Rootkit 的定義與含義
Rootkit 是一種惡意軟件,其設計目的是幫助黑客存取和控制目標設備。雖然大多數 Rootkit 會影響軟件和操作系統,但有些 Rootkit 也會感染電腦的硬件和韌體。Rootkits 善於隱藏自己的存在,但在隱藏時其實它們是活躍的。
Rootkit 一旦未經授權存取電腦, 網絡罪犯就能盜取個人資料和財務資訊、安裝惡意軟件,或利用電腦作為殭屍網絡的一部分來散播垃圾郵件和參與 DDoS(分散式拒絕服務)攻擊。
Rootkit 這個名稱源自 Unix 和 Linux 操作系統,其中權限最高的帳戶管理者稱為「Root(根)」。允許未經授權的 Root 或管理員級別存取設備的應用程式稱為「Kit(套件)」。
甚麽是 Rootkit?
Rootkit 是網絡罪犯用來控制目標電腦或網絡的軟件。Rootkit 有時候會以單一軟件的形式出現,但通常是由一系列工具組成,可幫助黑客對目標設備進行管理員級別的控制。
黑客透過以下幾種方式在目標電腦上安裝 Rootkit:
- 最常見的是透過網絡釣魚或其他類型的社交工程攻擊。受害者會在未察覺的情況下下載並安裝惡意軟件,這些惡意軟件會隱藏在機器上執行的其他進程中,讓黑客幾乎可以控制操作系統的所有方面。
- 另一種方式是利用弱點(即軟件或操作系統未更新的弱點),將 Rootkit 強行植入電腦。
- 惡意軟件也可能與其他檔案綁在一起,例如受感染的 PDF、盜版媒體或從可疑第三方商店取得的應用程式。
Rootkit 在操作系統的核心附近或內部運作,這使它們有能力啟動對電腦的指令。任何使用操作系統的東西都是 Rootkit 的潛在目標,而隨著物聯網的擴展,可能包括你的雪櫃或恆溫器等物品。
Rootkit 可以將鍵盤記錄器隱藏,在未經你同意的情況下收集你的按鍵動作。這可讓網絡罪犯輕易盜取你的個人資訊,例如信用卡或網上理財的資料。Rootkit 可讓黑客利用你的電腦發動 DDoS 攻擊或寄送垃圾郵件。它們甚至可以停用或移除安全軟件。
有些 Rootkit 用於合法目的 -- 例如,提供遙距 IT 支援或協助執法。但大多數情況下,它們是用於惡意目的。Rootkit 是如此危險的原因是它們可以傳送各種形式的惡意軟件,這些惡意軟件可以操控電腦操作系統,並向遙距使用者提供管理存取權限。
Rootkit 的類型
1.硬件或韌體 Rootkit
硬件或韌體 Rootkit 可影響你的硬碟、路由器或系統的 BIOS,也就是安裝在電腦主機板上的小型記憶體晶片上的軟件。它們不是針對你的操作系統,而是透過針對設備的韌體來安裝難以偵測的惡意軟件。由於它們會影響硬件,因此可讓黑客記錄你的按鍵以及監控網上活動。雖然硬件或韌體 Rootkit 比起其他類型較不常見,但仍是對網上安全的一種嚴重威脅。
2.Bootloader(開機載入程式)Rootkit
Bootloader 的運作機制是負責在電腦上載入操作系統。Bootloader Rootkit 會攻擊這個系統,以黑客的 Bootloader 取代電腦的合法 Bootloader。這會在你電腦的操作系統完全載入之前啟動 Rootkit。
3.記憶體 Rootkit
記憶體 Rootkit 會隱藏在電腦的隨機存取記憶體 (RAM) 中,並在背景中使用電腦的資源進行惡意活動。記憶體 Rootkit 會影響電腦的隨機存取記憶體效能。由於記憶體 Rootkit 只會存在於電腦的 RAM 中,不會注入永久程式碼,因此只要你重新啟動系統它們就會消失,不過有時需要進一步處理才能將其清除。它們的生命期很短,因此通常不會被視為重大威脅。
4.應用程式 Rootkit
