到2005年,恶意软件开始广泛地使用rootkit技术,这种广泛应用开始吸引大众传媒以及安全供应商的关注。微软公司的代表在RSA中提出了这个问题。
2006年,在与rootkit技术相关的众多丑闻中,很多都是与在各种软件和硬件产品中发现的rootkit技术丑闻,.这些rootkit丑闻都清楚地向我们展现了rootkit是如何成为热门讨论问题的过程
1. 索尼公司光盘上的DRM版权保护能够向用户隐藏某些文档,这种技术的部署的方式带来了一个严重的问题:任何人都可以以某种方式命名他们自己的文档,然后这些文档可以被索尼DRM技术所隐藏。
2. 赛门铁克公司的产品中也有类似的功能:他们使用了一个隐藏于用户的目录。而且更加有趣的是,赛门铁克公司创建的“保护篮protected basket” 功能很容易被禁用。事实上,在隐藏文件夹中隐藏文件的概念远远没有在系统目录树的深度隐藏文件的概念更加有趣,因为几乎没有用户会注意系统目录树。
3. 另外一个与rootkit相关的丑闻来自我们卡巴斯基公司的反病毒软件,该产品能够在文件流中存储数据,文件流就是指隐藏于用户的文件系统中的部分文件。虽然目前尚不清楚这构成了多大的威胁,但是使用rootkit字眼确实吓跑了很多人。
“反rootkit” 热潮
Rootkit演变史的另一个重要方面就是与rootkit迅速发展相对应的反rootkit热潮。到2006年6月份左右,几乎所有的AV供应商都已经意识到有必要对rootkit造成的安全威胁作出反应了,每一家供应商都以自己的方式来抵抗rootkit攻击。有些供应商对他们的产品进行了修复,使其产品在定期防病毒扫描时能够搜寻隐藏的文件;有些公司则发布了独立于产品的反rootkit工具;还有一些公司承诺在他们的产品中加入反rootkit扫描,通过他们的产品界面来实现这一功能。
事实是,没有任何一个供应商是非常成功的,他们只是改善了表面问题而已,就像在把马拴牢后锁上大门,有点多此一举的感觉。
在反rootkit不断升级的形势下,主要供应商之一所研发的F-Secure应运而生,这个反rootkit工具在Sysinternals发布Rootkit Revealer不久后发布的,F-Secure工具目前只能检测隐藏的进程,它是居于概念证明技术之上的工具。
供应商的独立反rootkit工具
供应商的独立反rootkit工具出现于更早期的时候――大约在2005年左右。与其他来自反病毒供应商的解决方案不同的是,其他解决方案需要让用户很明显地感觉到他们在保护用户,而免费工具编写者只是想要尽可能多地揭露更多地隐藏数据。因此,供应商独立工具比解决方案么更加专业、更加强大,能够高更好地对不断转变地环境作出适当地反应。
第一个反rootkit工具是被设计用于显露单一类型对象,例如隐藏文件等。随着时间的推移,这些工具功能变得越来越多,并且采用了系统化的方式。现在,最强大最有效的通用反rootkit工具式GMER和Rootkit Unhooker(antirootkit.com)(后者不再受到支持)。这些工具使人们能够对系统从不同的条件角度来进行快速的表面的分析,如果有必要的话,他们同样也可以用于进行更加深入更加专业的分析。
现在至少有20个有效的免费反rootkit工具,每一种工具都是基于使用不同的方法来检测rootkit(预知详情,请查看z-oleq.com和www.securityfocus.com)。然而,战争越演越烈。在rootkit演变史中出现的最新趋势是开始沿用Bluepill技术(即硬盘虚拟化技术),这种隐藏方式几乎现有的所有技术都不能检测出来,当然现在还没有哪种功能齐全的反rootkit工具能够检测出使用硬盘虚拟化技术的rootkit。另一方面,也没有哪种已知的完备的恶意程序在使用这种技术,除了概念证明代码。
不过,对于这些假设性的威胁,我们的安全防护以及检测工具也不断在进展。据我所知道的就有两个正在进行的研究硬盘虚拟化rootkit的项目――俄罗斯的North Security Labs(北部安全实验室)和美国的Hypervista Technologies研究所。到目前为止,Hypervista Technologies只公布了一些理论资料,而North Security Labs则在他们的官网上发布了Hypersight Rootkit检测器的测试版下载。这些项目研究仍然处于早期阶段,尽管如此,还是让人十分兴奋。
