Rootkit 是什麼?6 大類別與 4 種預防方式

分享:
 

隱匿軟體 Rootkit 可在不被發現的情況下,造成目標電腦嚴重損害。但 Rootkit 是什麼?還有哪些可怕之處?Rootkit 如何運作?有什麼辦法可以偵測或預防嗎?本文將詳細介紹 Rootkit 惡意軟體。

 

Rootkit 是什麼?

Rootkit 是由一種或多種軟體組成的工具套組,駭客可用來獲得目標電腦系統的最高管理權限,來存取所有檔案並進行系統中所有的操作。大多數的 Rootkit 惡意軟體設計精密複雜,難以被偵測到,還可以協助隱藏其他惡意軟體蹤跡。因此,也有人稱 Rootkit 為隱匿軟體。而更廣義上來說,Rootkit 也可以被視為一種技術。

 

Rootkit 一詞源自於 Unix 作業系統的管理者名稱 Root(根;根本),以及 Kit(工具套件),意指具有管理者權限的工具套件。駭客透過在目標電腦植入 Rootkit 惡意軟體,可長期潛伏於其中,並從「根本」作業系統操控目標,進行遠端控制;藏匿惡意軟體;建立繞過安全措施的後門,讓駭客輕鬆控制目標;滲入系統竊取資料;把目標電腦變成殭屍網路,進行 DDoS 攻擊;進行間諜監控活動等等網路惡意攻擊。雖然 Rootkit 現在多被用於網路攻擊,過去也有部分企業或組織應用 Rootkit 於營運管理。

 

早期 Rootkit 主要用於 Unix/Lunix 作業系統,直到 1990 年代末,出現了第一個針對微軟作業系統的 Rootkit 軟體 NTRootkit。NTRootkit 由資安研究人員設計出,目的為測試與研究 Rootkit 軟體在微軟作業系統上的效果。隨後又出現 He4Hook、Hacker Defender、Vanquish 等 Rootkit 軟體,可以在受感染的電腦上隱匿不同類型的檔案,Rootkit 相關的網路攻擊也開始日漸普遍。

 

認識 Rootkit 種類

依照攻擊與感染目標和運作方式,Rootkit 惡意軟體可以分為 6 大類:

 

一、硬體/韌體 Rootkit(Hardware/Firmware Rootkits)

攻擊目標為電腦系統的硬體和韌體,也就是我們實際上看得見、摸得到的設備,以及用來鑲嵌至硬體內,驅動硬體設備作業的韌體,例如硬碟、路由器或是 BIOS(基本輸入輸出系統)。安裝在硬體或韌體的 Rootkit 從比作業系統更底層處獲得權限,以至於偵測和移除的困難度相對更高。也因為硬體/韌體 Rootkit 惡意程式直接針對電腦硬體,還可以進行硬體監控,獲得目標鍵盤敲擊資訊或是控制電腦鏡頭和麥克風等器材。

 

知名硬體/韌體 Rootkit 惡意程式「LoJax」,隱藏在統一可延伸韌體介面裡的 SPI Flash 記憶體中,可讓駭客遠端控制受感染電腦或系統。LoJax 難以清除,即使重新安裝作業系統也不會被移除,只能透過消除 SPI Flash 記憶體或是丟棄受感染的主機板。

 

二、啟動程式 Rootkit(Bootloader Rootkits)

啟動程式(Bootloader)在電腦開啟時,負責將作業系統加載到電腦之上。而啟動程式 Rootkit 即以電腦啟動程式為目標,將原本正常的啟動程式替換成經駭客篡改過的惡意版本,讓 Rootkit 惡意程式可以在作業系統完全啟動前,開始運作。

 

代表性的啟動程式 Rootkit「Alureon」(簡稱為 TDSS 或 TDL-4),同時為 Rootkit 和木馬程式,可用來竊取機敏資訊。Alureon 感染電腦開機後首先訪問的磁碟 MBR(Master Boot Record,主開機紀錄),能在作業系統啟動前運行,並隱藏自身。曾被視為無法清除的惡意程式,但實際上可用 TDSSKiller 專屬工具清除。

 

三、記憶體 Rootkit(Memory Rootkits)

記憶體 Rootkit 惡意程式的攻擊目標為主記憶體中的隨機存取記憶體(Random-Access Memory,RAM),隱藏於 RAM 上,消耗電腦資源在背景中執行惡意程式,還會降低電腦 RAM 性能。但大多數情況下,電腦一旦重開或用別的方式清除 RAM,記憶體 Rootkit 惡意程式也會跟著消失。雖然感染電腦的時間較短,記憶體 Rootkit 也可能對於目標電腦的資料和性能造成嚴重損害。

 

四、應用程式 Rootkit(Application Rootkits)

應用程式 Rootkit 攻擊目標電腦的方式為將目標電腦中存有的正常檔案掉包成感染 Rootkit 惡意軟體的檔案,再藉由感染了 Rootkit 的檔案進攻電腦上的軟體與應用程式,像是 NotePad、Word、小畫家等等。舉例來說,電腦受應用程式 Rootkit 感染的使用者,每次開啟特定程式就能讓駭客遠端操控自己的電腦。受影響的程式仍會照常運作,因此要發現應用程式 Rootkit 的存在並非易事。

