Rootkit 的類型
Rootkit 可以透過多種方法安裝,但通常針對機器作業系統 (OS) 或電腦上應用程式的漏洞。攻擊者將鎖定已知漏洞,並使用漏洞攻擊程式碼攻擊電腦,然後安裝 rootkit 和其他讓他們遠端存取的元件。
另一個常見的 rootkit 安裝方法是透過受感染的通用序列匯流排 (USB) 磁碟機,攻擊者會離開公共場所,希望不知情的受害者能夠撿起它們並將其插入機器。然後,隱藏在 USB 磁碟機上的惡意軟體將作為看似合法的應用程式或檔案的一部分進行安裝。
但是,Rootkit 不僅被用於惡意目的。組織和執法機構也會使用它們來監控員工,使他們能夠調查機器並應對可能的網路威脅。
攻擊者有多種 rootkit 病毒類型,為電腦提供不同的路徑,並使他們能夠竊取使用者的資料。
1. 韌體 rootkit
韌體 rootkit 也稱為硬體 rootkit,通常旨在感染電腦硬碟和基本輸入/輸出系統 (BIOS),即安裝在主機板中小型記憶體晶片上的軟體。某些韌體 rootkit 可用於感染使用者的路由器,並攔截寫入硬碟的資料。
2. 開機載入器 rootkit
開機載入器是任何電腦的重要元素,也是機器開機的核心。電腦啟動後,特殊作業系統軟體會載入電腦記憶體,通常由光碟 (CD) 或數位多功能光碟 (DVD)、硬碟或 USB 隨身碟啟動,這些光碟會告訴 BIOS 開機載入器的位置。開機載入器工具包以駭客版本取代機器的開機載入器來攻擊此系統。
Bootloader rootkit 會感染主開機記錄或磁碟區開機記錄,這表示它不會出現在使用者的標準檔案系統中。這使得防rootkit和防毒軟體很難偵測到Rootkit。它也可能修改開機記錄,移除後可能會損壞機器。
3. 記憶體 rootkit
記憶體 rootkit 會隱藏在機器的隨機存取記憶體 (RAM) 中,也就是能夠將資料接收並儲存在電腦上的硬體。這些 rootkit 的使用壽命有限,但它們在機器背景中可能進行非常有害的活動。
記憶體 rootkit 存在於機器的 RAM 中,通常在系統重新啟動時消失,但有時可能需要移除其他工作。它們透過利用惡意流程佔用資源來降低機器 RAM 的效能。
4. 應用程式 rootkit
應用程式 rootkit 會以惡意 rootkit 檔案取代電腦上的檔案,進而改變標準應用程式的效能,例如 Notepad、Paint 或 Word。每次使用者執行這些應用程式時,都會讓駭客存取自己的電腦。受感染的程式會照常執行,這可能會使得偵測是否有 rootkit 變得困難,但應該使用良好的反根套件或防毒程式來發現。
5. 核心模式 rootkit
核心模式 rootkit 是針對機器作業系統的進階複雜惡意軟體。攻擊者可以輕鬆存取電腦,透過新增、刪除或取代其程式碼,竊取資料並修改作業系統的運作方式。
建立內核模式 rootkit 需要大量的技術知識,這意味著如果它有錯誤或故障,那麼它可能對受感染機器的效能產生巨大影響。然而,含有漏洞的 kernel rootkit 會更容易偵測,因為它會留下防rootkit 或防毒軟體的痕跡。
這些 rootkit 類型已被用來發動毀滅性的攻擊,包括:
NTRootkit:最早建立的惡意 rootkit 之一,專門攻擊 Windows 作業系統。
Machiavelli: 第一個針對 Mac OS 的 rootkit。2009 年 Machiavelli rootkit 攻擊在 Mac 電腦內建立隱藏的核心執行緒和隱藏系統。
Zeus: 特特洛伊木馬程式馬攻擊於 2007 年推出,針對使用瀏覽器內人 (MITB) 攻擊方法的銀行資訊,並形成抓取和擊鍵記錄。
Stuxnet:在 2010 年 首次發現,第一個專門針對工業控制系統並導致其運行的設備故障的已知 rootkit。
火焰:在 2012 年 被發現,攻擊 Windows 電腦,可以錄製音訊、鍵盤活動、網路流量和螢幕擷取畫面。
Necurs:最大的活躍殭屍網路之一背後的 rootkit,負責傳播 Locky 垃圾郵件和 Dridex 金融惡意軟體等大規模勒索軟體攻擊。Necurs 可保護其他惡意軟體,將電腦綁架到殭屍網路,並確保感染不會被移除。
ZeroAccess:建立 ZeroAccess 殭屍網路的 rootkit 惡意軟體,在挖掘比特幣和傳送廣告給使用者時消耗資源。殭屍網路包含多達 200 萬台機器,其中大部分被多家安全公司和機構摧毀。但是,ZeroAccess 的變體仍然可用且有效。
Figure 1. Demonstarting SD WAN Use