新rootkit程序将亮相黑帽子大会

5月11日消息，安全研究机构日前开发出了一款新型恶意rootkit软件，该软件能够隐藏于电脑微处理器不太显眼的位置，可以逃过当前反病毒程序的扫描。

据国外媒体报道，这款新软件名为系统管理模式（SMM）rootkit，可运行于电脑内存受保护的一个区域，并且在操作系统中不可见，不过攻击者却能够借此“窥视”电脑内存中发生的全部过程。

SMM rootkit软件中包含键盘记录和通信软件，可以借此窃取受害者的敏感信息，该软件是由肖恩·埃伯拉顿（Shawn Embleton）开发的。埃伯拉顿经营着一家名为“Clear Hat Consulting”的公司。

预计上述概念验证软件将于今年8月在拉斯维加斯的黑帽子安全大会（Black Hat）上首次展出。rootkit是今天被广泛采用的一种恶意工具，它可以掩盖自身运行留下的踪迹，从而逃避安全软件的侦察。Rootkits从2005年底开始大范围流行，当时索尼BMG音乐公司采用了Rootkits技术来隐藏版权保护软件，此事被揭发之后，索尼BMG公司被迫召回了数百万张“问题”音乐光盘。

近年来，研究人员一直在寻找可在操作系统之外运行rootkits的方式，这样能够大大增加安全软件搜寻的难题。比如，两年前安全研究人员约纳·鲁克斯卡开发了一款名为“蓝色药丸”的rootkit软件，该软件采用了AMD芯片级的虚拟技术，能够将自身隐藏。鲁克斯卡本人承认，该技术最终完全可以开发出“100%无法侦查的恶意软件”。

“Rootkits越来越向硬件深处渗透，”斯帕克斯表示，三年前他也编写了一款名为“Shadow Walker”的rootkit软件。“随着进入操作系统的深度增加，所具有的权限和影响力也越大，安全软件也越不容易发现。”

“蓝色药丸”采用的是最新的虚拟技术，该技术已被微处理器采用，而SMM rootkit采用的是一项出现时间较长、更为普及的技术。事实上SMM技术可追溯到英特尔386处理器，当时主要是被硬件厂商作为通过软件来修正产品BUG的一种方式。该技术还被用于管理电脑的电源管理，比如适时调整为休眠状态。

安全咨询公司 NGS Software的研究主管约翰·希斯曼表示，大多情况下，运行于内存锁定区域的SMM rootkit软件较“蓝色药丸”更难于发现，“SMM rootkit拥有更多分支，可以逃避防病毒软件的搜索。”

多年来研究人员一直推测恶意软件可植入SMM后运行。2006年，研究人员洛伊克·杜夫洛特演示了SMM恶意件工作的整个过程。除调试程序外，斯帕克斯和埃伯拉顿还必须为其rootkit编写一套驱动代码。

由于与操作系统脱离，使得SMM rootkit更加隐蔽，不过这也意味着黑客必须要针对被攻击的操作系统编写明白的驱动代码。

“我认为rootkit不具有广泛的威胁性，因为它过于依赖硬件，”斯帕克斯表示，“只有在一次目标集中的攻击中你才能够发现这一应用”。但是否它就是100%无法发现呢？斯帕克斯认为不是。“我并不是说它不能被发现，只是说要发现它很困难。”