什么是Rootkit？

“Rootkit”这个词是由“root”和“kit”两个词组合而成的。其中，“root”指的是操作系统中的管理权限；“admin”、“superuser”和“system admin”则分别表示具有管理权限的用户账户。而“kit”则指的是一系列用于实现特定功能的软件工具。因此，Rootkit其实就是一组能够赋予用户系统最高管理权限的工具。下面我们来简单了解一下这个概念。

什么是Rootkit？

Rootkit是一种有害的软件工具或程序，它允许威胁行为者远程控制并访问计算机或其他系统。 虽然这种软件确实有实际的应用场景，比如为远程用户提供技术支持，但大多数 Rootkit 都会在受害者的计算机上创建后门。这样一来，诸如病毒、勒索软件、键盘记录程序之类的恶意程序就可以被植入到受害者的计算机中，或者让该计算机成为其他网络攻击的载体。 Rootkit通常试图阻止杀毒软件和终端防病毒软件检测到有害软件。

在暗网上可以购买到Rootkit程序。这些程序可以被用来……社会工程学这是一种欺骗用户的手段，通过这种手段，用户会被诱导允许rootkit程序安装在他们的系统中。或者，这些rootkit程序也可以作为诈骗行为的一部分被安装到用户的系统中。 一旦被安装下来，这些rootkit通常会让远程攻击者获得对系统的管理权限。 一旦安装完成，Rootkit就能让远程操作方能够访问并控制操作系统中的几乎所有功能。 虽然现在大多数反恶意软件程序都能够搜索并清除隐藏在系统中的Rootkit，但一些较旧的防病毒程序的开发者在识别Rootkit方面仍然存在困难。

Rootkit能做什么呢？

所谓的“rootkit”是一种恶意软件，其作用是秘密地控制计算机或网络，从而获得非法访问和控制权限。 为了逃避被发现，它具备改变内核函数、修改系统进程以及绕过安全防护措施的能力。 攻击者可以利用rootkit来监控用户的活动、窃取机密数据，并运行更多的恶意软件。 它们特别难以找到和消除，因为它们能够改变系统设置，从而保持持续的访问权限。 根套件存在严重的安全隐患，因为它们会彻底嵌入到系统中，从而威胁到操作系统和应用程序的完整性。

根kit防护

• 防病毒和防恶意软件软件：使用最新版本的防病毒软件和反恶意软件工具，以识别并清除Rootkit。某些安全工具则具备专门用于识别Rootkit的功能。
• 定期的系统更新：为了修复那些可能被rootkit利用的安全漏洞，请确保您的操作系统和应用程序都处于最新状态。
• 基于行为的检测：请使用那些能够监控异常系统活动的软件，因为这些软件可能会提示存在rootkit的存在。
• 系统完整性检查：为了识别未经授权的修改，请定期确认系统文件和设置的准确性。
• 最小权限原则：根据“最小权限原则”来限制用户的权限，这样可以降低Rootkit带来的潜在威胁。

