系統 - 高手教你清除Rootkit之完全篇

[psac]

高手教你清除Rootkit之完全篇

首先大家必須明白什麼是rootkit ？

　　Rootkit基本是由幾個獨立程式組成，一個典型rootkit包括： 以太網嗅探器程程式，用於獲得網路上傳輸的用戶名和密碼等訊息。 特洛伊木馬程式，為攻擊者提供後門。 隱藏攻擊者目錄和工作行程的程式。還包括一些日誌清理工具，攻擊者用其刪除wtmp、utmp和lastlog等日誌文件中有關自己行蹤的條目。 複雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。還包括一些用來清理/var/log和/var/adm目錄中其它文件的腳本。

　　最近最讓IT管理員頭痛的是什麼呢？--毫無疑問是rootkit。這種可惡的程式是一批工具集，黑客用它來掩飾對電腦網路的入侵並獲得管理員訪問權限。一旦黑客獲得管理員訪問權限，就會利用已知的漏洞或者破解密碼來安裝rootkit。然後rootkit會收集網路上的用戶ID和密碼，這樣黑客就具有高階訪問權限了。

　　rootkit還有監控網路資料和按鍵的功能；為黑客在系統上開「後門」；修改日誌文件；攻擊網路上的其他電腦；修改系統上已有的工具防止被檢測出來。 那麼如何發現rootkit呢？看看三位Windows安全專家對用戶的rootkit問題提供了什麼解決方案吧。

　　用戶的問題：我是一家大型非營利機構的IT管理員。由於我們缺乏資金和人手，我們的許多用戶需要用管理員訪問權限來完成工作。最近，越來越多的用戶抱怨他們的管理員應用程式崩潰了。他們的一些管理軟件不再工作，例如，一些系統上的抗病毒軟件神秘的失效了。有的在試圖使用應用程式時藍底白字畫面死機，有的電腦莫名其妙地重啟或發送錯誤訊息。用普通的間諜軟件和特洛伊木馬掃瞄工具沒有發現任何問題。是什麼在搗鬼？我們需要重裝所有出現問題的電腦嗎？

[size=4]　　專家教你清除rootkit之診斷：
　　Kurt Dillard：缺少細節，但是，有一些關鍵的訊息。以前一直很可靠的各種電腦系統頻繁出現操作系統崩潰的問題意味著受到感染的電腦中的某些東西被改變了。另一個重要的線索是殺毒軟件自動關閉自己。最後一個線索是，標準的安全工具不能發現任何惡意軟件表明如果這些電腦中有新的軟件，這種軟件正在偷偷地執行。這種文件隱藏起來了看不到，但是，仍在執行。如果惟一奇怪的事情是數不清的系統崩潰，我會懷疑操作系統最新使用的修正檔、設備驅動程式或者一個安全應用程式有問題。這些症候結合在一起暗示某些惡意的東西在起作用。然而，它也許不是一個rootkit。你必須要做額外的研究以便發現正在發生的是什麼。

　　Lawrence Abrams：當你的電腦開始出現異常情況時，我想到的第一件事情就是你的電腦被間諜軟件、病毒、特洛伊木馬、蠕蟲或者其它形式的惡意軟件感染了。如果在你使用殺毒軟件和/或者反間諜軟件進行掃瞄之後繼續存在這個問題，那麼，這個時候就該使用某些工具進行深入的分析了。需要檢查的是電腦的啟動程式，看看是否存在當前殺毒軟件定義中沒有的新的惡意軟件。某些檢測故障的軟件程式是:

　　HijackThis：這是一種通用的主頁劫持者檢測和清除工具，能夠連續不斷地更新。

　　WinPFind：這個工具軟件可以掃瞄硬碟中的普通位置，查找與已知的惡意軟件使用的方式相匹配的文件。

　　Silent Runners：這個軟件工具檢查Windows是如何啟動的並且創建一個文本文件以便進行研究或者作為一個基準儲存起來。如果沒有檢測到任何東西，設法用安全模式執行這個程式和你的殺毒/反間諜軟件。很多與蠕蟲一起發佈的普通的rootkit在安全模式不能夠執行。因此，故障排查軟件在安全模式下可以看到這些惡意軟件。

