Rootkit：攻击者藏匿行踪的暗器

　　[导读]　　有道是：卧榻之侧岂容他人鼾睡。然而就有一种人，他的床边有人在鼾睡，他却浑然不知。而这个睡在别人床旁打鼾的人就是电脑系统攻击者，他们之所以能偷偷地钻进别人家的房间，并能逃脱主人的监视而安然入睡，很多时候靠的就是Rootkit这一独门暗器。

　　有道是：卧榻之侧岂容他人鼾睡。然而就有一种人，他的床边有人在鼾睡，他却浑然不知。而这个睡在别人床旁打鼾的人就是电脑系统攻击者，他们之所以能偷偷地钻进别人家的房间，并能逃脱主人的监视而安然入睡，很多时候靠的就是Rootkit这一独门暗器。

　　间谍软件Rootkit是攻击者侵入别人电脑后用来隐藏自己的踪迹和保留root访问权限的工具。Rootkit基本上都是由几个独立的程序组成的，一个典型的Rootkit包括：以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息;特洛伊木马程序，例如inetd或者login，为攻击者提供后门;隐藏攻击者的目录和进程的程序，例如ps、netstat、rshd和ls等;可能还包括一些日志清理工具，例如zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目;一些复杂的Rootkit还可以向攻击者提供telnet、shell和finger等服务，还包括一些用来清理/var/log和/var/adm目录中其他文件的脚本。

　　通常，攻击者通过密码猜测或密码强制破译的方式，利用远程攻击获得电脑系统的root访问权限。进入系统后，如果还没有获得root权限，则再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装Rootkit，然后将经常通过Rootkit的后门检查系统是否有其他的用户登录，如果没有异常现象，攻击者就开始着手清理日志中的有关信息。通过Rootkit的嗅探器获得登陆该主机的其他系统的用户名和密码之后，攻击者还会利用这些信息侵入其他系统。

　　Rootkit 通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit几乎可以隐藏任何软件，包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在计算机上保存许多文件，而用户无法看到这些文件。黑客可以在入侵后置入Rootkit，秘密地窥探敏感信息，伺机而动;不过取证人员也可以利用Rootkit实时监控嫌疑人的不法行为，它不仅能搜集证据，还有利于及时采取行动。目前，Rootkit的发展主要呈现以下几个趋势。

　　其一，Rootkit不仅通过木马的形式，还可以通过恶意软件的形式进行传播。未来Rootkit的发展趋势是与恶意软件越来越多地结合，或者将自己隐藏于恶意软件之中。 这种隐藏技术的最严重后果便是Rootkit不但能够轻易地隐藏于系统的“视线”之外，还可以避开检测Rootkit的最后一道防线—网络检测。

　　其二，嵌入式Windows Rootkit成为主流。今天我们所看到的许多Rootkit活动都是针对Windows平台的。多年来，有71%的Rootkit活动是针对Windows的，而针对Linux的几乎没有。当针对Linux的Rootkit几乎不存在时，基于Windows的Rootkit将成为未来的主流。

　　其三，在合法和非法的软件中都发现有Rootkit攻击。根据美国网络联盟旗下反病毒紧急响应组的研究，盗窃技术的攻击形式已经覆盖各种软件分发形式，许多著名的Rootkit证明了这一点。比如BackDoor-BAC通过垃圾邮件、木马下载和直接爆发进行分发;HackerDefender通过垃圾邮件、BOT、直接爆发和P2P的方式进行传播;还有一些Rootkit通过群发邮件蠕虫进行下载，并创建复杂的混合攻击。