概念证明型rootkit
到2006年为止,几乎所有的rootkit都能够被反rootkit工具检测出来,这使一度猖獗的rootkit开始走下坡路。当然这场战争的发展还将取决于研究人员,无论是“白道”还是“黑道”,取决于他们对新的隐藏技术的研究和开发。
大多数研究人员将注意力放在了使用硬盘虚拟化(已经整合入新的英特尔和AMD处理器中)来获取控制操作系统权力的概念上,这种概念可以使rootkit编写者们制造出不能被现有反rootkit工具所检测的rootkit。
在2006年中,有这样三种概念证明型rootkit被公布:SubVirt ( www.eecs.umich.edu), BluePill (blackhat.com) 和 Vitriol ( www.blackhat.com ),而编写和检测这些rootkit仍然是一个悬而未决的问题。不过,庆幸的是,这三种rootkit还没有出现在我们的系统中(据我们所知)。
研究人员关注的第二个主要领域是在启动扇区运行的rootkit,或者也被称为bootkit。这种rootkit可以在开机的时候获取对整个系统的控制权,这种rootkit的出现可以追溯到DOS时代流行的boot病毒技术。第一个针对boot扇区的概念证明型rootkit是eEye Bootroot(www.blackhat.com),出现在2005年。另一个类似的概念证明型rootkit是出现在2007年的Vbootkit(blackhat.com),这个rootkit是作为一项研究出现的,并且成为了现在热门的Vista安全问题的导火索。
最近发展趋势
在相当长一段时间内没有出现新的rootkit之后,2008年rootkit制造者们为防病毒产业带来了新的挑战。最新出现的一个恶意软件据说能够感染启动扇区,它有这么几个名称:Sinowal, Mebroot和StealthMBR.大多数防病毒解决方案现在仍然不能检测出这种rootkit,更别说是消毒机了。
这种rootkit,或者说bootkit(正如通常采用的名称),是基于eEye Bootroot代码上的,因为它是在开机阶段就运行的。基本上来说,bootkit不是一个单独的作为隐藏木马(任何木马)的恶意软件。 有人说Sinowal正在某些网络中被共享(可能是付费项)以及我们目前还找不到任何解决方案,我们并不认为这是一个合适的结论。
另外一个最新出现的重要技术是使用CmRegisterCallback,这项技术是微软公司开发的用于帮助开发人员在注册表中隐藏对象的,虽然很少有人会注意该技术,但是在最新发现的很多较复杂的恶意程序(包括Bulknet)使用的就是相同的技术。
神秘的rootkit
在2006年年底,安全论坛中充斥着关于Rustock.c的谣言,这是一个假设中的新的不可检测的rootkit,据称这个新的rootkit是Rustock垃圾邮件bot家庭中的新成员。一年半后,来自Dr.Web(一个俄罗斯反病毒公司)的研究人员对外宣称他们已经发现了Rustock.c的样本,并且分析了其繁殖的路径。可惜的是,目前还没有公布具体细节,所以我们还不是很清楚这个rootkit会给我们带来怎样的安全威胁。Dr.Web的数据似乎表明这种rootkit实际上是创建于2007年7月,而不是2006年年底。
然而,我们唯一知道的事实就是Rustock.c是不可能被检测出来的。这个恶意程序并没有使用任何尖端技术来使其逃避检测。它确实能够逃避现有的保护方式,但是也不是那么难的,因为有一些不太臭名的恶意程序同样可以规避安全措施的检测。
简言之,事实证明,从信息流的角度来探讨Rustock.c要比从技术角度生动有趣得多。2006年年底出现的谣言并没有得到证实,但是确实为后来事情的发展做了铺垫。当一个真正的样本最终出现的时候,每个人都很期待能够看一眼这个“不可检测的”rootkit,即使事实上Rustock.c并不能够引起人们对于其技术上的关注。在我看来,Rustock.c在计算机社区挑起的话题要比严肃的技术发展更加意义深远。
更多关于Rustock.c历史发展的详情可以参见: www.viruslist.com
