Day 10 - [病毒攻擊] Rookie 不！是 Rootkit

這一篇 其實並沒有在 書中特別提及過多的資訊，不過因為筆者在網路上找到有人以神奇寶貝“暗精靈”去命名Rootkit！就決定多搜集些資料與大家分享了～～

什麼是 Rootkit

筆者剛開始認為Rootkit只是幫助隱藏惡意軟體的輔助軟體，但是翻閱更多的資訊之後發現，其實 Rootkit 可以做的事情比想像的多。剛開始，Rootkit 被定義為取得最高使用權限的工具，但是後期更是能施展隱匿檔案、行程、系統記錄的技術，也能夠擷取鍵盤和封包等資訊，透過更改核心的資料結構而達成！（後悔自己沒有好好念OS）總之，Rootkit 針對核心作侵入的一種惡意軟體！

[ 小補充，一般程式是沒有權限去直接操縱硬體的，必須透過作業系統的核心（Kernel）來做管控。]

暗精靈有什麼特別的呢？

原文節錄自 這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

特點 1 跨平台

雖然還有其他輔助軟體是以 Python 或 Bash 去撰寫，不過主體語言是 C，以提高攜帶性！支援X86、ARM等 Linux 系統。

特點 2 Ring 3

Ring 3 是個代號，代表著該程式的執行模式有何種層級的存取權限。

• Ring 3：使用者模式
• Ring 2：虛擬化監管程式（Hypervisor）
• Ring 1 ：系統管理模式（SMM）
• Ring 0：核心模式

數字越小代表越接近核心，也越加難以偵查和清除。不過這並不表示說數字大的勁容易被收服唷～

特點 3 名字取得超好（誤

這個暗精靈可以擷取網路封包，而他的後門叫做太陽精靈ＸＤ

該後門通過認證後會產生一個反向的指令介面以躲開防火牆的封鎖，很像之前提及的 Reverse Tunnel 的概念。再搭配原本暗精靈可以截取封包，針對封包內帶有特殊的 SEQ 、ACK、IP ID 進行隱匿。如此一來，即便用 TCPDUMP 也看不到後門鎖傳出去的流量！真的是一絕！

防範的方式

在資安趨勢部落格中，有提及如何移除！不過筆者在鳥哥的筆記裡有翻到個有趣的偵測軟體，就想說順便介紹一下好了，不過不保證能偵測到“暗精靈”就是了ＸＤ 所以在這邊只簡易的提及 RK Hunter 的特點供各位參考，大家也可以去搜尋看看其他工具！一起分享唷～

• 利用 MD5 認證比對 （Integrity Check 讀者也可以參考 TripWire）
• 檢查 Rootkit 常攻擊的檔案
• 檢查隱藏檔案
• 檢查核心模組
• 檢查啟動的 Port

當自己越讀越多就會發現，很多原本自己在大學所學覺得無用的東西，慢慢兌換出它的價值。真的是很開心～ 希望讀者再衝刺 CEH 時也不要氣餒～ 再之後會慢慢開花結果的！謝謝大家德觀賞，這篇就倒此告一段落！我們明天見！

參考資料

https://blog.trendmicro.com.tw/?p=28846

http://linux.vbird.org/linux_security/0420rkhunter.php