　　如果在安全模式下發現新的記錄和文件，電腦很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面，如果你在安全模式下執行同一個工具軟件之後仍沒有發現任何可疑的現象，但是這個惡意軟件的行為繼續存在，你可以推測你正在應付一個更高階的rootkit。

　　Kevin Beaver：考慮到安裝的應用程式的奇怪行為，你很可能正在對付某種類型的惡意軟件，最有可能是rootkit或者以遠端接入特洛伊木馬。這些惡意軟件能夠讓黑客從外部偷偷進入沒有保護措施的電腦。瞭解這個事情的惟一方法是執行能夠掃瞄或者監視異常行為和rootkit的存在的其它掃瞄軟件。這種工具可以是Sana安全公司的「Primary Response」，或者Finjan軟件公司的各種解決方案以及Sysinternals公司的「RootkitRevealer」。

　　我還建議同時執行至少二種或者三種反間諜軟件工具。也許還會有一些工具軟件你沒有用到。除了Spybot--Search & Destroy等常用的解決方案和Lavasoft Ad-Aware安全軟件之外還有一些工具。我很幸運地使用了冠群國際的PestPatrol和微軟的AntiSpyware等工具軟件。監視老系統活動的另外兩個工具是監視和封鎖出站通訊的個人防火牆（不是Windows防火牆）以及能夠監視可疑的系統進出的網路通信的網路分析器。當然，只有你的系統連接到網路的時候後一種選擇才是可用的。

專家教你清除rootkit之立即行動：

　　Kurt Dillard：首先，將受影響的系統從網路離線是一個好主意。接下來，你需要決定你願意投入多少時間。你願意收集可能用來提出犯罪指控的證據嗎？收集證據非常耗費時間，而且你必須要認真遵循適當的證據收集程式來做。你要確定這個事件的根源以便採取具體措施堵住被利用的任何安全漏洞嗎?這也需要耗費很多時間。或者像我們大多數人一樣，你沒有那樣多的時間，只是想盡快擺脫故障使系統恢復正常?無論你選擇什麼辦法，我都希望你在事件發生之間制定一個具體的事件反應計劃。如果你沒有這個計劃，你要確定寫出一個適合你的機構的業務需求的書面計劃。

　　收集能夠用於法庭上的訊息系統的證據需要嚴格的程式，把發生的一切事情都存檔儲存並且保護原始的資料。我建議，你應該在事件發生之前與你們機構的法律代表和一些業內專家合作制定一個計劃。你要使用逐個字節拷貝的工具等軟件（也就是Guidance軟件公司的EnCase、AccessData公司的FTK Imager或者X-Ways軟件技術公司的WinHex等工具軟件），在安全的地方存儲受到影響的系統，對這些工具軟件創建的資料做適於法庭使用的整理工作。

　　找出發生問題的細節可能需要很多時間。但是，這項工作是令人著迷和有教育意義的。有一些rootkit檢測工具：

　　·RootkitRevealer（成名的和令人尊敬的安全專家Mark Russinovich和Bryce Cogswell製作的）

　　·Blacklight（知名安全軟件廠商F-Secure公司製作的）

　　·Klister（卑鄙的內核模式rootkitFU的作者製作的--你自己需要決定是否讓你的網路信賴這個程式員）

　　這些工具都有自己獨特的功能和缺陷。我喜歡使用RootkitRevealer。但是，惡意軟件作者不斷地更新他們的工具以便避開最新的檢測應用程式，因此，我最喜歡的工具也許也不能檢測出所有的惡意軟件。你也許需要手工執行微軟研究院2004年發佈的工具軟件「Strider GhostBuster」的白皮書中解釋的那些程式。簡言之，你要在系統啟動的時候拍下系統的快照，收集每個硬碟的目錄列表等訊息。然後，你使用替代的操作系統啟動電腦，用你在乾淨的操作系統中所看到的東西與被攻破的操作系統中的東西進行比較。