 

五、核心模式 Rootkit(Kernel Mode Rootkits)

核心模式 Rootkit 為一種針對作業系統的核心層(Kernel Level)進行攻擊,較為複雜的 Rootkit 工具套件。駭客可透過核心模式 Rootkit 惡意程式來存取電腦中的檔案,甚至還能增減與竄改目標電腦作業系統的程式碼。

 

以核心模式 Rootkit 進行網路攻擊,通常需要一定技術水準。而核心模式 Rootkit 工具的設計中,若出現了程式錯誤或小故障,也都會直接影響目標電腦的性能表現,但一方面也會讓偵測 Rootkit 惡意程式更加容易。

 

FU Rootkit 為 Windows 平台上的核心模式 Rootkit,可竄改目標的核心資料結構,隱藏進程和改變文件屬性。而 Knark Rootkit 針對 Linux 系統設計,同樣可以隱藏連接埠、檔案、進程,不讓系統管理者看到。

 

五、虛擬 Rootkit(Virtual Rootkits)

虛擬機技術(Virtual Machine Technology)可在單一實體硬體上,建立並運行多個獨立操作系統和應用程式,而個別建立出來的獨立運算環境即為虛擬機(Virtual Machines,VMs)。雖然建構於同一硬體裝置,每個虛擬機運作有如一台獨立的實體電腦,各自有各自的操作系統、應用程式和運算資源。

 

虛擬 Rootkit 利用虛擬機技術將自身藏匿於作業系統和主機硬體,假扮成虛擬機讓作業系統安裝於自身之上,攔截硬體和作業系統之間的資料傳輸。因此虛擬 Rootkit 不用修改核心就可以竄改作業系統,且偵測困難度高。

Rootkit 惡意程式傳遞方法

Rootkit 惡意軟體的傳播方式和其他惡意軟體相同,可以透過電子郵件、USB 隨身碟、行動硬碟,以及軟體、硬體和韌體資安漏洞感染目標電腦或系統。常見的 Rootkit 傳播方式包含以下:

  • 社交工程:透過釣魚電子郵件或是釣魚網站誘騙目標下載並執行 Rootkit。

  • 木馬程式:將 Rootkit 偽裝成正常軟體,讓目標下載。

  • 安全漏洞:針對軟硬體系統設計不良的漏洞傳遞 Rootkit,甚至搭配滲透測試工具(Exploit Kits)找出軟體的弱點,再加以利用。

  • 外接設備:將 Rootkit 惡意軟體藏在 USB 隨身碟或是行動硬碟等外接設備,趁使用者將其連上電腦時傳遞。

 

如何檢測是否遭受 Rootkit 侵入?5 種判斷跡象

Rootkit 惡意軟體以善於隱藏聞名,偵測困難,但感染電腦系統後,還是有跡可循。電腦若是出現以下症狀,有可能受到 Rootkit 影響:

  1. 藍白當機畫面:微軟作業系統出現系統錯誤時,螢幕會顯示藍底白字的畫面。通常表示有大量錯誤訊息,需重新開機。

  2. 異常瀏覽器活動:瀏覽器出現非自己設定的書籤、自動跳轉的連結或其他設定選項。

  3. 網路連線失效:網路連線經常中斷,或因為巨量流量無法連線。

  4. 電腦效能較低:電腦開機或執行指令速度緩慢,甚至經常當機,而連至其他硬體如鍵盤、滑鼠也有同樣的問題,無法及時反應其指令。

  5. 未授權的作業系統設定更改:出現不是自己設定的螢幕保護程式、工作列自行消失、顯示錯誤的時間和日期等等,任何非自己更改的作業系統設定都可能是感染 Rootkit 的跡象。

 

怎麼移除 Rootkit?

電腦或裝置不幸感染了 Rootkit 惡意程式,可以依照以下的步驟處理並移除 Rootkit:

 

  1. 備份重要資料:清除 Rootkit 也可能會同時清除電腦中的重要資料,因此在清除前,首先確定已經將系統中的重要資料複製存為備份。

  2. 使用安全模式開機:部分 Rootkit 惡意軟體會阻止使用者在電腦中安裝資安系統和移除惡意軟體,以安全模式重新開啟電腦可以防止 Rootkit 加載,避開此問題。

  3. 使用多種 Rootkit 掃描工具:利用掃描工具找出 Rootkit 所在之處。且因 Rootkit 惡意軟體的種類和變種眾多,也各有不同特性,建議同時使用多種掃描工具,避免出現漏網之魚。