應用程式 Rootkit 會以 Rootkit 檔案取代電腦中的標準檔案,甚至可能改變標準應用程式的運作方式。這些 Rootkit 會感染 Microsoft Office、記事本或小畫家等程式。每次你執行這些程式時,攻擊者都可以獲得你電腦的存取權限。由於受感染的程式仍可正常執行,因此使用者很難偵測到 Rootkit -- 但防毒程式可以偵測到,因為它們都是以應用程式方式運作。
5.內核模式 Rootkit
內核模式 Rootkit 是最嚴重的威脅類型之一,因為它們的目標是操作系統的核心(即內核層級)。黑客不僅會利用它們存取電腦上的檔案,還會透過加入自己的程式碼來變更操作系統的功能。
6.虛擬 Rootkit
虛擬 Rootkit 會將自己載入到電腦操作系統下面。然後,它會將目標操作系統託管為虛擬機器,讓它自己可以攔截原本操作系統對硬件進行的呼叫。這種類型的 Rootkit 無需修改內核即可顛覆操作系統,而且非常難以偵測。
Rootkit 的例子
Stuxnet 蠕蟲
史上最臭名昭著的 Rootkit 之一是 Stuxnet,這是一種於 2010 年發現的惡意電腦蠕蟲,據信自 2005 年起便開始開發。Stuxnet 對伊朗的核計畫造成重大損害。普遍認為這是美國和以色列在稱為奧運會的合作計劃中共同製造的網絡武器,雖然這兩個國家都不承認對此負責。
其他著名的 Rootkit 例子包括:
Flame(火焰)
2012 年,網絡安全專家發現了 Flame,這是一種主要用於中東地區網絡間諜行為的 Rootkit。Flame -- 也稱為 Flamer、sKyWIper 和 Skywiper -- 它會影響電腦的整個操作系統,具有監控流量、擷取畫面截圖和聲音,以及記錄設備按鍵的能力。Flame 背後的黑客並未被找到,但研究顯示他們使用了橫跨三個大洲的 80 部伺服器來存取受感染的電腦。
Necurs
2012 年,Necurs 以 Rootkit 的形式出現,而在該年有 83,000 個偵測到Necurs 的感染報告。Necurs 與東歐的精英網絡罪犯有關,由於其技術複雜性和進化能力,被認為是最突出的 Rootkit。
ZeroAccess
2011 年,網絡安全專家發現了 ZeroAccess,一個感染全球超過 200 萬部電腦的內核模式 Rootkit。這個 Rootkit 不會直接影響受感染電腦的功能,而是會下載惡意軟件並安裝到受感染的機器,使其成為黑客用來進行網絡攻擊的全球殭屍網絡的一部分。ZeroAccess 目前仍在使用中。
TDSS
2008 年,TDSS Rootkit 首次被偵測到。這與 bootloader Rootkit 相似,因為它會在操作系統的早期階段載入並執行 ,因此對偵測與移除來說都是一大挑戰。
如何偵測 Rootkit
偵測電腦上是否存在 Rootkit 可能很困難,因為這類惡意軟件的設計很明確地就是要隱藏起來。Rootkit 也能夠停用安全軟件,令這項任務更加困難。因此,Rootkit 惡意軟件可能會長時間停留在你的電腦上,造成重大損害。
Rootkit 惡意軟件的可能跡象包括:
1.藍屏。
大量的 Windows 錯誤訊息或帶有白色文字的藍屏(有時稱為「死亡藍屏」),同時你的電腦不斷需要重新啟動。
2.不尋常的網頁瀏覽器行為
這可能包括出現你不認得的書籤或重新導向的連結。
3.設備運行速度減慢
你的設備可能需要一段時間才能啟動,而且效能緩慢或經常出現定格。它也可能無法回應滑鼠或鍵盤的輸入。
4.在未經允許的情況下 Windows 設定被改變
一些例子可能包括你的螢幕保護程式變更、工作列自行隱藏,或顯示不正確的日期和時間,而你並沒有更改任何設定。
