什么是Rootkit？

顾名思义，Rootkit是一种恶意软件，它会被植入到网络系统的核心部分。这些威胁隐藏在操作系统、引导扇区和关键应用程序的内部深处，因此很难被清除，而且其危害性也非常高。

这篇文章介绍了什么是RootKits，它们是如何工作的，以及不同类型的RootKits。此外，文章还提供了一些有用的技巧，以帮助检测和预防RootKit感染。

Rootkit的定义

Rootkit，其实是一组程序的集合而已。这种恶意软件能够让攻击者在不被察觉的情况下，感染并访问目标系统。Rootkit的用途就是为了实现这样的目的。提供高级别的行政权限这样一来，犯罪分子就可以控制这些设备，从而建立一种安全且持续的监控手段。

Rootkit恶意软件会隐藏在操作系统内部，从而破坏监控工具的正常功能。因此，清除这些恶意软件变得非常复杂，这也凸显了制定有效的rootkit预防策略的必要性。

在感染之后，rootkit会执行一系列操作。根据攻击者的目的，rootkit可以发起分布式拒绝服务攻击、记录用户的输入和活动、提取敏感数据，或者窃取用户的认证信息。

Rootkit是如何工作的呢？

Rootkit恶意软件会利用系统中的安全漏洞，并修改操作系统的设置。

威胁行为者通过代码注入、外部设备或钓鱼邮件的方式传播恶意软件。当用户点击链接或插入USB设备时，恶意软件会自动被执行。这样，Rootkit就会被安装，进而引发攻击。

Rootkit攻击的下一阶段是……不断增加的行政权力/权限内核漏洞使得系统范围内的访问成为可能，而其他方法则能够劫持受信任的应用程序进程。Rootkit还可以利用其特权地位来执行哈希值传递操作，从而窃取用户凭据。

在完成了特权提升之后，接下来就是针对Rootkit的攻击了。保持持续的存在感/持续发挥作用通过内核模式或用户模式的技术，在受害者的网络环境中进行攻击。恶意软件会修改系统设置，使其在系统启动时自动执行——从而将Rootkit整合到正常的系统进程中。

现在，rootkit可以在后台运行，窃取数据并监控网络活动。这些行动往往持续数月甚至数年之久。在那段时间内，Rootkit通过禁用安全工具、执行API调用以及修改内核数据来隐藏自己的活动。

根套件的类型

安装rootkit的方法有很多，而针对rootkit的攻击方式也各不相同。

固件rootkit

固件rootkit会攻击负责运行硬件组件的软件。这是一种非常有效的技术，因为固件运行在传统操作系统的底层。通过感染固件，攻击者可以隐藏自己的活动，从而难以被检测到。

受固件攻击影响的设备包括工作站、路由器以及网络服务器上的硬盘和BIOS芯片。犯罪分子可以通过物理方式（例如使用U盘）将这些恶意软件传播到这些设备上。不过，固件攻击通常是通过利用有缺陷的更新流程来传递被感染的补丁来实现的。

引导加载程序rootkit

引导加载程序rootkit通过感染启动操作系统的代码，从而破坏设备的启动过程。攻击者可以通过光盘、U盘、DVD或外部硬盘等方式，将这些恶意软件直接传输到目标设备上。目标设备会自动识别这些物理设备，并将Rootkit恶意软件作为正常启动过程的一部分进行执行。

引导加载程序rootkit会用恶意软件来替代合法的引导程序，比如Linux系统中的GRUB或Microsoft的Windows Boot Manager。这些rootkit会修改内核设置，并在设备启动过程中将其加载到系统的内存中。

这种rootkit的攻击方式极其强大。因为，这种攻击方式在安全工具能够做出反应之前就已经发生了。高级引导加载程序rootkit能够隐藏其修改痕迹，以至于安全工具根本无法检测到这些更改。因此，检测并清除这类rootkit就变得非常复杂了。

内存根kit

内存rootkit的目标对象随机存取存储器（RAM）。这类Rootkit通过劫持合法的内核进程来将自身加载到系统的内存中。当Rootkit被存储在RAM中时，它可以直接从内存中窃取凭证或数据，同时为其他攻击手段打开后门。

内存rootkit的存活时间很短。当系统关闭或重启时，这些恶意软件就会从RAM中消失。不过，这类rootkit非常难以被检测出来。这些恶意软件几乎不与操作系统或磁盘进行任何交互，因此留给安全专业人员发现的痕迹非常少。

