许可权保卫战——可怕的Rootkit木马后门

在我们获得了对目标的控制权后，还想保持这种控制许可权，于是就出现了木马后门，Rootkit之类的保护许可权的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程式控制制类的软体，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软体大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。
　　
　　传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等作业系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得许可权，相反它是在你通过各种方法获得许可权后才能使用的一种保护许可权的措施，在我们获取系统根许可权(根许可权即root许可权，是Unix系统的最高许可权)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住许可权。
　　
　　下面就针对Unix来讲解一下传统Rootkit的攻击原理
　　
　　RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时(不管是本地还是远程登陆)，/bin/login程式都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码.Rootkits使用一个带有根许可权后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根许可权后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够
　　
　　使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件，
　　
　　通常被Rootkit替换的系统程式有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去搜寻，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。
　　
　　防御办法:Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程式，以确保安全性.
　　
　　写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖( 这个词一点也不夸张)的内核级Rootkit。在大多数作业系统中(各种Uni x和windows)，内核是作业系统最基本的部件，它控制着对网路设备、进程、系统记忆体、磁片等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁片得到文件的比特位并运行你的文件浏览程式。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程式的命令，将其重定向到入侵者所选中的程式并运行此程式。也就是说用户或管理员要运行程式A，被修改过的内核假装执行A,实际却执行了程式B.
　　
　　现在就介绍一下内核级的Rootkit是如何攻击Unix系统的
　　
　　和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软体检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程式也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程式A,你也认为自己运行的是程式A,而实际上你运行的是入侵者设定的程式B~!
　　
　　更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支援文件隐蔽。传统的Rootkit是通过替换ls程式来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程式欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网路进行隐藏，用户将得不到真实的系统情况报告。
　　
　　实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的载入的内核模组(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模组扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。
　　
　　因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根许可权的入侵者输入命令: insmod knark.o 就行了，模组被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows.
　　
　　内核级Rootkit 的几个例子
　　
　　现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下，
　　
　　一、 linux 上的内核级Rootkit:Knark
　　
　　Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网路隐藏。另外，还有不少比较过瘾的功能，如:
　　
　　1、远程执行:我们可以通过网路向运行Knark的机器发送一条命令，源地址是假造的，
　　
　　命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能
　　
　　来升级Knark，删除系统文件或其他任何我们想做的事
　　
　　2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的许可权。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的许可权
　　
　　3、隐藏混杂模式:
　　
　　同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，乙太网卡会被设成混杂模式，管理员可以检查到这一点
　　
　　Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。
　　
　　4、实时进程隐藏:
　　
　　Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失，
　　
　　但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的资讯。进程在运行时，ps和lsof命令的使用都不能显示此进程
　　
　　5、内核模组隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模组，因此Knark包含了一个单独的模组modhide,modhide将Knark
　　
　　和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模组都不会被发现
　　
　　二、 另一个Linux上的内核级Rootkit:Adore
　　
　　同Knark一样，Adore也是一个针对Linux的LKM RootKit. 他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网路隐藏和内核模组隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能:内置的根许可权后门。
　　
　　Adore的根许可权后门可以让我们连接到系统上并获得根许可权的命令外壳，此功能十分直接了当 ，Adore将此功能巧妙的包含在内核模组中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网路端口的迹象。
　　
　　防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本许可权(Unix里的root和windows里的admin),不过这看起来像废话:)，目前对内核级的Rootkit还没有绝对的防御体系。
　　
　　现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支援LKM的内核，Linux的内核就可以设成不支援LKM的单一内核。
　　
　　下面是一些图例,帮助大家理解
　　
　　普通应用级别的木马后门
　　
　
　　
传统的RootKit
　　
　
　　
内核级的RootKit