  4. 清除 Rootkit 惡意軟體:掃描確認 Rootkit 種類後,可以針對其特性進行移除。

  • 硬體/韌體 Rootkit:使用官方提供的工具重刷韌體或是更換硬體。

  • 啟動程式 Rootkit:重建主引導記錄(MBR)或 GUID 分區表(GPT)。在某些情況下,也可以選擇重新安裝作業系統,並清除所有分區。

  • 記憶體 Rootkit:重新啟動電腦即可清除 RAM 裡的 Rootkit 惡意軟體。

  • 應用程式 Rootkit:使用防毒軟體和 Rootkit 清除工具。

  • 核心模式 Rootkit:使用特定 Rootkit 清除工具,或是重新安裝作業系統,並格式化硬碟。

  • 虛擬 Rootkit:檢查電腦中是否有非自己設定的虛擬機監視器(Virtual Machine Monitor,VMM,用來建立與執行虛擬機),若有的話,先將其移除,再重新安裝作業系統和重刷韌體。

 

如果遇到難以清除的 Rootkit,需要使用進階的移除工具,或將所有資料都刪除,重新安裝所有系統。另一方面,移除 Rootkit 之後,電腦還是有可能藏有其他惡意軟體。因此,建議清除 Rootkit 之後,再使用其他掃描和惡意程式移除工具,徹底將電腦中所有的惡意軟體剷除。

 

預防 Rootkit 攻擊的 4 方法

Rootkit 惡意程式在偵測和清除上都相對困難,所以最好的處理辦法還是事先做好資安措施,杜絕 Rootkit 入侵,將感染電腦的機會降到最低。以下整理了預防 Rootkit 攻擊的最佳做法:

  • 提高警覺性:Rootkit 也經常以社交工程的方式傳播,不點擊可疑電子郵件中的連結,或下載夾帶檔案。下載軟體以官方網站提供的正版程式為主,不要從來路不明的網站下載非法軟體。

  • 定期更新系統:更新軟體硬體修補系統漏洞,減少 Rootkit 程式透過因設計不良而產生的弱點入侵電腦的機會。

  • 使用防毒軟體:防毒軟體可以偵測掃描電腦,建立資安的第一道防護。

  • 注意電腦異常活動:Rootkit 惡意軟體善於躲避偵測,除了使用防毒軟體以外,也可以透過多留意電腦運作時是否有異常活動,來判斷有沒有可能已遭 Rootkit 入侵。

  • 掃描及過濾網路流量:Rootkit 程式可能從外部網路入侵電腦系統,因此過濾流量可以第一時間阻止惡意軟體傳播。

 

晟崴科技提供電腦系統資安服務,有效降低 Rootkit 惡意軟體威脅。例如弱點掃描服務,找出電腦系統中可能感染 Rootkit 的漏洞;協助您設置 Web 防火牆及 API 防護,過濾流量;以及 MDR 威脅偵測應變服務,隨時偵測系統異常活動並即時對應。

 

 

立即聯絡晟崴科技幫您加強資安防護

相關訊息

NDR 是什麼?提升網路可視性,即時偵測威脅

NDR 是什麼?提升網路可視性,即時偵測威脅

NDR(網路偵測及回應) 透過持續監控網路流量,利用 AI 與行為分析等技術,偵測異常活動並快速回應,進一步提升企業的資安防禦能力。

XDR 是什麼?延伸式偵測及回應提供了哪些資安保障?

XDR 是什麼?延伸式偵測及回應提供了哪些資安保障?

XDR 能夠整合多個資安技術,擴大資安監控範圍,並提供自動化回應機制,幫助企業更有效地防禦資安攻擊。本文將深入探討 XDR 的運作方式、優勢,幫助企業了解如何導入 XDR 來強化資安防禦。

雙因子認證(2FA)是什麼?兩步驟身份驗證如何確認安全性

雙因子認證(2FA)是什麼?兩步驟身份驗證如何確認安全性

雙因子認證(2FA)在現代資安中扮演了重要角色。本文將介紹 2FA 的基本概念、運作原理,以及與 MFA 和無密碼登入的差別,協助企業選擇最適合的驗證方式來保護資料安全。

聯絡我們
聯絡我們

CONTACT US

聯絡我們的專業團隊,解答您的所有疑慮與需求!


本網站使用 Cookie 來提升您的使用體驗、協助我們分析網站效能和使用狀況,以及讓我們投放相關聯的行銷內容。您可以在下方管理 Cookie 設定,或是按一下「全部接受」即代表您同意採用目前的設定。

管理Cookies

隱私權偏好設定中心

本網站使用 Cookie 來提升您的使用體驗、協助我們分析網站效能和使用狀況,以及讓我們投放相關聯的行銷內容。您可以在下方管理 Cookie 設定,或是按一下「全部接受」即代表您同意採用目前的設定。

查看政策

管理同意設定

必要的Cookie

一律啟用

網站運行離不開這些 Cookie 且您不能在系統中將其關閉。通常僅根據您所做出的操作(即服務請求)來設置這些 Cookie,如設置隱私偏好、登錄或填充表格。您可以將您的瀏覽器設置為阻止或向您提示這些 Cookie,但可能會導致某些網站功能無法工作。

數字驗證

請由小到大,依序點擊數字