黑客使用您的计算机发起 DDoS 攻击或发送垃圾邮件。它们甚至可以禁用或删除安全软件。

一些 Rootkit 用于合法目的 —— 例如,提供远程 IT 支持或协助执法。大多数情况下,它们用于恶意目的。Rootkit 如此危险的原因是它们可以提供各种形式的恶意软件,它们可以操纵计算机的操作系统并为远程用户提供管理员访问权限。

Rootkit 的类型

1. 硬件或固件 Rootkit

硬件或固件 Rootkit 可以影响您的硬盘驱动器、路由器或系统的 BIOS,这是安装在计算机主板上的小内存芯片上的软件。它们不是针对您的操作系统,而是针对您的设备的固件安装难以检测的恶意软件。因为它们会影响硬件,所以可让黑客记录您的击键以及监控在线活动。虽然与其它类型相比不太常见,但硬件或固件 Rootkit 是对在线安全的严重威胁。

2. Bootloader rootkit

Bootloader 机制负责在计算机上加载操作系统。Bootloader Rootkit 可攻击此系统,用被破解的 Bootloader 替换您计算机的合法 Bootloader。这甚至可以在计算机的操作系统完全加载之前激活 Rootkit。

3. 内存 Rootkit

内存 Rootkit 隐藏在计算机的随机存取内存 (RAM) 中,使用计算机的资源在后台执行恶意活动。内存 Rootkit 会影响计算机的 RAM 性能。因为它们只存在于计算机的 RAM 中,不会注入永久代码,所以一旦重新启动系统,内存 Rootkit 就会消失 —— 尽管有时需要进一步的工作才能摆脱它们。它们的寿命短意味着它们往往不会被视为重大威胁。

4. 应用程序 Rootkit

应用程序 Rootkit 将计算机中的标准文件替换为 Rootkit 文件,甚至可能改变标准应用程序的工作方式。这些 Rootkit 会感染 Microsoft Office、Notepad 或 Paint 等程序。每次运行这些程序时,攻击者都可以访问您的计算机。由于受感染的程序仍然正常运行,Rootkit 检测对于用户来说很困难 —— 但防病毒程序可以检测到它们,因为它们都在应用程序层上运行。

5. 内核模式 Rootkit

内核模式 Rootkit 是这种威胁最严重的类型之一,因为它们针对操作系统的核心(即内核级别)。黑客使用它们不仅可以访问计算机上的文件,还可以通过添加自己的代码来更改操作系统的功能。

6. 虚拟 Rootkit

虚拟 Rootkit 会在计算机的操作系统下自行加载。然后,它将目标操作系统托管为虚拟机,从而允许它拦截原始操作系统进行的硬件调用。这种类型的 Rootkit 不必修改内核来颠复操作系统,可能非常难检测。

Rootkit 示例

Stuxnet

历史上最臭名昭著的 Rootkit 之一是 Stuxnet,这是一种在 2010 年发现的恶意计算机蠕虫,据信自 2005 年以来一直在开发中。Stuxnet 对伊朗的核计划造成了重大破坏。虽然这两个国家都不承认责任,但人们普遍认为这是美国和以色列在称为奥运会的合作努力中共同创造的网络武器。

Rootkit 的其它值得注意的例子包括:

Flame

2012 年,网络安全专家发现了 Flame,这是一种主要用于中东的网络间谍活动的 Rootkit。Flame(也称为Flamer、sKyWIper 和 Skywiper)可影响计算机的整个操作系统,使其能够监控流量、捕获屏幕截图和音频、并记录设备击键。Flame 背后的黑客没有被发现,但研究表明它们使用横跨三大洲的 80 台服务器访问受感染的计算机。

Necurs

2012 年,Necurs 作为 Rootkit 出现,据报道当年被在 83,000 起感染中检测到。Necurs 与东欧的精英网络犯罪分子有关,被认为由于其技术复杂性和演化能力而脱颖而出。

ZeroAccess

2011 年,网络安全专家发现了 ZeroAccess,这是一种内核模式 Rootkit,感染了全球超过 200 万台计算机。该 Rootkit 不直接影响受感染计算机的功能,而是在受感染计算机上下载并安装恶意软件,使其成为黑客用于进行网络攻击的全球僵尸网络的一部分。ZeroAccess 如今正在积极使用中。

TDSS

2008 年,TDSS Rootkit 被首次检测到。它与 Bootloader Rootkit 类似,因为它在操作系统的早期阶段加载和运行,使得检测和删除成为挑战。

Rootkit scan

https://www.gettyimages.de/detail/foto/computer-problems-lizenzfreies-bild/902188176?adppopup=true

alt= “Rootkit 扫描”

