Rootkit
本文约需 2 分钟阅读
根包 (Rootkit) 是一种潜伏在系统深处、将自身存在向操作系统和安全软件隐藏的恶意软件。其名称源自 Unix/Linux 的最高权限「 root 」,攻击者利用它维持对系统的持久访问。由于极难被检测,存在感染长期不被察觉、信息被持续窃取的情况。 2024 年发现了多种新的 UEFI 根包变种,固件级安全防护的重要性日益提高。
现场使用案例
“在取证调查中我们发现了内核模式根包。它不会显示在常规的进程列表或网络连接列表中,直到分析内存转储时才得以检测到。从感染到发现已过去约 8 个月,确定这期间的信息泄露量是一项难题。”
根包的潜伏结构
UEFI/固件层 (引导包) - 即使重装操作系统也无法清除
内核层 (内核模式) - 最难检测
用户层 (用户模式) - 隐藏进程和文件
应用程序层 - 常规安全软件运行的层
根包的种类
内核模式根包嵌入操作系统内核,最难被检测。用户模式根包在应用程序层运行,隐藏进程和文件。引导包感染操作系统的启动过程,在操作系统加载之前就开始活动。 UEFI 根包感染固件,因此即使重装操作系统也无法清除,是最棘手的类型。根包检测相关书籍 (Amazon)可以学习技术上的详细内容。
实际的受害情景
某企业中,通过后门入侵的攻击者安装了内核模式根包,在长达 6 个月的时间里持续访问客户数据库。由于根包隐藏了进程和网络通信,常规安全监控无法检测,最终是通过外部举报才得以发现。在事件响应中,需要在假定根包存在的前提下展开调查。
检测与清除
由于常规病毒扫描无法检测,需要使用专用的根包检测工具,或从操作系统外部进行扫描 (从可引导介质启动)。一旦确认存在内核模式根包,全新重装操作系统是最可靠的应对方法。作为预防措施,保持操作系统和软件为最新版本、用强随机密码保护管理员账户,并启用多因素认证,可以降低初期入侵的风险。系统安全相关书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?