Vista下的惡意軟件Rootkit攻防手冊

Rootkit是一種特殊的惡意軟件， 它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息， Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。 Rootkit通過加載特殊的驅(qū)動， 修改系統(tǒng)內(nèi)核， 進(jìn)而達(dá)到隱藏信息的目的。

　　Windows Vista自身對惡意軟件的防護(hù)主要是通過驅(qū)動程序數(shù)字簽名、用戶訪問控制(UAC)和WindowsDefender來實(shí)現(xiàn)的， 前兩者對Rootkit類惡意軟件的防御尤為重要。 因?yàn)镽ootkit的隱藏功能實(shí)現(xiàn)需要加載驅(qū)動， 我們就先說說Vista的驅(qū)動程序加載管理：Vista驅(qū)動程序的安裝加載管理和原有的Windows版本相比有較大的改進(jìn)， 在Microsoft的設(shè)計(jì)中， Vista不允許加載沒有經(jīng)過數(shù)字簽名的驅(qū)動程序， 而在之前的Windows2000、XP、2003系統(tǒng)上， 系統(tǒng)雖然會在安裝未簽名或老版本驅(qū)動程序時(shí)會有提示， 但安裝好之后是能夠加載的。

　　出于Microsoft意料之外的是， “有數(shù)字簽名的驅(qū)動程序才能被Vista所加載”這個設(shè)定對Rootkit類的防護(hù)作用并不是很大。 去年的Blackhat會議上， 曾有研究人員演示過在VistaX64Beta2版本上通過修改磁盤上頁面文件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序， 雖然這個漏洞稍后被Microsoft補(bǔ)上， 但已經(jīng)說明通過技術(shù)手段來突破Vista的驅(qū)動加載管理并非不可能。 但要突破Vista驅(qū)動加載管理的更好途徑是在數(shù)字簽名本身上做功夫， 之前曾有安全研究人員提到， Vista驅(qū)動程序的數(shù)字簽名申請的審核并不嚴(yán)格， 只需要有合法的申請實(shí)體， 并交納少許的申請費(fèi)用即可。

　　這樣， 通過注冊或借用一個公司的名義， Rootkit作者完全可以從Microsoft拿到合法的驅(qū)動數(shù)字簽名， 也就是說， 很有可能會出現(xiàn)擁有Microsoft數(shù)字簽名的、“合法”的Rootkit程序。 攻擊者還可以使用特殊的加載程序來加載沒經(jīng)數(shù)字簽名的程序， 安全公司LinchpinLabs最近就發(fā)布了一個叫做Astiv的小工具， 這個工具實(shí)現(xiàn)的原理就是使用經(jīng)過數(shù)字簽名的系統(tǒng)組件來加載未經(jīng)數(shù)字簽名的驅(qū)動程序， 而且用這種方式加載的驅(qū)動程序并不會出現(xiàn)在正常驅(qū)動程序列表中， 更增強(qiáng)了加載目標(biāo)驅(qū)動程序的隱蔽。

　　用戶訪問控制(UAC)是Vista防御惡意軟件的另外一個手段

　　在開啟了UAC的Vista系統(tǒng)上， 用戶的權(quán)限相當(dāng)于被限制了的管理員權(quán)限， 如果用戶程序要對系統(tǒng)盤及注冊表等地方進(jìn)行修改的話， 需要用戶進(jìn)行交互的二次確認(rèn)。 如果用戶拒絕或者是目標(biāo)程序比較特殊(比如木馬、后門等)不出現(xiàn)UAC提示， 因?yàn)閷ο到y(tǒng)目錄和注冊表的訪問被Vista所拒絕， 除了極個別不寫入系統(tǒng)目錄的之外， 大部分目標(biāo)程序是無法安裝成功的。 Rootkit程序在UAC環(huán)境中同樣會因?yàn)闄?quán)限問題而無法安裝成功， 但很多情況下， 攻擊者會使用社會工程學(xué)的方法來誘騙用戶信任攻擊者所提供的程序， 并在UAC提示時(shí)選擇允許操作。

　　此可以得出一個結(jié)論， 由于WindowsVista從設(shè)計(jì)開始就很重視安全性， 因此對它推出之前的Rootkit等惡意軟件的防御水平到達(dá)了一個新的高度， 攻擊者單純靠技術(shù)手段攻擊的成功率已經(jīng)比在原先的Windows2000/XP/2003平臺上大為下降。 但我們也應(yīng)該注意到， 攻擊者會更多的使用社會工程手段， 偽造和利用各種信任關(guān)系， 欺騙用戶安裝惡意軟件。

　　如何在Vista下對Rootkit類惡意程序進(jìn)行防護(hù)?用戶可以參考以下幾點(diǎn)：

　　1、保持Vista的系統(tǒng)補(bǔ)丁版本為最新。

　　2、不在不可信的來源獲取軟件， 并在安裝使用時(shí)留意系統(tǒng)的各種提示， 尤其是有關(guān)數(shù)字簽名的提示。

　　3、注意UAC的提示信息， 及時(shí)攔截試圖修改系統(tǒng)的危險(xiǎn)操作。

　　4、使用反病毒軟件并保持病毒庫版本為最新， 為防護(hù)惡意軟件多加一層保障。

　　5、定期使用支持Vista的反Rootkit工具對系統(tǒng)進(jìn)行掃描檢查。