Rootkit 是什么以及如何检测？

Rootkit 是一种恶意软件，旨在让骇客存取和控制目标装置。虽然大多数Rootkit 会影响软件和作业系统，但某些也会感染电脑硬件和韧件。此名「Rootkit」源于Unix 和Linux 作业系统，其中权限最高的帐户管理员称为「Root」，而可允许未经授权的Root 或可存取装置管理员层级的应用程式则称为「kit 」。 Rootkit 非常难检测和移除，阅读本文以了解如何预防以及移除的方法。

Rootkit 是什么？

Rootkit（也称隐匿软件）是网路犯罪份子用来取得对目标电脑或网路控制的软件。 Rootkit 有时会以单一软件的形式出现，但通常都是由一系列工具所组成，让骇客得以对目标装置进行管理员层级的控制。

骇客可透过多种不同方式在目标装置上安装Rootkit：

1. 最常见的方式是透过网路钓鱼或其他类型的社交工程攻击。受害者在不知情的情况下，下载和安装恶意软件，这些恶意软件会隐藏在装置运行的其他程序中，让骇客能够控制几乎作业系统的所有层面。
2. 另一种方式是透过安全漏洞，也就是软件或作业系统为更新的漏洞，将Rootkit 强行植入电脑。
3. 恶意软件也可透过其他档案夹带，如受感染的PDF 文件、盗版媒体或从可疑第三方商店获取的应用程式。

Rootkit 在作业系统的核心附近或内部运作，这使它们有能力对电脑发出指令。任何使用作业系统的用品都可以是Rootkit 的潜在目标——随着物联网（IoT）的发展，包含家中的冰箱或温控器等家电用品都是。

Rootkit 可能藏有键盘侧录器，即可在未经您同意的情况下记录所有按键敲击。这使得网路犯罪份子很容易就能窃取您的个人资讯，如信用卡或网银的详细资料。 Rootkit 还可让骇客利用您的电脑发起DDoS 攻击（分散式阻断服务攻击）或发送垃圾邮件，甚至还可以停用或移除安全软件。

某些Rootkit 会应用于合法目的，例如，提供远端IT 支援或协助执法行为，但大多数情况下，还是被用于恶意目的。使Rootkit 如此危险的原因是，其可提供各种形式的恶意软件，这些恶意软件可以操纵电脑的作业系统并为远端用户提供管理权限。

Rootkit 的作用

Rootkit 可让恶意程式码隐藏在您的装置中，一旦被Rootkit 攻击，进入到作业系统核心，其就会在避免被侦测的同时，对作业系统授予远端管理权限。由于Rootkit 的目的是为了取得对电脑系统的管理员层级存取权限。以下是Rootkit 一旦入侵后，可能执行的操作：

• 掩盖恶意软件： Rootkit 会将其他类型的恶意软件隐藏在装置中，使其更难移除。
• 取得远端存取权限： Rootkit 可以在躲避侦测的同时，提供对作业系统的远端存取权限。 Rootkit 的安装，与日益猖獗的远端存取诈骗有关。
• 篡改或停用安全程式：某些Rootkit 可以隐藏自己，避开电脑的安全程式，或者可以完全停用安全程式，因而使发现和移除恶意软件变得相当棘手。
• 窃取资料：大多时候，网路犯罪份子会使用Rootkit 来窃取资料。某些骇客以个人为目标，取得个人资料用于身份盗窃或是诈骗行为。其他骇客则以企业为目标，进行商业间谍活动或是金融犯罪行为。
• 建立永久「后门」：某些Rootkit 可在系统中建立网路安全后门，该后门会保持敞开，以便骇客可以随时返回。
• 窃听资讯： Rootkit 可作为监控工具使用，让骇客得以窃听资讯。
• 侵犯隐私：借助Rootkit，骇客可以拦截网路流量，追踪按键敲击，甚至读取受害者的电子邮件。

Rootkit 是一种病毒吗？

与主流看法不同，Rootkit 不是病毒，而是一种恶意软件。虽然听起来可能会令人感到有些困惑，但病毒只是恶意软件的一种类型，并且只会破坏资料，而Rootkit 则更为先进许多。值得庆幸的是，采用现代尖端安全技术的防毒软件可以抗衡不同类型的恶意软件，从病毒、蠕虫到勒索软件、特洛伊木马，甚至是某些Rootkit 都行。

