间谍软件rootkit的检测、删除和防御策略

日期: 2009-11-26 翻译:Sean 来源:TechTarget中国 英文

Rotkit攻击:各种不同类型以及它们是如何工作的?   Rootkit是黑客安装在受害者电脑上的一种间谍软件形式。黑客往往通过尚未修补的缺陷或漏洞,或破解弱密码来获得系统的root访问权限。然后,攻击者利用rootkit来隐藏、修改或删除文件、登录活动或交易信息,从而让入侵的痕迹得以隐藏,这使得攻击者能够在用户不知情的情况下仔细研究计算机网络并对其造成严重破坏。攻击者也往往在受害者机器安装后门,这样能让他们方便地进入和退出受害者的系统。

Rootkit最早只存在于Unix和Linux的系统中,但随着时间的推移,rootkit也开始危害到了Windows和其它操作系统。   Rootkit的形式……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Rotkit攻击:各种不同类型以及它们是如何工作的?

  Rootkit是黑客安装在受害者电脑上的一种间谍软件形式。黑客往往通过尚未修补的缺陷或漏洞,或破解弱密码来获得系统的root访问权限。然后,攻击者利用rootkit来隐藏、修改或删除文件、登录活动或交易信息,从而让入侵的痕迹得以隐藏,这使得攻击者能够在用户不知情的情况下仔细研究计算机网络并对其造成严重破坏。攻击者也往往在受害者机器安装后门,这样能让他们方便地进入和退出受害者的系统。Rootkit最早只存在于Unix和Linux的系统中,但随着时间的推移,rootkit也开始危害到了Windows和其它操作系统。

  Rootkit的形式有两种:用户模式和内核模式。用户模式rootkit的工作原理是通过修改二进制代码来隐藏自己,这意味着能如果它改变了系统的关键文件,就可以被检测出来,因此并不是那么的危险。然而,内核模式的rootkit更为隐秘,因此它是攻击者常用的形式。内核模式的rootkit通过获取管理员帐户或者操作系统内核的权限使它们能与其它合法的系统进程在同一权限级别上运行。从这个层面上来说,rootkit能够控制系统和程序,让用户只看到它希望用户看到的东西。

  除上面两种类型的rootkit以外,还存在着rootkit管理程序,它是介于计算机硬件和操作系统之间的虚拟化软件层。这种类型的rootkits通过运行在虚拟机上的操作系统来控制计算机,这意味着rootkit能够完全控制整个操作系统,并且有能力抵御任何安全防御,让其几乎不可能被检测出来。

  如何检测、删除和预防rootkit?

  为了预防rootkit的安装,应确保企业所有的系统都打上了补丁,这一点很重要。如果发布了一个新的补丁,一定要尽快应用它,以免rootkit编写者能够利用这些漏洞在用户机器的文件系统深处隐藏恶意程序,从而攻破系统的安全防线。

  同时,实行分层的纵深防御(defense-in-depth)安全方法,该方法包括设置防火墙、强认证(strong authentication)、一致的和可核查的配置、以及在企业的安全架构中出现更少的缺陷,并对安全架构分更多的层次,这样能有效地降低攻击者攻破安全防线的可能性。

  目前,有若干个声称能够检测和删除这些恶意软件的Rootkit清除程序,但很难验证它们是否能够成功删除rootkit程序或者完全发挥了其所声称的作用。

  唯一能确保rootkit被完全删除的办法是对电脑进行格式化,即删除计算机硬盘中的数据,并重新安装操作系统。

  如何发现并删除间谍软件,并建立防御策略?

  假设你已经感染过某种形式的间谍软件,并且成功地清理了你的操作系统,接下来该怎么做呢?这是,应该建立您的防御系统,以避免遭受再一次的攻击。建立能够抵御间谍软件的、强有力的防御系统的第一个步骤是,确保杀毒软件已安装并能按时更新。用户还可以安装如Lavasoft公司的Ad–Aware、Spybot Search、Destroy等间谍软件扫描程序,这些软件都是免费下载的,它们都可以扫描系统、检测和删除间谍软件。此外,您的操作系统还必须按时更新和打补丁。如果有已知的操作系统漏洞,黑客会试图利用这些漏洞,所以必须保持系统的漏洞修复处于最新状态。

  间谍软件防御策略的另一方面是对终端用户进行培训,让他们知道如何避开间谍软件,并且这应该纳入企业的每位员工的安全意识培训中。当用户访问网络的时候,应该注意本组织可接受的使用政策,特别是当访问可能不安全的网站和下载资料时。某些网站(如色情和赌博网站)因充斥恶意代码而臭名昭著。即使可能是很明显被禁止的网站,也值得提醒用户,如果不遵守安全政策而去访问这些类型的网站,他们可能面临如丢掉工作等惩罚。

  为了抵御基于浏览器的间谍软件,应确保您浏览器的安全设置任何时候都不能低于“中等”级别,还需要培训用户不要打开可疑的电子邮件和其中链接、不要进入可疑的网站或点击浏览器上的随机提示。同时也一定要安装网络防御软件,特别是网络防火墙。由于网络防火墙是信息流通的关键点,因此它在向帐户管理员提供间谍软件活动的警示上非常有用。浏览器的安全强化管理也应该成为企业普遍的安全做法。同时,也可以考虑部署活动目录组策略对象(Active Directory Group Policy Object),从而执行严格的浏览器配置。

  过去,由于一些恶意代码专门针对IE浏览器,人们普遍认为IE浏览器更容易被间谍软件感染。因此,可以考虑推荐用户用其它的软件浏览网页,比如火狐或Opera浏览器,这也在企业间谍软件防御策略中增加了另外一层保护。

  如果一个系统已经被间谍软件感染,清理计算机的第一步是运行杀毒系统的扫描功能,并删除任何它找到的、并认为是有明显恶意的文件,此外还要确保在每天方便的时候安排一次杀毒。

  最后,任何不熟悉的、或奇怪的、但又明显不符合商业目的的应用软件或程序统统应该被删除。但为了防止出现偶然删除重要资料而引起的问题,一定要首先做好系统备份。

翻译

Sean
Sean

相关推荐