|
|
|
 |
|
黑客為Rootkit找到新藏身之所
|
|
來源:IT168 2008-05-12 14:20:54
|
|
據國外媒體報道,安全專家已經發現一個新類型的惡意rootkit軟件可以將自己隱藏在計算機微處理器中一個非常隱蔽的地方,以躲避目前殺毒軟件的查殺。 該軟件被稱為系統管理模式(System Management Mode,SMM)rootkit,它運行在計算機內存的一個受保護區域中,這個區域是操作系統無法發現和訪問的,但它可以讓黑客了解在計算機內存中正在發生的操作。 如果黑客將這個系統管理模式rootkit與鍵盤記錄器和其它通訊工具配合使用的話,將可以很輕松的盜竊感染者計算機上的敏感信息。該rootkit由安全專家Shawn Embleton和Sherii Sparks共同開發,他們在美國佛羅里達州開辦了一個叫Clear Hat的安全顧問公司。 在今年八月的拉斯維加斯舉行的黑帽安全大會上,驗證這一概念的軟件將首次被公開演示。 現在黑客們所使用的rootkit多數是在運行的時候偷偷隱藏自己的痕跡,以免被安全軟件所檢測到。在2005年底索尼BMG唱片公司被曝光使用rootkit技術來隱藏它的版權保護軟件,使人們加深了對rootkit技術的了解。后來該公司被迫收回相關的唱片CD。 不過近幾年以來,黑客們已經開始尋找在操作系統之外運行rootkit軟件的方法,以使其更難于被發現。舉個例子來說,兩年前安全專家Joanna Rutkowska曾演示了一個叫“藍色藥丸”的rootkit,它使用了AMD芯片級別的虛擬化技術來隱藏自己。她表示,利用該技術甚至可以開發出“百分之百防檢測的木馬程序”。 三年前曾編寫出另一個被稱為Shadow Walker的rootkit的Sparks表示,“Rootkit正在越來越多的轉向硬件,它在系統中藏的越深,其實現的功能就越大,并且被殺毒軟件檢測到的難度就越大。” 藍色藥丸所利用的新虛擬化技術現在正在被加入到微處理器中,但是系統管理模式rootkit使用的卻是一個已經存在了很長時間且已經存在于很多計算機中的一個功能。早在英特爾的386處理器中就用到了系統管理模式,該功能被用來幫助硬件廠商通過軟件來修復硬件中的漏洞。該技術還被用來幫助管理計算機的電源管理,例如進入睡眠模式。 安全顧問公司NGS軟件的專家John Heasman表示,在很多方面,運行在內存鎖定區域的系統管理模式rootkit都比藍色藥丸更難于被檢測到。他表示,“目前的反病毒軟件將無法檢測到一個系統管理模式rootkit。” 幾年以前就有安全專家猜想惡意軟件可以被編寫運行在系統管理模式中。早在2006年,安全專家Loic Duflot就已經證明,可以編寫系統管理模式木馬。Embleton表示,“Duflot編寫了一個小型系統管理模式軟件,可以攻破操作系統的安全模式,現在我們將這種思想進一步深化,編寫了一個更復雜的系統管理模式程序,可以使用類似rootkit的技術。” 除了編寫一個調試器之外,Sparks和Embleton還要利用難于使用的匯編語言來編寫一個驅動程序,來使他們的rootkit正常運行。Sparks表示,“對它進行調試是一件非常困難的事情。” 由于與操作系統分離使得這個系統管理模式rootkit很難被發現,但是同時也意味著黑客們必須專門為他們攻擊的系統編寫這個驅動程序。 Sparks表示,“我不認為這是個影響廣泛的安全威脅,因為它取決于不同的硬件類型。” 那么這種rootkit是否完全不能被檢測到呢?Sparks表示并非如此,“我并不是說它無法被檢測到,但是我認為檢測到它的難度也很大。”在黑帽安全大會上她和Embleton將就檢測技術進行更多探討。
|