Rootkit 的类型

1. 硬件或韧件Rootkit。硬件或韧件Rootkit 可影响硬碟、路由器或系统的BIOS（基本输入/输出系统），也就是安装在电脑主机板上记忆体晶片的软件。此种Rootkit 不是针对作业系统，而是针对装置的韧件来安装难以检测的恶意软件。由于其会影响硬件，允许骇客记录按键敲击，以及监控线上活动，所以尽管比起其他类型，硬件或韧件的Rootkit 不太常见，但对线上安全还是一个严重的威胁。
2. 开机程式Rootkit。开机程式机制负责在电脑上加载作业系统。开机程式Rootkit 会攻击此系统，用一个已被骇的开机程式取代原本电脑的合法开机程式。这甚至会在电脑的作业系统完全操作之前，就已启用Rootkit。
3. 记忆体Rootkit。记忆体Rootkit 隐藏在电脑的随机存取记忆体（RAM）中，利用电脑资源在后台进行恶意活动。记忆体Rootkit 会影响电脑的RAM 性能，由于此类Rootkit 只停留在电脑的RAM 中，并不会注入永久性程式码，记忆体Rootkit 在重新启动系统后就会消失，但有时还是需要耗费很大的工夫才能摆脱它。此种Rootkit 寿命很短，因此相较于其他类型的Rootkit，其通常不太被视为重大的威胁。
4. 应用程式Rootkit。应用程式Rootkit 会使用感染Rootkit 的档案替换电脑中的原始档案，甚至可能会变更标准应用程式的运作方式。这类Rootkit 会感染Microsoft Office、Notepad 或Paint 等程式，而每当您运行这些程式时，攻击者都能取得对电脑的存取权限。由于被感染的程式仍然正常运行，用户很难检测到Rootkit 的存在，但因为此类Rootkit 都运行在应用程式上，使用防毒程式即可检测到。
5. 核心模式Rootkit。核心模式Rootkit 是此恶意软件威胁中最为严重的类型，因为其是针对作业系统的核心部分（即核心层）。骇客利用此种Rootkit 不仅可以存取电脑上的档案，还可以透过新增自己的程式码来篡改作业系统的功能。
6. 虚拟Rootkit。虚拟Rootkit 会将自己加载到电脑作业系统内，然后将目标作业系统作为一个虚拟装置进行托管，这使得此类Rootkit 可以拦截原始作业系统的硬件调用。虚拟Rootkit 不需要修改核心就可以颠覆作业系统，而且非常难以检测。

Rootkit 的实例

多年来Rootkit 已经造成了许多重大的损失，以下介绍一些值得注意的Rootkit 实例：

1. 震网（Stuxnet）。历史上最恶名昭彰的Rootkit 之一是Stuxnet，这是一个于2010 年发现的恶意电脑蠕虫，并且据信是从2005 年以来就一直在开发。 Stuxnet 对伊朗的核武计画造成了巨大的破坏，虽然没有国家承认，但人们普遍认为其是由美国和以色列在一场奥运会的合作中所共同创造的网路武器。
2. Flame。 2012 年，网路安全专家发现了Flame，这是一个主要用于中东地区网路间谍活动的Rookit。 Flame（亦称为Flamer、sKyWIper 和Skywiper）可影响电脑的整个作业系统，使其能够监控流量、抓取萤幕截图和音频，并记录装置的按键敲击。 Flame 背后的骇客尚未被发现，但研究表明他们使用横跨三大洲的80 台伺服器存取受感染的电脑。
3. Necurs。 2012 年，Necurs 作为一种Rootkit 横空出世，据报导当年在8.3 万起感染中检测到。 Necurs 与东欧的精英网路犯罪份子有关，以其技术复杂性和进化能力脱颖而出。
4. ZeroAccess。网路安全专家于2011 年发现了ZeroAccess，此为核心模式类型的Rootkit，感染了全球超过200 万台电脑。该Rootkit 不直接影响受感染电脑的功能，而是会在受感染电脑上下载和安装恶意软件，使其成为骇客用来进行网路攻击的全球僵尸网路的一部分。目前ZeroAccess 仍处于活跃使用状态。
5. TDSS。 TDSS Rootkit 于2008 年首次被检测到。该Rootkit 近似于开机程式Rootkit，因为其在作业系统的早期阶段就进行加载和运行，使得检测和移除TDSS 成为一项挑战。

如何检测Rootkit

在电脑上检测Rootkit 是否存在可能很困难，因为此种恶意软件明确设计为保持隐藏。 Rootkit 还可以停用安全软件，因而使得这项任务更加艰巨。因此，Rootkit 恶意软件可能会在电脑上长时间停留，从而造成重大损害。

装置感染Rootkit 恶意软件的可能迹象包含：

• 蓝屏。大量的Windows 错误讯息或带有白色文本的蓝屏（有时称为「蓝屏当机」），而电脑会不断需要重新启动。
• 异常网路浏览器行为。这可能包含无法识别的书签出现或连结重新导向等异常情形。
• 装置性能缓慢。装置可能会需要一段时间才能启动，并且执行缓慢或经常当机。或是装置无法回应来自滑鼠或是键盘的输入。
• Windows 设定未经许可就变更。示例可能包含萤幕保护程式的变更、工作列自行隐藏，或显示不正确的日期和时间等，而您却没有变更任何设定。
• 网页无法正常运行。由于网路流量过大，网页或网路活动出现断断续续或不能正常运行的异常情形。

Rootkit 扫描是检测Rootkit 感染的最佳方式，您的防毒解决方案可以启动此扫描功能。如果怀疑装置有Rootkit，检测感染的方式之一是关闭电脑电源，并从已知的干净系统执行扫描。

行为分析是另一种检测Rootkit 的方式。这意味着，不是寻找Rootkit 本身，而是寻找类似Rootkit 的行为。如果发现系统行为出现异常，那执行针对性扫描就非常有效，而行为分析会在您意识到自己受到攻击之前，就发出Rootkit 的示警。

如何移除Rootkit

移除Rootkit 是一个复杂的过程，通常需要专门工具才能有效检测并移除。有时，完全删除隐藏良好的Rootkit 的唯一方式就是消除电脑的作业系统，从头开始重建。

如何从Windows 移除Rootkit

在Windows 上，移除通常涉及运行扫描。如果存在深度感染，移除Rootkit 的唯一方式就是重新安装Windows。最好是透过外部媒介装置进行，而不是使用内建的Windows 安装程式。某些Rootkit 会感染BIOS，这就需要进行修复才能解决。如果在修复后仍有Rootkit，则可能就需要更换一台新电脑。

如何从Mac 移除Rootkit

在Mac上，务必保持最新版本的更新。 Mac 的更新不仅会增加新功能，还可删除恶意软件，其中也包含Rootkit。 Apple 有内建的安全功能，可以防止恶意软件。然而，macOS 上没有已知的Rootkit 检测工具，所以若是怀疑自己的装置上有Rootkit，则应该重新安装macOS。此举可以删除装置上的大多数应用程式和Rootkit。如上所述，如果Rootkit 已感染了BIOS，就需要进行修复——若是Rootkit 仍然存在，就可能需要购买新装置。

如何防范Rootkit

由于Rootkit 可能非常危险，而且难以检测，因此在浏览网路或是下载程式时，务必保持警惕。为了防范电脑病毒或恶意软件，建议采取以下保护措施，此举有助于将Rootkit 的风险降到最低。

• 使用全方位的网路解决方案。主动出击保护自己的装置，安装全方位的先进防毒解决方案。 
• 保持更新。持续更新软件对于保持安全和防止骇客利用恶意软件让您感染恶意软件至关重要。使所有程式和作业系统保持最新版本，以避免利用安全漏洞的Rootkit 攻击。
• 慎防网路钓鱼诈骗。网路钓鱼是一种社交工程攻击，诈骗份子会利用电子邮件诱骗用户，借此取得他们的财务资讯或下载恶意软件，如Rootkit。若要防止Rootkit 渗透进电脑，请避免开启可疑电子邮件，特别是不认识寄件人的来信。若是不确定连结是否可信，也千万不要随意点击。
• 仅从可信任来源下载档案。点开附件档案时务必小心，避免点开来自不认识寄件人的附件，以防Rootkit 安装到自己的电脑上。只从信誉良好的网站下载软件，当网路浏览器发出通知，警告您试图存取不安全的网站时，不要忽略浏览器的示警。
• 对电脑的行为或性能保持警惕。若电脑有异常行为问题发生，可能表示有Rootkit 正在运行。对任何意外变更保持警惕，并试图找出这些异常变更或行为发生的原因。

Rootkit 是最难检测和移除的恶意软件类型之一。由于此恶意软件很难被发现，预防往往是最好的防范措施。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6129.html