據(jù)國(guó)外媒體報(bào)道,安全專家已經(jīng)發(fā)現(xiàn)一個(gè)新類型的惡意rootkit軟件可以將自己隱藏在計(jì)算機(jī)微處理器中一個(gè)非常隱蔽的地方,以躲避目前殺毒軟件的查殺。
該軟件被稱為系統(tǒng)管理模式(System Management Mode,SMM)rootkit,它運(yùn)行在計(jì)算機(jī)內(nèi)存的一個(gè)受保護(hù)區(qū)域中,這個(gè)區(qū)域是操作系統(tǒng)無(wú)法發(fā)現(xiàn)和訪問(wèn)的,但它可以讓黑客了解在計(jì)算機(jī)內(nèi)存中正在發(fā)生的操作。
如果黑客將這個(gè)系統(tǒng)管理模式rootkit與鍵盤(pán)記錄器和其它通訊工具配合使用的話,將可以很輕松的盜竊感染者計(jì)算機(jī)上的敏感信息。該rootkit由安全專家Shawn Embleton和Sherii Sparks共同開(kāi)發(fā),他們?cè)诿绹?guó)佛羅里達(dá)州開(kāi)辦了一個(gè)叫Clear Hat的安全顧問(wèn)公司。
在今年八月的拉斯維加斯舉行的黑帽安全大會(huì)上,驗(yàn)證這一概念的軟件將首次被公開(kāi)演示。
現(xiàn)在黑客們所使用的rootkit多數(shù)是在運(yùn)行的時(shí)候偷偷隱藏自己的痕跡,以免被安全軟件所檢測(cè)到。在2005年底索尼BMG唱片公司被曝光使用rootkit技術(shù)來(lái)隱藏它的版權(quán)保護(hù)軟件,使人們加深了對(duì)rootkit技術(shù)的了解。后來(lái)該公司被迫收回相關(guān)的唱片CD。
不過(guò)近幾年以來(lái),黑客們已經(jīng)開(kāi)始尋找在操作系統(tǒng)之外運(yùn)行rootkit軟件的方法,以使其更難于被發(fā)現(xiàn)。舉個(gè)例子來(lái)說(shuō),兩年前安全專家Joanna Rutkowska曾演示了一個(gè)叫“藍(lán)色藥丸”的rootkit,它使用了AMD芯片級(jí)別的虛擬化技術(shù)來(lái)隱藏自己。她表示,利用該技術(shù)甚至可以開(kāi)發(fā)出“百分之百防檢測(cè)的木馬程序”。
三年前曾編寫(xiě)出另一個(gè)被稱為Shadow Walker的rootkit的Sparks表示,“Rootkit正在越來(lái)越多的轉(zhuǎn)向硬件,它在系統(tǒng)中藏的越深,其實(shí)現(xiàn)的功能就越大,并且被殺毒軟件檢測(cè)到的難度就越大。”
藍(lán)色藥丸所利用的新虛擬化技術(shù)現(xiàn)在正在被加入到微處理器中,但是系統(tǒng)管理模式rootkit使用的卻是一個(gè)已經(jīng)存在了很長(zhǎng)時(shí)間且已經(jīng)存在于很多計(jì)算機(jī)中的一個(gè)功能。早在英特爾的386處理器中就用到了系統(tǒng)管理模式,該功能被用來(lái)幫助硬件廠商通過(guò)軟件來(lái)修復(fù)硬件中的漏洞。該技術(shù)還被用來(lái)幫助管理計(jì)算機(jī)的電源管理,例如進(jìn)入睡眠模式。
安全顧問(wèn)公司NGS軟件的專家John Heasman表示,在很多方面,運(yùn)行在內(nèi)存鎖定區(qū)域的系統(tǒng)管理模式rootkit都比藍(lán)色藥丸更難于被檢測(cè)到。他表示,“目前的反病毒軟件將無(wú)法檢測(cè)到一個(gè)系統(tǒng)管理模式rootkit。”
幾年以前就有安全專家猜想惡意軟件可以被編寫(xiě)運(yùn)行在系統(tǒng)管理模式中。早在2006年,安全專家Loic Duflot就已經(jīng)證明,可以編寫(xiě)系統(tǒng)管理模式木馬。Embleton表示,“Duflot編寫(xiě)了一個(gè)小型系統(tǒng)管理模式軟件,可以攻破操作系統(tǒng)的安全模式,現(xiàn)在我們將這種思想進(jìn)一步深化,編寫(xiě)了一個(gè)更復(fù)雜的系統(tǒng)管理模式程序,可以使用類似rootkit的技術(shù)。”
除了編寫(xiě)一個(gè)調(diào)試器之外,Sparks和Embleton還要利用難于使用的匯編語(yǔ)言來(lái)編寫(xiě)一個(gè)驅(qū)動(dòng)程序,來(lái)使他們的rootkit正常運(yùn)行。Sparks表示,“對(duì)它進(jìn)行調(diào)試是一件非常困難的事情。”
由于與操作系統(tǒng)分離使得這個(gè)系統(tǒng)管理模式rootkit很難被發(fā)現(xiàn),但是同時(shí)也意味著黑客們必須專門為他們攻擊的系統(tǒng)編寫(xiě)這個(gè)驅(qū)動(dòng)程序。
Sparks表示,“我不認(rèn)為這是個(gè)影響廣泛的安全威脅,因?yàn)樗Q于不同的硬件類型。”
那么這種rootkit是否完全不能被檢測(cè)到呢?Sparks表示并非如此,“我并不是說(shuō)它無(wú)法被檢測(cè)到,但是我認(rèn)為檢測(cè)到它的難度也很大。”在黑帽安全大會(huì)上她和Embleton將就檢測(cè)技術(shù)進(jìn)行更多探討。
|