5.網頁無法正常運作
網頁或網絡活動看起來斷斷續續,或因為網絡流量過大而無法正常運作。
Rootkit 掃描是偵測 Rootkit 感染的最佳方式,你的防毒解決方案可以啟動此掃描功能。如果你懷疑有 Rootkit 病毒,偵測感染的方法之一是關閉電腦,然後從已知的乾淨系統執行掃描。
行為分析是另一種偵測 Rootkit 的方法。這表示你不是尋找 Rootkit,而是尋找類似 Rootkit 的行為。如果你知道系統有異常行為,目標掃描就會很有效,而行為分析可能會在你意識到受到攻擊之前就提醒你存在 Rootkit。
如何移除 Rootkit
移除 Rootkit 是一個複雜的過程,通常需要專門的工具,例如 Kaspersky 的 TDSSKiller 實用程式 ,它可以偵測並移除 TDSS Rootkit。有時候,要完全消除隱藏得很好的 Rootkit,唯一的方法就是刪除電腦的操作系統,然後從頭重建。
如何從 Windows 移除 Rootkit
在 Windows 設備上,移除通常涉及執行掃描。如果存在深度感染,移除 Rootkit 的唯一方法是重新安裝 Windows。最好透過外部媒體設備進行此操作,而不是使用內建的 Windows 安裝程式。有些 Rootkit 會感染 BIOS,這將需要修復後才能解決問題。如果修復後仍有 Rootkit,你可能需要換一部新的電腦。
如何從 Mac 設備移除 Rootkit
在 Mac 設備 上 ,請確保使用最新版本。Mac 更新不僅會增加新功能,還會移除惡意軟件,包括 Rootkit。Apple 具備內置的安全功能,可防止惡意軟件入侵。不過,macOS 上並沒有已知的 Rootkit 偵測器,因此如果你懷疑設備上有 Rootkit,應該重新安裝 macOS。這樣做可以移除機器上的大部分應用程式和 Rootkit。如上所述,如果 Rootkit 已感染 BIOS,則需要進行修復才能解決問題 - 如果 Rootkit 仍然存在,你可能需要購買新的設備。
如何預防 Rootkit
由於 Rootkit 可能很危險且難以偵測,因此在瀏覽網絡或下載程式時保持警惕非常重要。你為了避免電腦病毒而採取的很多相同保護措施也能最大限度地降低 Rootkit 的風險:
1.使用全面的網絡安全解決方案
積極主動地保護你的設備並安裝全面且先進的防毒解決方案。Kaspersky Total Securty 提供針對網絡威脅的全面保護,還可讓你執行 Rootkit 掃描。
2.保持最新版本
持續的軟件更新對於確保安全和防止黑客用惡意軟件感染十分重要。確保所有程式和操作系統是最新版本,以避免黑客利用漏洞進行 Rootkit 攻擊。
3.警惕網絡釣魚詐騙
網絡釣魚是一種社交工程攻擊,詐騙者使用電子郵件誘騙使用者向他們提供財務資訊或下載惡意軟件(例如 Rootkit)。為了防止 Rootkit 入侵你的電腦,請避免打開可疑電子郵件,尤其是在你不熟悉寄件者的情況下。如果你不確定某個連結是否值得信賴,請不要點擊它。
4.僅從可信任來源下載檔案
開啟附件時要小心,避免開啟陌生人發送的附件,以防止在你的電腦上安裝 Rootkit。僅從信譽良好的網站下載軟件。當網頁瀏覽器告訴你嘗試造訪的網站不安全時,請不要忽視警告。
5.留意電腦的行為或效能
出現行為問題可能表示 Rootkit 正在運行。對任何意外的變化保持警惕,並嘗試找出這些變化出現的原因。
Rootkit 是尋找和刪除方面最具挑戰性的惡意軟件類型之一。由於它們很難被發現,預防通常是最好的防禦方法。為了確保持續的保護,請繼續瞭解最新的網絡安全威脅。
推薦產品:
