iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
0
Security

CEH 門檻只屬於自己的臆測系列 第 10

Day 10 - [病毒攻擊] Rookie 不!是 Rootkit

Day 10 - [病毒攻擊] Rookie 不!是 Rootkit

這一篇 其實並沒有在 書中特別提及過多的資訊,不過因為筆者在網路上找到有人以神奇寶貝“暗精靈”去命名Rootkit!就決定多搜集些資料與大家分享了~~

什麼是 Rootkit

筆者剛開始認為Rootkit只是幫助隱藏惡意軟體的輔助軟體,但是翻閱更多的資訊之後發現,其實 Rootkit 可以做的事情比想像的多。剛開始,Rootkit 被定義為取得最高使用權限的工具,但是後期更是能施展隱匿檔案、行程、系統記錄的技術,也能夠擷取鍵盤和封包等資訊,透過更改核心的資料結構而達成!(後悔自己沒有好好念OS)總之,Rootkit 針對核心作侵入的一種惡意軟體!

[ 小補充,一般程式是沒有權限去直接操縱硬體的,必須透過作業系統的核心(Kernel)來做管控。]

暗精靈有什麼特別的呢?

原文節錄自 這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

特點 1 跨平台

雖然還有其他輔助軟體是以 Python 或 Bash 去撰寫,不過主體語言是 C,以提高攜帶性!支援X86、ARM等 Linux 系統。

特點 2 Ring 3

Ring 3 是個代號,代表著該程式的執行模式有何種層級的存取權限。

  • Ring 3:使用者模式
  • Ring 2:虛擬化監管程式(Hypervisor)
  • Ring 1 :系統管理模式(SMM)
  • Ring 0:核心模式

數字越小代表越接近核心,也越加難以偵查和清除。不過這並不表示說數字大的勁容易被收服唷~

特點 3 名字取得超好(誤

這個暗精靈可以擷取網路封包,而他的後門叫做太陽精靈XD

該後門通過認證後會產生一個反向的指令介面以躲開防火牆的封鎖,很像之前提及的 Reverse Tunnel 的概念。再搭配原本暗精靈可以截取封包,針對封包內帶有特殊的 SEQ 、ACK、IP ID 進行隱匿。如此一來,即便用 TCPDUMP 也看不到後門鎖傳出去的流量!真的是一絕!

防範的方式

在資安趨勢部落格中,有提及如何移除!不過筆者在鳥哥的筆記裡有翻到個有趣的偵測軟體,就想說順便介紹一下好了,不過不保證能偵測到“暗精靈”就是了XD 所以在這邊只簡易的提及 RK Hunter 的特點供各位參考,大家也可以去搜尋看看其他工具!一起分享唷~

  • 利用 MD5 認證比對 (Integrity Check 讀者也可以參考 TripWire)
  • 檢查 Rootkit 常攻擊的檔案
  • 檢查隱藏檔案
  • 檢查核心模組
  • 檢查啟動的 Port

當自己越讀越多就會發現,很多原本自己在大學所學覺得無用的東西,慢慢兌換出它的價值。真的是很開心~ 希望讀者再衝刺 CEH 時也不要氣餒~ 再之後會慢慢開花結果的!謝謝大家德觀賞,這篇就倒此告一段落!我們明天見!

參考資料

https://blog.trendmicro.com.tw/?p=28846

http://linux.vbird.org/linux_security/0420rkhunter.php


上一篇
Day 09 - [病毒攻擊] 木馬 那些年我以為是童話
下一篇
Day 11 - [病毒攻擊] 昆蟲百科
系列文
CEH 門檻只屬於自己的臆測16

尚未有邦友留言

立即登入留言