　　如果你沒有時間了，在使受到影響的電腦系統脫離網路之後，你可以直接進入恢復階段。

　　Lawrence Abrams：如果你發現的rootkit看起來像是與各種惡意軟件捆綁在一起的普通的rootkit，那麼，離線這台電腦的網路連接作為你的第一個措施應該是足夠的。這將阻止其傳播以及可能下載和安裝更多的惡意軟件。

　　另一方面，如果你確定那就是目標rootkit，是一個人專門攻破這台電腦並且安裝的rootkit，那麼，你應該按照你們的機構對付入侵的政策去做。遺憾的是，大多數公司對於這類事件沒有政策。如果你可能採取法律行動的話，最低限度你要立即製作一個可在法院使用的硬碟的鏡像，把原始的電腦儲存起來以便在法庭上當作證據。如果你不打算採取法律行動，你就可以直接進入恢復階段。

　　Kevin Beaver：我首先的建議是離線電腦的網路連接，不過，這只能在你能夠承受這種損失的情況下才可以這樣做（也就是說，如果這樣做不影響主要的業務經營的話）。這樣做有助於阻止任何惡意軟件傳播或者影響其它的網路電腦。第二，安裝/執行我在診斷階段提到的應用程式。你可能需要執行這些程式來監視系統的行動。然而，一旦系統受到感染，檢測程式要發現異常或者正常的行為都是很困難的，如果不是不可能的話。這主要取決於具體的工具的工作情況。

　　專家教你清除rootkit之恢復系統：

　　Kurt Dillard：遺憾的是「用核打擊讓站點進入軌道」是最有力的恢復方法。一旦黑客攻破了你的電腦，你永遠不會確定你發現並清除了每個一被修改的地方。

　　如果你擁有最新的備份，按下列步驟執行：

　　1.把硬碟從被感染的電腦中拆下來安裝到另一台乾淨的電腦中；

　　2.從乾淨的系統備份資料；

　　3.刪除受影響的電腦的操作系統，並且使用已知的良好的介質重新為受影響的電腦安裝操作系統；

　　4.採取在預防措施階段中介紹的步驟盡最大努力保證系統的安全；

　　5.把資料恢復到重建的電腦中；

　　6.使用最新的殺毒軟件和反間諜軟件全面掃瞄恢復的資料。

　　7.不要存儲任何可執行文件。最佳方法是故意刪除二進制、腳本、ActiveX控件等任何可執行文件。

　　Lawrence Abrams：從rootkit的影響中恢復過來是很棘手的。如果rootkit是通過普通的沒有針對性的惡意軟件安裝的，清除這種侵犯你的電腦的惡意軟件應該比恢復你的電腦還要困難。

　　另一方面，如果你對付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit，那麼，那就是黑客故意把這些rootkit安裝到目標電腦中的。記住這個問題，你絕對想不到這些rootkit在你的電腦中安裝了什麼或者修改了什麼。黑客也許會通過註冊表修改安全設置，用黑客版本的文件替換你系統中的重要文件，或者以其它方式控制受害者的電腦或者網路。在這種情況下，我總是建議備份資料和重新安裝操作系統。在你把資料複製到新安裝的電腦之前，掃瞄一下資料，檢查是否被感染。

　　如果重新安裝電腦不是一種選擇，你可以使用rootkit檢測程式查找屬於rootkit的文件。這類工具軟件包括Blacklight、RootkitRevealer和Flister等。由於這些文件在rootkit程式之外很可能看不到，你可以使用可啟動的Linux發佈版軟件如KNOPPIX、啟動碟或者通過一個網路共享（不建議這樣做）清除那些文件。

　　最後，如果你有資源重新安裝電腦，那可能是你最佳的選擇。

　　Kevin Beaver：如果你沒有檢測到任何rootkit，但是，異常的行為繼續出現，你的最佳和最安全的選擇是重新格式化和重新安裝系統。在進行這種操作之前，你要確保備份一切必要的文件。由於目前大多數惡意軟件（特別是rootkit）不感染二進制或者文本文件，這樣做是很安全的。惡意軟件主要感染可執行文件和操作系統以及應用程式使用的支持庫文件。如果你能夠清潔系統（如果發現了rootkit就很難做到），你需要經常掃瞄系統並且監視其它的可疑行為。再說一次，一定要使用我在診斷階段所提到的那些工具。