知名的根kit示例

• Stuxnet：这是一种先进的Rootkit程序，它能够操控工业控制系统，从而破坏伊朗的核计划。

• Alureon (TDSS)：Alureon(TDSS)以其能够避免被检测出来并破坏系统运行的能力而闻名。它经常被用于金融诈骗以及僵尸网络的构建。

• 宙斯：Zeus主要是一种银行木马程序。它能够利用Rootkit技术来隐藏自己的存在，同时继续控制那些被感染计算机的权限。

• Rootkit.Reveton：一种用于……的根套件勒索软件这种行为伪装成执法行为，实际上是为了索要赎金。

• 卡伯普：该木马以能够窃取数据并隐藏自己的存在而著称。它经常针对金融领域的敏感数据，同时利用Rootkit技术来避免被检测出来。

Rootkit是如何运作的？

• 特权升级：为了获得更多的特权以及更深的系统控制权限，rootkit通常会利用各种安全漏洞或社会工程学手段来达到目的。
• 安装：Rootkit会在获得系统控制权后自行安装并深入渗透到系统中。为了继续掌控系统，它可能会篡改固件、内核模块或系统文件。
• 隐藏技巧：Rootkit采用了多种策略来避免被检测出来。这些策略包括拦截系统调用以避开安全软件的检测，以及隐藏文件、进程或注册表项。
• 坚持/毅力：Rootkit能够确保它们在系统重启后仍然能够继续运行。它们可能会修改系统设置，使得程序在启动时自动加载；或者，它们可能会将自己安装在系统的启动路径中。
• 非法活动：当它们拥有root权限时，它们可以执行多种恶意操作，比如窃取数据、监控用户活动，以及引入新的病毒。

在Rootkit攻击过程中，哪些方面可能会受到威胁或损害？

• 系统完整性：根kit可以篡改或破坏系统文件和配置信息，从而影响到操作系统的稳定性和可靠性。
• 敏感数据：个人信息、财务信息以及机密文件都可能被Rootkit程序窃取或篡改。
• 用户隐私：根套件可以监控并记录用户的操作行为，包括按键记录、屏幕截图以及其他敏感信息。
• 网络安全：它们可以创建用于远程访问的“后门”，从而破坏网络通信，或者对其他系统发动攻击。
• 系统性能：根套件可能会通过消耗系统资源或干扰正常的系统运行来降低系统的性能。

Rootkit感染的症状

• 性能问题：系统性能缓慢，出现意外的减速现象，或者频繁出现崩溃情况。
• 异常的网络活动：无法解释的网络流量，或者与未知或可疑的实体建立的连接IP地址.
• 系统不稳定：频繁出现系统错误、崩溃或意外重启的情况。
• 被修改的文件：文件发生意外变化或丢失，或者系统配置被修改了。
• 未被识别的进程：在后台运行的、可疑或未知的进程。这些进程可能无法通过常规的任务管理器来发现。

预防Rootkit攻击的注意事项

• 请保持软件处于最新状态。定期更新您的操作系统、应用程序以及安全软件，以修复其中的漏洞。
• 使用可靠的安全工具：安装并维护可靠的防病毒软件。反恶意软件包含rootkit检测功能的软件。
• 启用自动更新功能：请配置您的系统和应用程序，使其能够自动安装更新和补丁。
• 请遵守安全浏览规则：请避免点击可疑的链接，不要下载未知的文件，也不要访问不可信的网站。
• 实施最低权限原则：使用权限最少的用户账户，除非有必要，否则不要使用管理员权限来操作系统。

Rootkit是如何运作的？

根套件无法自行传播，因此它们必须通过隐蔽的方式来感染系统。当消费者没有意识到的情况下，如果允许根套件安装程序在他们的系统中安装根套件的话，那么根套件就会安装到系统中，并一直保持隐藏状态，直到黑客将其激活为止。根套件中包含一些恶意软件，比如用于窃取银行账户信息、密码等内容的恶意软件。键盘记录器此外，还有用于分布式拒绝服务攻击的病毒清除工具，以及用于实施此类攻击的机器人程序。

Rootkit的安装方式与其他恶意软件类似，都是通过常见的途径来传播的，比如通过电子邮件等方式。网络钓鱼这些手段包括：使用可执行的恶意文件、伪造的恶意PDF或Microsoft Word文档、连接到被入侵的共享驱动器，或者从高风险网站下载感染了Rootkit的软件。

为什么Rootkit如此危险呢？

• Rootkit病毒可以通过各种欺骗性的方式传播，比如通过损坏的下载文件、垃圾邮件以及恶意软件等途径。有些Rootkit甚至利用特洛伊木马程序来破坏系统的安全性。

• 它们非常隐蔽。与其他类型的恶意软件不同，这种隐藏性极强的rootkit通常不会产生任何明显的症状。它甚至可能会避开你的安全软件的检测，从而使得问题难以解决。有些rootkit只能通过格式化存储设备以及重新启动操作系统来被破坏。