此外，基于内存的Rootkit通常会占用大量资源，从而严重影响系统的性能。因此，清除这些Rootkit是非常重要的事情。

应用程序rootkit

基于应用程序的rootkit会劫持并修改系统中的应用程序，从而创建出与合法版本相似的恶意版本。当用户打开受感染的应用程序时，rootkit就会被执行，同时让攻击者能够继续对系统进行操控。

被rootkit感染的应用程序仍然可以正常运行。例如，Rootkit可以感染Microsoft Office应用程序，而不会导致这些应用程序察觉到任何异常。用户可能会输入机密信息、共享知识产权，或者将财务数据输入到被入侵的电子表格中。

根套件可能会通过一种被称为“欺骗检测”的技术来妨碍系统的检测。API挂钩这种技术会拦截系统调用，并对其进行修改，以帮助实现隐藏功能（例如，通过改变活跃进程列表来实现隐藏效果）。

安全团队通常可以通过各种方式来检测嵌入在应用程序中的Rootkit。反病毒工具不过，伪装技术使得这些rootkit程序变得非常难以对付。

管理程序rootkit

这些高级rootkit会感染虚拟机，从而对云环境构成严重的安全威胁。Hypervisor rootkit会在操作系统之下创建虚假的虚拟机监控程序，然后让合法的操作系统在虚假的Hypervisor上运行。

内核模式rootkit

内核是操作系统中最具有特权且功能最强大的层次。拥有内核级权限的用户可以访问并修改几乎所有的系统组件，包括网络硬件、内存以及软件资源。

内核模式rootkit利用了这种特权地位来实施其攻击行为。这类rootkit会伪装成模块或驱动程序来加载到内核中。当这些rootkit被植入系统后，它们会修改内核的设置，并拦截系统调用，从而掩盖自己的存在。

那些隐藏在内核深处的rootkit很难被检测出来，而且它们具有极大的破坏力。即使编码不佳的恶意软件也可能损害网络性能，而功能完备的rootkit则能够让用户拥有对数据和系统配置的广泛访问权限。

用户模式rootkit

用户模式rootkit无法深入操作系统内核内部进行攻击。相反，这些rootkit利用用户的权限来访问和控制应用程序或设备。因此，用户模式rootkit的攻击能力相对较弱，但其部署方式却比基于内核的rootkit更为简单。

用户模式工具通过调用应用程序的钩子函数来隐藏自己的活动。此外，它们还使用一种称为“DLL注入”的技术，以迫使合法应用程序执行恶意代码。

如何检测根kit？

Rootkits的目的是为了规避各种反制措施。不过，只要使用正确的技术和工具，安全团队就能够检测到Rootkits。

你手中最重要的工具就是……Rootkit扫描Rootkit扫描工具会寻找已知rootkit代理的“签名”——这些签名就是rootkit在侵入网络并隐藏其活动时所留下的痕迹。

这些签名包含了许多数据点，但重点在于那些由Rootkit执行的独特内存操作。研究人员在受隔离的环境中分析Rootkit的代理程序，以提取相关的代码字符串和行为模式。有了足够的细节信息后，他们就可以为活跃的Rootkit变种构建出准确的描述。

签名并不是唯一可以用来检测Rootkit的方法。先进的解决方案还会扫描其他特征来识别Rootkit。Rootkit行为这些扫描器会将网络活动与安全的基准数据进行比较。它们还将扫描结果与已知的rootkit行为进行关联，从而为网络管理人员提供早期预警。

行为分析有助于识别那些能够改变自身形态以逃避检测的复杂多态型rootkit。此外，这种分析方法还能更有效地检测那些隐藏在系统内存深处的rootkit。

分析师还可以将行为分析与其他方法相结合。内存和固件完整性检查。这些工具能够检测代码中是否存在可疑的注入行为、内核的修改，以及引导加载程序的更改。这样可以有效防止那些隐藏式的rootkit攻击。

如果检测到rootkit，应该采取什么措施呢？

如果您怀疑某个设备感染了Rootkit，请不要像平常那样直接将其打开。相反，应该采取其他措施来处理这个问题。使用Windows安全模式来访问操作系统。这款驱动程序为Windows操作系统提供了基本的驱动程序和服务，这些组件足以用于进行诊断工作。同时，这些组件还能有效减少恶意软件攻击的入口点，从而保护系统安全。

