本文介绍了Rootkit技术的发展和滥用情况,重点阐述了当前主流的Rootkit防御技术,包括基于运行效果、静态文件特征、动态行为和数据完整性检测的方法。同时,分析了Chkrootkit、Rkhunter等检测工具的优缺点。此外,文章还探讨了非常规Rootkit,如命名空间技术的HorsePILL和基于kprobe的Rootkit,并提出了相应的检测策略。最后,提到了基于ebpf的Rootkit及其检测工具ebpfkit-monitor。随着APT攻击的增加,Rootkit的检测与防御显得尤为重要。
Rootkit 这一概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用了 Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。
在往期的Rootkit系列文章里面,我们分别介绍了 Rootkit 技术的发展历程和Windows、Linux 平台下的 Rootkit 攻击技术。本期 Rootkit 系列文章将会给大家介绍当前主流的 Rootkit 防御技术以及一些非常规 Rootkit 的可实施检测方案。
被滥用的Rootkit技术
长期以来,Rootkit 检测一直是一个非常大的痛点,这些具有高度定制化的恶意程序集合隐藏在服务器上,以高权限访问计算机和网络。虽然 Rootkit 并没有成为大新闻中的主角,但是它们一直都过得很安逸,并且持续性的造成损害。对于安全从业者而言,这不应该是一个被忽视的地方。
APT 通常和 Rootkit 齐头并进。从西方 APT 组织的攻击历史及已经泄露的网络武器看,高隐匿、高持久化(Low&Slow)是其关键特征,而 Rootkit 则是达成此目的的重要技术之一,因此 Rootkit 一直以来和 APT 配合的很好。
让人遗憾的是,几乎任何脚本小子都可以轻易在被攻击成功的目标主机上植入 Rootkit。比起这个,更让人痛心的是,一些挖矿木马和广告木马都开始使用 Rootkit 技术了,黑产都卷成这个样子了吗?H2Miner 挖矿家族开始使用新的 Rootkit 样本,该Rootkit 使用 LD_PRELOAD 技术劫持动态链接过程。LD_PRELOAD 是一个非常古老的C 库技巧,但它今天仍然被成功使用和滥用。
当前主流Rookit检测技术分析
当前主要的 Rootkit 检测的方法包括但不限于以下几种类型。
1.基于 Rootkit 运行的效果进行检测
如: 发现隐藏的端口、进程、内核模块、网络连接、被篡改的内核代码。
缺陷: 该检测方案对预设的检测场景的依赖程度较高,一旦恶意软件出现检测场景之外的行为,则难以做到有效检测。
2.静态文件特征检测
例如: 扫描磁盘上的文件,将文件与特征库进行匹配,通过该方式检测可能存
最低0.47元/天 解锁文章
扫一扫
2642
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
