|
|
|
 |
|
黑客為Rootkit找到新藏身之所
|
|
來源:IT168 2008-05-12 14:20:54
|
|
據(jù)國外媒體報道,安全專家已經(jīng)發(fā)現(xiàn)一個新類型的惡意rootkit軟件可以將自己隱藏在計算機微處理器中一個非常隱蔽的地方,以躲避目前殺毒軟件的查殺。 該軟件被稱為系統(tǒng)管理模式(System Management Mode,SMM)rootkit,它運行在計算機內(nèi)存的一個受保護區(qū)域中,這個區(qū)域是操作系統(tǒng)無法發(fā)現(xiàn)和訪問的,但它可以讓黑客了解在計算機內(nèi)存中正在發(fā)生的操作。 如果黑客將這個系統(tǒng)管理模式rootkit與鍵盤記錄器和其它通訊工具配合使用的話,將可以很輕松的盜竊感染者計算機上的敏感信息。該rootkit由安全專家Shawn Embleton和Sherii Sparks共同開發(fā),他們在美國佛羅里達州開辦了一個叫Clear Hat的安全顧問公司。 在今年八月的拉斯維加斯舉行的黑帽安全大會上,驗證這一概念的軟件將首次被公開演示。 現(xiàn)在黑客們所使用的rootkit多數(shù)是在運行的時候偷偷隱藏自己的痕跡,以免被安全軟件所檢測到。在2005年底索尼BMG唱片公司被曝光使用rootkit技術(shù)來隱藏它的版權(quán)保護軟件,使人們加深了對rootkit技術(shù)的了解。后來該公司被迫收回相關(guān)的唱片CD。 不過近幾年以來,黑客們已經(jīng)開始尋找在操作系統(tǒng)之外運行rootkit軟件的方法,以使其更難于被發(fā)現(xiàn)。舉個例子來說,兩年前安全專家Joanna Rutkowska曾演示了一個叫“藍色藥丸”的rootkit,它使用了AMD芯片級別的虛擬化技術(shù)來隱藏自己。她表示,利用該技術(shù)甚至可以開發(fā)出“百分之百防檢測的木馬程序”。 三年前曾編寫出另一個被稱為Shadow Walker的rootkit的Sparks表示,“Rootkit正在越來越多的轉(zhuǎn)向硬件,它在系統(tǒng)中藏的越深,其實現(xiàn)的功能就越大,并且被殺毒軟件檢測到的難度就越大。” 藍色藥丸所利用的新虛擬化技術(shù)現(xiàn)在正在被加入到微處理器中,但是系統(tǒng)管理模式rootkit使用的卻是一個已經(jīng)存在了很長時間且已經(jīng)存在于很多計算機中的一個功能。早在英特爾的386處理器中就用到了系統(tǒng)管理模式,該功能被用來幫助硬件廠商通過軟件來修復(fù)硬件中的漏洞。該技術(shù)還被用來幫助管理計算機的電源管理,例如進入睡眠模式。 安全顧問公司NGS軟件的專家John Heasman表示,在很多方面,運行在內(nèi)存鎖定區(qū)域的系統(tǒng)管理模式rootkit都比藍色藥丸更難于被檢測到。他表示,“目前的反病毒軟件將無法檢測到一個系統(tǒng)管理模式rootkit。” 幾年以前就有安全專家猜想惡意軟件可以被編寫運行在系統(tǒng)管理模式中。早在2006年,安全專家Loic Duflot就已經(jīng)證明,可以編寫系統(tǒng)管理模式木馬。Embleton表示,“Duflot編寫了一個小型系統(tǒng)管理模式軟件,可以攻破操作系統(tǒng)的安全模式,現(xiàn)在我們將這種思想進一步深化,編寫了一個更復(fù)雜的系統(tǒng)管理模式程序,可以使用類似rootkit的技術(shù)。” 除了編寫一個調(diào)試器之外,Sparks和Embleton還要利用難于使用的匯編語言來編寫一個驅(qū)動程序,來使他們的rootkit正常運行。Sparks表示,“對它進行調(diào)試是一件非常困難的事情。” 由于與操作系統(tǒng)分離使得這個系統(tǒng)管理模式rootkit很難被發(fā)現(xiàn),但是同時也意味著黑客們必須專門為他們攻擊的系統(tǒng)編寫這個驅(qū)動程序。 Sparks表示,“我不認為這是個影響廣泛的安全威脅,因為它取決于不同的硬件類型。” 那么這種rootkit是否完全不能被檢測到呢?Sparks表示并非如此,“我并不是說它無法被檢測到,但是我認為檢測到它的難度也很大。”在黑帽安全大會上她和Embleton將就檢測技術(shù)進行更多探討。
|