• 它们属于Rootkits，一些专家将它们称为“恶意软件的瑞士军刀”，因为它们具有极高的灵活性。某些Rootkits可以窃取登录凭据和财务信息，禁用安全协议，记录键盘输入等。此外，某些Rootkits还允许黑客获得对计算机的远程访问权限，从而安装更多恶意软件。使用正确的Rootkits，黑客可以将系统转变为僵尸网络，进而发动DDoS攻击。分布式拒绝服务攻击对网站的攻击行为。

根套件的类型

引导加载程序rootkit

当您启动计算机时，引导加载程序会加载操作系统。而引导加载程序rootkit则能够侵入这一机制，从而在操作系统尚未准备好使用之前，就使您的计算机受到恶意软件的攻击。不过，由于有诸如安全启动之类的安全机制的存在，目前引导加载程序rootkit所带来的威胁已经有所降低。

固件rootkit

固件是一种软件，它能够对它所控制的硬件进行基本的控制。固件可以应用于各种设备中，比如手机和洗衣机等。不过，固件中的rootkit很难被检测出来，因为它们隐藏在固件内部，而大多数情况下，固件都是隐藏在设备内部的。网络安全工具请不要寻找恶意软件。

内核rootkit

你的操作系统的内核，其功能类似于神经系统。它是一层非常重要的组成部分，负责处理各种基本任务。然而，如果攻击者能够成功植入一个内核rootkit，那么后果将非常严重，因为这将直接攻击计算机中的关键组件，从而让攻击者能够完全控制整个系统。

内存rootkit

内存根kit会存在于你的计算机的存储设备中。RAM同时，它们还会在执行恶意功能时降低系统的运行速度。通常情况下，可以通过重启计算机来清除内存中的Rootkit，因为这样就能清除机器内存中的所有进程。

应用程序rootkit

应用程序rootkit可能会用rootkit代码替换系统中的普通文件。这样一来，每次执行被感染的文件时，rootkit的创建者就能获得对机器的访问权限。不过，这种恶意软件更容易被检测出来，因为包含rootkit的文件会表现出异常行为。此外，你的安全工具也有更大的机会检测到这类恶意软件。

根kit攻击的例子

网络钓鱼攻击和社会工程学攻击：那些阅读了垃圾邮件且无意中下载了恶意软件的用户，他们的电脑就有可能被rootkit感染。Rootkit还会利用这些电脑来继续传播恶意软件。键盘记录器为了获取用户的登录信息。一旦安装了这种rootkit，黑客就可以访问用户的敏感信息，并控制计算机操作系统。

应用程序rootkit攻击：Rootkits能够自行安装到那些被广泛使用的程序中，比如文字处理软件和电子表格软件。黑客利用这些应用程序的rootkits，在用户打开受感染的程序时获取用户的个人信息。

网络和互联网物联网攻击物联网设备和边缘计算技术存在显著的安全风险，因为它们缺乏其他系统和集中式计算机所拥有的安全防护措施。黑客可以通过利用这些漏洞来攻击这些设备，从而获取对系统的控制权。这样一来，恶意软件就可以在网络中传播，控制计算机和工作站，使其变成受外部控制的“僵尸机器”。

操作系统攻击一旦进入该系统，内核模式rootkit就可以发起攻击了。操作系统这种攻击可能会改变操作系统的功能，降低系统的性能，甚至可能访问或删除系统中的数据。当用户不小心打开恶意邮件或从不可信的源下载文件时，内核模式rootkit通常会破坏系统正常运行。

信用卡刷卡和扫描攻击犯罪分子在那些用于窃取和扫描信用卡信息的设备中植入了Rootkit。这些Rootkit的作用是收集信用卡信息，并将其传输到由犯罪分子控制的服务器上。黑客为了解决这个问题，信用卡公司采用了带有芯片的卡片。这种卡片在面对攻击时具有更强的抗攻击能力。