好消息是,在野外rootkit都没有出现。Dai Zovi说这样一个黑客并非迫在眉睫。坏消息:Dai Zovi说,这些黑客没有释放现有rookits毫无戒心的企业网络,因为工作很好,不需要黑客开发这些更狡猾的攻击。
如果你想知道最新的恶意rootkit,问安全研究员Dino Dai Zovi。他会告诉你所有关于他的概念证明rootkit称为硫酸盐,使用虚拟机指令英特尔处理器隐藏的rootkit虚拟化层。
他提出这一信息而言,2006,同样的发布会上,乔安娜资助证明她BluePill虚拟rootkit,利用AMD处理器。
好消息是,在野外rootkit都没有出现。Dai Zovi说这样一个黑客并非迫在眉睫。坏消息:Dai Zovi说,这些黑客没有释放毫无戒心的企业网络,因为现有的rootkit工作这么好,不需要黑客开发这些更狡猾的攻击。
“如果我攻击者和用户和内核rootkit工作80%的时间,然后为什么要创建一个虚拟的rootkit,无限难以部署?”问迈克·道尔顿首席技术官Revelogic。
这并不是说黑客也止步不前的他们。用户和内核级rootkit继续得到更多的阴险,挖掘深入企业网络,隐藏自己的处理器和gaming-based黑客利用多处理器系统。
,尽管很难说普遍rootkit是如何因为他们如此难找,你只需要看看rootkit的速度被用于家庭利益驱动的恶意软件,通常隐藏遥控器产品,键盘记录器病毒,垃圾邮件和gameware。
rootkit的邪恶
“rootkit技术的使用是普遍的家庭我们今天的过滤器是捡的恶意软件,“说Christoph歌女,安全计算的防病毒团队领导。“这些往往是最常见的垃圾邮件。最近的例子包括Srizbi和僵尸。”
在野外发现2007年,僵尸网络。C像病毒一样传播感染内核驱动程序,使用多态性(自我改变)来避免签名检测、负载和隐藏在微软的可信系统驱动程序,并包括一个后门木马开放和隐藏的双向通信信道在端口80上。
分析时Rootkit.com今年,僵尸网络。C被称为“有史以来最强大的rootkit发现Windows下”,因为这些和其他先进的隐藏功能。分析预测了木马(后门),rootkit最终会融入一个恶意软件的家庭。
通过结合这些隐藏技术,rootkit如僵尸。C可以很容易地斗篷机器人的存在不仅从系统,但从网络,监视可疑的机器的行为是最后一道防线,检测可能出现的rootkit-infected系统。
“企业需要保持80端口开放所以员工可以使用互联网。一些恶意软件使用通道捎带HTTP流量,”歌女说道。“HTTP流量主要是入站(而不是出站)在这个港口,所以你需要训练你的过滤器来扫描出站HTTP流量与你网络网关设备。”
恶意流量也可以引用接受出站流量——例如将出站DNS数据包。所以歌女还建议监测这些类型的出站的流量渠道,大文件和其他异常,可能表示正在发送和接收远程控制命令。
传统上,检测一个rootkit系统可以更加困难比检测rootkit-hidden交通网络上,因为rootkit总是比杀毒软件一样高或更高特权,道尔顿说。
然而,VMware的最近的杀毒软件支持的新的VMSafe扩展允许反病毒产品运行与VMM(虚拟机监视器,即管理程序)的保护,在更高的特权和可见性内核。
“这一直是一个猫捉老鼠的游戏和杀毒寻找rootkit rootkit寻找杀毒,所以安全软件的rootkit可以控制并继续控制受感染的电脑,“道尔顿说。“现在,把虚拟机的安全经理,一个内核rootkit甚至不能找到安全禁用它。”
Rootkit工具包
Rootkit-specific工具,如f - secureBlackLight和RootkitRevealer寻找差异磁盘的内核系统调用和直接检验检测隐藏文件,注册表键和其他属性,Dai Zovi说。例如,在Windows机器上,他们通过寻找工作差异Windows任务管理器进程列表和内部系统任务列表。
但是请注意,这些工具还在一个较低的水平比rootkit的特权。
“Rootkit后卫运行在用户区域正在做动态分析机器的机器本身是否在撒谎。现在听起来聪明?”问Gary McGraw的首席技术官Cigital和编辑的书,“rootkit”,霍格伦德和詹姆斯·巴特勒。
更深入的研究
最新的内核rootkit,包含所有类型的恶意的包装,也可以跳转到处理器和重新引导回内核在bios——即使电脑是清洗和恢复。Bios软件开始运行,发现其启动例程,如以太网和flash / ROM Bios扩展。
Dai Zovi说这种类型称为“持久”rootkit。研究员约翰·Heasman推出这样一个rootkit统称06,隐藏在高级配置和电源接口。Heasman还讨论了类似的技术对系统管理内存,这两位研究者不清楚帽子咨询都将展示在上周的统称。
“如果你在电脑上可以控制处理,你怎么赚钱?你卖垃圾邮件机器人,身份盗窃和(分布式拒绝服务),”麦格劳表示。“但最有效的方式利用处理器为钱在在线游戏。这就是机器人的前沿技术正在进行。”
游戏机器人特别喜欢的多处理器可以运行多个线程同时平衡负载,继续McGraw,也是作者之一“利用网络游戏。”The more games organized criminals can play or steal through automated bot programs, the more virtual goods they can acquire and sell for real money.
有许多路径从内核rootkit可以利用利用固件——引导加载程序,设备驱动程序,flash和固件更新,总裁兼首席执行官比尔约翰逊说TDITX.com。
“硬件安全不是最安全技术人员了解,”他补充道。“这是一个他们最好熟悉。”
他公司的基础设施管理工具,ConsoleWorks,日志和审计发生的事情的基板管理控制器部分处理器,这是网关接口到其他处理器在主板上。它与VPN身份验证和访问管理这一层。
微软的收购Komoku 3月也是一个更深层次的检验技术指标最终进入市场。国防高级研究计划局的支持下,国土安全部和海军,Komoku技术及其智囊团的被吸收微软的前沿和OneCare防病毒项目,微软的一位发言人说。
所以rootkit技术驱动安全更深,猫追老鼠的游戏还在继续。
“这是愚蠢的相信我们会能够使系统完全无懈可击的攻击,“Dai Zovi说。“然而,我们必须让他们足够安全,攻击它们对于大多数罪犯是不值得的。”
在加州雷德是一个自由撰稿人。她可以达成的deb@radcliff.com。