Rootkit 的定義和意義
Rootkit 是一種惡意軟體,旨在讓駭客能存取並控制目標裝置。雖然大多數 Rootkit 都是影響軟體和作業系統,但有一些也能感染電腦的硬體和韌體。Rootkit 擅長隱匿自己的存在,並在隱藏的同時活動。
一旦它們獲得對電腦未經授權的存取權,Rootkit 就會讓網路罪犯竊取個人資料和財務資訊、安裝惡意軟體或將電腦變成殭屍網路的一部分,藉此循環發送垃圾郵件和參與 DDoS(分散式阻斷服務)攻擊。
「Rootkit」這個名稱取自 Unix 和 Linux 作業系統,因為其中將權限最大的帳戶管理員稱為「root」。在裝置上允許未經授權的 root 或管理員層級存取權的應用程式就叫「Kit」。
什麼是 Rootkit?
Rootkit 是網路罪犯用來完全控制目標電腦或網路的軟體。Rootkit 有時會採用單一軟體形式,但通常是一整套工具,讓駭客能對目標裝置獲得管理員層級的控制權。
駭客能以多種方式在目標機器上安裝 Rootkit:
- 最常見的方式是透過網路釣魚或其他類型的社會工程攻擊。只要受害者在不知不覺間下載並安裝惡意軟體,該軟體就會藏匿在機器上執行的其他程序當中,並給予駭客對作業系統幾乎所有層面的控制權。
- 另一種方式是利用漏洞,例如軟體或作業系統中尚未更新的脆弱之處,並迫使 Rootkit 在電腦上執行。
- 惡意軟體也可以與其他檔案捆綁,例如被感染的 PDF、盜版媒體或下載自可疑第三方商店的應用程式。
Rootkit 會在作業系統核心旁邊或內部運作,這讓它們有能力向電腦發出指令。任何會用到作業系統的部分都是 Rootkit 的潛在目標。隨著物聯網的擴張,這就可能包含您的冰箱或恆溫器等物件。
Rootkit 可以隱藏鍵盤記錄器,在沒有得到您同意的情況下捕捉按鍵輸入。這讓網路罪犯可輕易竊取您的個人資訊,例如信用卡或網路銀行詳細資訊。Rootkit 能讓駭客使用您的電腦發起 DDoS 攻擊或傳送垃圾郵件。他們甚至能夠停用或移除安全軟體。
有些 Rootkit 會用於合法目的,例如提供遠端 IT 支援或輔助執法。然而在大多數情況下,它們都是用於惡意目的。Rootkit 如此危險,是因為它們能傳遞各種形式的惡意軟體,操縱電腦的作業系統,並向遠端使用者提供管理員存取權。
Rootkit 類型
1.硬體或韌體 Rootkit
硬體或韌體 Rootkit 能影響您的硬碟、路由器或系統 BIOS,也就是電腦主機板上一小塊記憶晶片內安裝的軟體。它們的目標不是作業系統,而是要在裝置的韌體內安裝難以偵測到的惡意軟體。由於它們能影響硬體,這允許駭客記錄您的按鍵輸入,並監控網路活動。雖然比其他類型少見,但硬體或韌體 Rootkit 對網路安全來說是個嚴重威脅。
2.開機載入程式 Rootkit
開機載入程式機制負責在電腦上讀取作業系統。開機載入程式的 Rootkit 會攻擊此系統,用已被駭入的版本取代電腦上正規的開機載入程式。這甚至能在電腦的作業系統完整載入前就啟動 Rootkit。
3.記憶體 Rootkit
記憶體 Rootkit 隱藏在電腦的隨機存取記憶體 (RAM) 內,並能在背景中使用電腦資源執行惡意活動。記憶體 Rootkit 會影響電腦的 RAM 效能。由於它們只存在於電腦的 RAM 中,並未注入永久代碼,記憶體 Rootkit 會在您重啟系統的瞬間消失,但有時候需要做得更多才能清除它們。短暫的生命周期代表它們不太會被視為嚴重威脅。
4.應用程式 Rootkit