專家教你清除rootkit之預防措施：

　　Kurt Dillard：你可以採取很多應對措施。下面是最有效的五個措施：

　　1.避免使用具有管理員權限的賬戶登入。你可以使用Windows內置的工具RunAs或者MakeMeAdmin等工具軟件做到這一點；

　　2.執行一個為你的整個網路設置的防火牆以及分配給每個連接阜的防火牆軟件，如Windows防火牆（包括Windows XP SP2）；

　　3.保持你的Windows和其它軟件都是用最新的修正檔和服務包。如果你只有少量的系統，你可以使用「Automatic Updates」（自動更新）等工具。如果你有很多系統，你可以使用Windows服務器更新服務；

　　4.使用擁有最新簽名庫的流行的殺毒軟件。要瞭解更多的殺毒軟件廠商，請參閱微軟殺毒合作夥伴網頁；

　　5.使用最新的間諜軟件保護工具，如微軟的Windows反間諜軟件。

　　要瞭解更多的有關減小受到這種惡意軟件攻擊的風險的想法，可以參考我最近發表的技術指南。

　　Lawrence Abrams：安全方面最重要的步驟是盡一切努力阻止用戶使用管理員的權限登入網路。可以理解的是，使用當前的Windows結構，這不可能總做到。當惡意軟件感染一台電腦的時候，這個惡意軟件將以登入用戶同樣的安全級別執行。因此，如果用戶具有管理員權限，這個惡意軟件也將擁有管理員權限。這種權限就給予惡意軟件全面訪問你的電腦的權利。

　　使用阻止其它惡意軟件的最佳做法同樣可以防止rootkit（無論是有針對性的蠕蟲攜帶的還是病毒式的蠕蟲攜帶的）。

　　1.使用防火牆封鎖經常被黑客攻破的Windows TCP連接阜，如20、21、23、80、135、139、443和445連接阜。通過從源頭封鎖這些連接阜，你首先會減少被黑客攻破的風險。最佳的做法的是封鎖每一個連接阜，僅把一個連接阜映射到一台需要打開連接阜的機器上。最近的蠕蟲利用的程式中的安全漏洞就是使用這些連接阜。如果一台電腦需要使用上述連接阜，防火牆應該確定哪一台電腦可以通過這個連接阜遠端接入這台電腦，而不是把連接阜完全敞開；

　　2.而且，每一台電腦都應該一直擁有最新的安全更新，並且執行每一天都更新的殺毒軟件。病毒軟件的新的定義是經常發佈的，擁有這些最新的定義是非常重要的；

　　3.除了殺毒軟件之外，你至少還需要兩種反間諜軟件工具，如在電腦上安裝Spybot-Search and Destroy、Webroot軟件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具軟件。使用最新的更新每天或者每個星期掃瞄一次能夠自動發揮最新的病毒定義的優勢；

　　4.最後一條，但是不是最不重要的一條。要教育用戶採取良好的做法。用戶應該知道不要點擊互連網廣告、陌生人從即時消息中發來的鏈接或者陌生人發來的電子郵件的附件。如果一個新的蠕蟲開始傳播，IT工作人員應該立即發出電子郵件通知所有的用戶，解釋這種附件、配置或者措詞。

　　擁有可隨時使用的防火牆、反惡意軟件工具、最新的安全更新和為用戶提供的良好的互連網指南，你應該能夠避免受到這些類型的惡意軟件的感染。

　　Kevin Beaver：只要電腦是由人類操作的或者是連接到網路的，就沒有辦法絕對保證安全。然而，你可以安裝反間諜軟件、rootkit檢測工具和監視異常情況的軟件來保證系統的安全。最理想的是，如果你受到過一次攻擊並且不想再次受到這種攻擊，你最好安裝上述的全部三類安全軟件。此外，這句話也許是老生常談，但是還是要強調一下。你要確保你嚴格執行所有的操作系統和應用程式都使用最新的安全修正檔的規定。