如何检测 Rootkit

在计算机上检测 Rootkit 的存在可能很困难,因为这种恶意软件明确设计为保持隐藏。Rootkit 还可以禁用安全软件,这使得任务更加困难。因此,Rootkit 恶意软件可能会在您的计算机上长时间保留,从而造成重大损害。

Rootkit 恶意软件的可能迹象包括:

1. 蓝屏

大量的 Windows 错误消息或带有白色文本的蓝屏(有时称为"蓝屏死机"),而您的计算机不断需要重新启动。

2. 异常网络浏览器行为

这可能包括无法识别的书签或链接重定向。

3. 设备性能缓慢

您的设备可能需要一段时间才能启动并执行缓慢或经常死机。它还可能无法响应来自鼠标或键盘的输入。

4. Windows 设置未经许可更改

示例可能包括您的屏幕保护程序更改,任务栏隐藏本身,或显示不正确的日期和时间,而您没有更改任何东西。

5. 网页运行不正常

由于网络流量过多,网页或网络活动出现间歇性或无法正常运行。

Rootkit 扫描是检测 Rootkit 感染的最佳方式,您的防病毒解决方案可以启动它。如果您怀疑有 Rootkit 病毒,检测感染的一种方法是关机并从已知的干净系统执行扫描。

行为分析是 Rootkit 检测的另一种方法。这意味着不是寻找 Rootkit,而是寻找类似 Rootkit 的行为。如果您知道系统的行为很奇怪,那么有针对性的扫描效果很好,行为分析可能会在您意识到自己受到攻击之前提醒您 Rootkit。

如何清除 Rootkit?

删除 Rootkit 是一个复杂的过程,通常需要专门的工具,例如Kaspersky 的 TDSSKiller 实用程序,它可以检测并删除 TDSS Rootkit。有时,完全消除隐藏良好的 Rootkit 的唯一方法是擦除计算机的操作系统并从头开始重建。

如何从Windows 中移除 Rootkit

Windows 上,移除通常涉及运行扫描。如果有深度感染,移除 Rootkit 的唯一方法是重新安装 Windows。最好通过外部媒体设备执行此操作,而不是使用内置的 Windows 安装程序。一些 Rootkit 会感染 BIOS,这将需要修复才能修好。如果在修复后仍有 Rootkit,则可能需要一台新电脑。

如何从 Mac 中移除 Rootkit

Mac 上,保持最新版本。Mac 更新不只是添加新功能,它们还可以删除恶意软件,包括 Rootkit。Apple 具有内置的安全功能,可以防止恶意软件。但是,macOS 上没有已知的 Rootkit 检测程序,因此如果您怀疑设备上有 Rootkit,则应该重新安装 macOS。这样做会删除计算机上的大多数应用和 Rootkit。如上所述,如果 Rootkit 已感染 BIOS,则需要修复才能修好;如果 Rootkit 仍然存在,则可能需要购买新设备。

如何防止 Rootkit

由于 Rootkit 可能很危险且难以检测,因此在浏览互联网或下载程序时保持警惕非常重要。您为避免计算机病毒而采取的许多相同保护措施也有助于最大限度地降低 Rootkit 的风险:

1. 使用全面的网络安全解决方案

主动保护您的设备,安装全面、先进的防病毒解决方案。卡巴斯基全方位安全软件提供全面的网络威胁防护,还允许您运行 Rootkit 扫描。

2. 了解最新动态

持续的软件更新对于保持安全和防止黑客感染您的恶意软件至关重要。使所有程序和操作系统保持最新状态,以避免利用漏洞的 Rootkit 攻击。

3. 警惕网络钓鱼诈骗

网络钓鱼是一种社会工程攻击,骗子使用电子邮件欺骗用户向它们提供财务信息或下载恶意软件(如 Rootkit)。为了防止 Rootkit 渗透进您的计算机,请避免打开可疑电子邮件,特别是如果发件人不熟悉。如果您不确定某个链接是否可信,不要点击它。

4. 仅从受信任的来源下载文件

打开附件时要小心,避免打开来自不认识的人的附件,以防止 Rootkit 安装在您的计算机上。仅从信誉良好的网站下载软件。当您的网络浏览器告诉您尝试访问的网站不安全时,不要忽略它的警告。

5. 警惕您的计算机的行为或性能

行为问题可能表明有 Rootkit 正在运行。保持警惕任何意外更改,并试图找出为什么会发生这些情况。

Rootkit 是查找和删除最具挑战性的恶意软件类型之一。因为它们很难被发现,预防往往是最好的防御。为确保持续保护,请持续了解最新的网络安全威胁。

相关文章:

什么是 Rootkit – 定义和解释

什么是 Rootkit?Rootkit 恶意软件使黑客能够控制目标计算机。了解如何检测 Rootkit,如何防止 Rootkit 和如何摆脱 Rootkit。
Kaspersky Logo