安全模式甚至可以通过剥夺rootkit程序所需的资源以及限制其对系统应用程序的访问来使其暴露出来。要进入安全模式，请在启动过程中按F8键，然后从出现的菜单中选择“安全模式”。

请将被感染的设备从网络中断开连接，备份所有可能受到攻击的设备的数据。同时，使用扫描工具来评估攻击的严重程度。在许多情况下，网络安全工具可以消除恶意程序。不过，有时也需要重新安装操作系统或清除BIOS中的恶意内容。

如何防止Rootkit的入侵？

如果您的系统遭遇了Rootkit攻击，那么检测和清除这些恶意程序就会变得非常复杂且难以确定。虽然投资相关检测工具非常重要，但有效的预防措施可以显著降低感染风险。以下是一些可靠的Rootkit预防与风险管理建议：

培训员工，以降低网络钓鱼攻击的风险

许多Rootkit攻击都是因为员工点击了钓鱼邮件中看似无害的链接而引发的。不幸的是，我们无法完全防止因人为错误而导致的网络威胁。不过，企业应该采取一些措施来防范这种情况。要求列车工作人员能够识别那些带有恶意目的的钓鱼邮件。.

确保团队成员了解网络钓鱼攻击的原理，能够识别伪造的发件人地址，以及为什么不应该下载未经请求的附件或点击嵌入的链接。由于人们的意识通常只是暂时的，因此每年都需要对网络钓鱼攻击相关培训进行更新。

钓鱼攻击并非唯一需要重点关注的员工培训主题。还需要对员工进行相关教育。避免采用“影子IT”方式来进行系统安装/部署。（例如，未经批准的浏览器扩展程序或免费的VPN应用程序。）

实施补丁管理政策

Rootkit攻击通常是通过应用程序漏洞来进入目标网络的。这些漏洞指的是软件中的缺陷，这些缺陷允许恶意代码被注入到系统中，从而实现恶意软件的传播。

大多数供应商在发现漏洞后会立即进行修复。然而，安全团队可能跟不上供应商的更新节奏。即使只是短暂的延迟，也可能为攻击者提供可乘之机。因此，对面向互联网的应用程序进行补丁修复是非常重要的。

安全团队也必须如此。监控软件的生命周期供应商可能会在应用程序的生命周期结束时停止对它们的更新工作，这样一来，这些应用程序就更容易受到Rootkit攻击的威胁。这种情况适用于各种操作系统、固件以及协作工具。

哈登的系统配置

一般来说，采用最简单的配置方式可以降低rootkit感染的风险，同时也有助于更有效地控制潜在威胁。应禁用那些未使用的端口，以减少攻击面；同时，还需要从工作场所的设备上移除不必要的服务。

使用应用程序允许列表功能

应用程序允许列表的实施，意味着对应用程序可以执行的进程有严格的限制。只有经过授权的进程才能被启用，而未知的可执行文件则会被阻止。只有这样，安全团队才能对这些程序进行评估并给予批准。

采用可靠的威胁检测解决方案

杀毒或反恶意软件工具能够在那些尚未造成损害的、较为简单的Rootkit类型被检测到之前就将其清除。这些工具在保护应用程序免受Rootkit感染方面非常有效，但在处理内存或引导加载器中的Rootkit问题时则显得力不从心。因此，最好使用结合了签名检测和行为检测功能的先进工具，而不要完全依赖单一的威胁检测解决方案。

过滤进出网络的流量

防火墙提供了另一层防御机制，可以抵御各种形式的恶意软件，包括rootkit。下一代防火墙则采用了更先进的技术来实现这一功能。深度包检查通过分析网络流量中的Rootkit签名，可以在网络端点受到网络威胁之前将其阻止。

通过防rootkit措施来阻止隐藏的威胁。

根套件会深入操作系统和应用程序的内部，利用各种隐藏手段来避免被检测出来。如果这种隐藏的网络安全威胁没有被发现，那么它们就可以窃取数据、获取用户凭据，破坏系统的性能，甚至导致硬件或网络服务崩溃。

企业需要有效的根杀程序预防与检测策略。培训员工，加强防火墙的保护措施，定期检查系统是否存在入侵行为，同时及时更新软件以降低感染风险。同时，还需要使用先进的扫描工具来检测是否存在成功的感染情况。