應用程式 Rootkit 會在電腦中用 Rootkit 檔案取代標準檔案,甚至可能改變標準應用程式的運作方式。這些 Rootkit 會感染 Microsoft Office、Notepad 或小畫家等程式。攻擊者可以在您每次執行這些程式時獲得電腦的存取權。由於被感染的程式仍然會正常執行,使用者很難偵測到 Rootkit,但防毒程式可以偵測到它們,因為兩者都在應用程式層運作。
5.核心模式 Rootkit
核心模式 Rootkit 是這種威脅中最嚴重的一種,因為它們的目標是作業系統的核心(如核心層級)。駭客不只能使用它們存取電腦上的檔案,也能藉由添加自己的代碼改變作業系統的功能。
6.虛擬 Rootkit
虛擬 Rootkit 會在電腦的作業系統底層載入。接著它會作為虛擬機器託管目標作業系統,讓它能攔截原始作業系統的硬體呼叫。這類 Rootkit 不必修改核心就能破壞作業系統,因此非常難以偵測。
Rootkit 範例
Stuxnet
史上最惡名昭彰的 Rootkit 之一是 Stuxnet。這種惡意電腦蠕蟲發現於 2010 年,但其開發據信是從 2005 年開始。Stuxnet 對伊朗的核計劃造成了重大傷害。雖然沒有國家/地區宣稱負責,但人們普遍相信它是由美國和以色列共同創造的網路武器,其合作計劃名為奧林匹克運動會。
其他值得注意的 Rootkit 範例包括:
Flame
2012 年,網路安全專家發現了 Flame。這是一種出現在中東,主要用於網路間諜活動的 Rootkit。Flame 又稱 Flamer、sKyWIper 和 Skywiper,能影響電腦的整個作業系統,使它可以在裝置上監控流量、捕捉螢幕擷取畫面和音訊,並記錄按鍵輸入。Flame 背後的駭客並未被尋獲,但研究指出他們使用了橫跨三大洲的 80 台伺服器存取受感染的電腦。
Necurs
2012 年,Necurs 作為一種 Rootkit 出現,據稱在當年度就有 83,000 例感染。Necurs 與東歐的精英網路罪犯有關,由於其技術複雜性和進化能力而聞名。
ZeroAccess
2011 年,網路安全專家發現了 ZeroAccess。這是一種核心模式 Rootkit,在全球感染了超過 200 萬台電腦。比起直接影響受感染電腦的功能,這種 Rootkit 更傾向在受感染的機器上下載並安裝惡意軟體,使其成為全球殭屍網路的一部分,供駭客利用來發動網路攻擊。ZeroAccess 至今仍然活躍。
TDSS
2008 年首次偵測到 TDSS Rootkit。由於它是在作業系統的早期階段載入並執行,它更像是開機載入程式 Rootkit,使其難以偵測和移除。
如何偵測 Rootkit
在電腦上偵測 Rootkit 的存在可能很困難,因為這種惡意軟體是特別設計來保持隱密。Rootkit 也可以停用安全軟體,使偵測甚至更顯困難。作為結果,Rootkit 惡意軟體可能在您的電腦上長期存在、造成嚴重的傷害。
可能的 Rootkit 惡意軟體徵兆包括:
1.藍屏
許多 Windows 錯誤訊息或有白色文字的藍屏(又稱「藍色當機畫面」),且電腦經常需要重啟。
2.不常見的網路瀏覽器行為
這可能包括不認識的書籤或連結重定向。
3.裝置運行緩慢
您的裝置可能需要一段時間才能啟動且運行緩慢或經常凍結。它也可能無法回應滑鼠或鍵盤的輸入。
4.未經許可的 Windows 設定變更
範例可能包括您的螢幕保護程式變更、任務列自行隱藏,或是不正確的日期和時間顯示,而您完全沒變更過任何設定。
