后门工具--rootkit

rootkit 是一种比普通木马后门更为隐秘和危险的木马后门。它主要通过替换系统文件来达到目的,这样就会更加隐蔽,使检测变得比较困难。传统的rootkit主要针对Unix平台,例如Linux、AIX、SunOs 等操作系统,有些rootkit可以通过替换DLL文件或更改系统来攻击Windows平台。rootkit并不能让攻击者直接获得权限,相反它是在用户通过各种方法获得权限后才能使用的一种保护权限的措施,在攻击者获取系统根权限根权限即root权限,是Unix系统的最高权限)以后,rootkit 提供了一套工具用来建立后门和隐藏行迹,从而让攻击者保住权限,在任何时候都可以使用root权限登录到系统。

rootkit主要有两种类型:文件级别和系统级别,下面分别加以简要介绍。

1.文件级rootkit

rootkit 威力很大,可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下,合法的程序变成了外壳程序,而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的Linux rootkit:login、 ls、ps、 find、who、 netstat。

其中,当我们访问Linux时不管是本地还是远程登录),/bin/login程序都会运行,系统将通过 /bin/l ogin来收集并核对用户的账号和密码。rootkit使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码,就能进入系统。就算管理员更改了原来的系统密码或者把密码清空,仍能够使用后门密码以根用户身份登录。在攻入Linux系统后,入侵者通常会进行一系列的攻击动作,如安装嗅探器收集重要数据,而Linux中也会有些系统文件监视这些动作,比如ifconfig等系统命令。所以,为了避免被发现,攻击者会想方设法替换一下这些系统文件,通常被rootkit替换的系统程序有login、ifconfig、du、find、ls、 netstat、ps等。这些命令都能在正常情况下查看系统一些重要的进程、文件和网络情况的信息,而一旦被替换,则无法发现rootkit已经在系统中工作。所以,如果攻击者将所有用户经常使用的命令都替换了的话,他不但能在系统中建立后门,而且还可以隐藏自己的踪迹。所以通过rootkit可以达到双重目的,攻击者可以随时进入系统,并且我们还不能对他的行为进行检测。

rootkit功能如此强大,所以必须好好进行防范。实际上,最有效的防御方法是定期对重要系统文件的完整性进行核查,这类工具很多,像Tripwire就是一个非常不错的文件完整性检查工具。该软件可以检测出一段时间内,系统中哪些文件发生了变化,如果一旦被替换,那么肯定能够反映出来。该软件的使用方法请参阅本报2005 年4月18日第14期C10版《使用Tripwire保护Linux文件系统》一文,或访问 www2.ccw.com.cn/05/0514/d/0514d04_1.asp)而一但使用该软件发现系统遭受到rootkit攻击,必须完全重装所有的系统文件、部件和程序,以确保安全性。

下面给出一些目前常用的文件级rootkit工具,用户可以选择使用:TrojanIT、Lrk5、Ark、Rootkit有很多个不同的版本)、TK。

2.内核级rootkit

在大多数操作系统中各种Unix和Windows),内核是操作系统最基本的部件,它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时,打开文件的请求被发送到内核,内核负责从磁盘得到文件的比特位并运行文件浏览程序。内核级 rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改系统内核,大多数内核级rootkit都能进行执行重定向,即截获运行某一程序的命令,将其重定向到入侵者所选中的程序并运行此程序。也就是说,用户或管理员要运行程序A,被修改过的内核假装执行A,实际却执行了程序B。

对于工作在文件级的rootkit来说,它们非常容易被检测到。而内核级rootkit工作在一个很低的内核级上。它们经常依附在内核上,并没有修改系统的任何文件,于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改,攻击者可以对系统为所欲为而不被发现。系统级 rootkit为攻击者提供了很大的便利,并且修复了文件级rootkit的一些错误。所以建议用户要做好前期的安全防范工作。例如将最小权限的原则应用到整个系统当中,这样攻击者就很难在系统中运行内核级的rootkit,因为运行它首先需要取得root权限。另外,可以模仿攻击者的攻击方式来确认系统是否已经受到内核级rootkit的威胁。以系统管理员的身份来运行攻击者一般需要运行的命令,如果系统对这些命令有所反应,那么基本可以确定系统已经被入侵了。不过做好前期的防范工作始终是最重要的,事后的弥补比较困难,而且显得有些捉襟见肘。

下面给出一些目前常用的内核级rootkit工具,用户可以选择使用:Knark、Adore。

由于上述的rootkit的工具种类繁多,所以这里不再介绍其安装以及使用的步骤,网上有很丰富的资源,读者可以参看。


共7页: 上一页1234567下一页

相关内容