据国外媒体报道,安全专家已经发现一个新类型的恶意rootkit软件可以将自己隐藏在计算机微处理器中一个非常隐蔽的地方,以躲避目前杀毒软件的查杀。
该软件被称为系统管理模式(System Management Mode,SMM)rootkit,它运行在计算机内存的一个受保护区域中,这个区域是操作系统无法发现和访问的,但它可以让黑客了解在计算机内存中正在发生的操作。
如果黑客将这个系统管理模式rootkit与键盘记录器和其它通讯工具配合使用的话,将可以很轻松的盗窃感染者计算机上的敏感信息。该rootkit由安全专家Shawn Embleton和Sherii Sparks共同开发,他们在美国佛罗里达州开办了一个叫Clear Hat的安全顾问公司。
在今年八月的拉斯维加斯举行的黑帽安全大会上,验证这一概念的软件将首次被公开演示。
现在黑客们所使用的rootkit多数是在运行的时候偷偷隐藏自己的痕迹,以免被安全软件所检测到。在2005年底索尼BMG唱片公司被曝光使用rootkit技术来隐藏它的版权保护软件,使人们加深了对rootkit技术的了解。后来该公司被迫收回相关的唱片CD。
不过近几年以来,黑客们已经开始寻找在操作系统之外运行rootkit软件的方法,以使其更难于被发现。举个例子来说,两年前安全专家Joanna Rutkowska曾演示了一个叫“蓝色药丸”的rootkit,它使用了AMD芯片级别的虚拟化技术来隐藏自己。她表示,利用该技术甚至可以开发出“百分之百防检测的木马程序”。
三年前曾编写出另一个被称为Shadow Walker的rootkit的Sparks表示,“Rootkit正在越来越多的转向硬件,它在系统中藏的越深,其实现的功能就越大,并且被杀毒软件检测到的难度就越大。”
蓝色药丸所利用的新虚拟化技术现在正在被加入到微处理器中,但是系统管理模式rootkit使用的却是一个已经存在了很长时间且已经存在于很多计算机中的一个功能。早在英特尔的386处理器中就用到了系统管理模式,该功能被用来帮助硬件厂商通过软件来修复硬件中的漏洞。该技术还被用来帮助管理计算机的电源管理,例如进入睡眠模式。
安全顾问公司NGS软件的专家John Heasman表示,在很多方面,运行在内存锁定区域的系统管理模式rootkit都比蓝色药丸更难于被检测到。他表示,“目前的反病毒软件将无法检测到一个系统管理模式rootkit。”
几年以前就有安全专家猜想恶意软件可以被编写运行在系统管理模式中。早在2006年,安全专家Loic Duflot就已经证明,可以编写系统管理模式木马。Embleton表示,“Duflot编写了一个小型系统管理模式软件,可以攻破操作系统的安全模式,现在我们将这种思想进一步深化,编写了一个更复杂的系统管理模式程序,可以使用类似rootkit的技术。”
除了编写一个调试器之外,Sparks和Embleton还要利用难于使用的汇编语言来编写一个驱动程序,来使他们的rootkit正常运行。Sparks表示,“对它进行调试是一件非常困难的事情。”
由于与操作系统分离使得这个系统管理模式rootkit很难被发现,但是同时也意味着黑客们必须专门为他们攻击的系统编写这个驱动程序。
Sparks表示,“我不认为这是个影响广泛的安全威胁,因为它取决于不同的硬件类型。”
那么这种rootkit是否完全不能被检测到呢?Sparks表示并非如此,“我并不是说它无法被检测到,但是我认为检测到它的难度也很大。”在黑帽安全大会上她和Embleton将就检测技术进行更多探讨。