5.網頁不正常運作
網頁或網路活動由於過多網路流量顯得斷斷續續或不正常運作。
Rootkit 掃描是偵測 Rootkit 感染的最佳方式,可以由防毒解決方案執行。如果您懷疑自己遭遇到了 Rootkit 病毒,有一種偵測感染的方式就是關閉電腦並從已知乾淨的系統執行掃描。
行為分析是偵測 Rootkit 的另一種方式。其意義在於比起尋找 Rootkit,您更該尋找 Rootkit 式的行為。儘管有目的掃描在您知道系統行為異常時會有良好的表現,行為分析或許能在您發現自己遭到攻擊之前就警告 Rootkit 的存在。
如何去除 Rootkit
移除 Rootkit 是一個複雜的程序,通常需要專門的工具,例如 卡巴斯基的 TDSSKiller 公用程式,能夠偵測並移除 TDSS Rootkit。有時完全終結隱藏良好的 Rootkit 的唯一方法,就是抹除電腦的作業系統並從頭開始重建。
如何從 Windows 移除 Rootkit
在 Windows 上,移除通常都需要執行一次掃描。如果遭到深度感染,移除 Rootkit 的唯一方式就是重新安裝 Windows。如果能透過外部媒體裝置而非內建 Windows 安裝程式進行會更好。有些 Rootkit 會感染 BIOS,這就需要進行維修才能修復。如果在維修後還是有 Rootkit,您可能就需要買台新電腦了。
如何從 Mac 移除 Rootkit
在 Mac 上,請更新至最新版本。Mac 更新不只會增加新功能,它們也會移除惡意軟體,包括 Rootkit 在內。Apple 有內建的安全功能,提供對抗惡意軟體的保護。然而,macOS 上並沒有知名的 Rootkit 偵測器,如果您懷疑裝置上有 Rootkit,則應該重新安裝 macOS。這樣做會移除機器上的大多數應用程式和 Rootkit。如上所述,如果有 Rootkit 感染了 BIOS,您需要進行維修才能修復;如果 Rootkit 在那之後仍然存在,您可能就需要購買新裝置了。
如何預防 Rootkit
由於 Rootkit 危險且難以偵測,在瀏覽網路或下載程式時保持警惕十分重要。您用於避免電腦病毒的許多保護性措施,同樣也有助於盡量降低 Rootkit 的風險:
1.使用全面的網路安全解決方案
主動保護您的裝置,並安裝全面且先進的防毒解決方案。卡巴斯基全方位安全軟體提供全面的保護來對抗網路威脅,而且還讓您可以執行 Rootkit 掃描。
2.保持最新狀態
持續軟體更新對於保證安全和預防駭客的惡意軟體感染至關重要。將所有程式和作業系統保持在最新狀態,能避免 Rootkit 攻擊利用漏洞。
3.小心網路釣魚詐騙
網路釣魚是一種社會工程攻擊,詐騙犯會使用電子郵件欺騙使用者,讓其提供財務資訊或下載 Rootkit 等惡意軟體。為避免 Rootkit 滲透電腦,請避免開啟可疑的電子郵件,特別是在您不熟悉寄件者的情況下。如果您不確定某個連結是否可信,請勿點擊它。
4.只從可信賴的來源下載檔案
小心開啟附件並避免開啟來自不認識之人的附件,以防 Rootkit 安裝在您的電腦上。只從有信譽的網站下載軟體。當網路瀏覽器警告您正要造訪的網站不安全時,請勿忽視。
5.警惕電腦的行為或效能
行為問題可能代表有 Rootkit 正在運作。請對所有預料之外的變更保持警惕,並試著找出原因。
在尋找和移除上,Rootkit 是最具挑戰性的惡意軟體類型之一,因為它們難以偵測到,預防通常是最佳的防禦方式。為了確保持續防護,請繼續瞭解最新的網路安全威脅。
推薦產品:
