rootkits对企业的下一个大威胁吗?

晚上,系统管理员执行了崩溃的服务器的例行检查,其中48个系统中的一个,其中包括主要在线基础设施,每月每月产生约400万美元。他有点惊讶,系统已经失败了,因为它一直哼着几个月,没有任何症状崩溃。检查未发现三个加密文件。管理员呼吁Nankiant分析它们。

发现的巨大巨大是未经授权的内核修改导致系统变得不稳定,并且修改也受到了系统的安全性。为了确定违规的程度,48台服务器中的每一个都需要脱机,在受控环境中启动,每次分析三到五个小时。大约一半的裂缝安装,强迫公司假设所有信用卡信息都受到损害。第一个似乎常规导致财务噩梦 - 许多公司都将自己暴露在一起,不知道rootkits的普遍性的增加。

每个组织都意识到在越来越多的移动和恶意软件饱和世界中保护核心系统,网络和最终用户设备的重要性。但最多可能没有意识到的是恶意软件的威胁旨在使其存在隐藏的恶意软件越来越多的恶作剧软件。在早期的UNIX包后被授权替换命令,否则会提醒管理员的侵入者的入侵者,rootkits的入侵者的存在,rootkits正在寻求窃取公司和个人信息的人们的崛起。

当然,rootkits并不是恶意。但是,当用恶意软件打包时,他们可以促进未被发现的安全漏洞,特别是因为它们越来越受到非UNIX系统的攻击,特别是窗户。与 Forrester研究 最近估计,每次记录丢失的安全漏洞公司违反了90美元至305美元的费用,他们可以负担于视而不见的是从他们网络中无形的敏感数据侵蚀的东西?

rootkits的崛起Windows rootkit数字版权管理 (DRM)2005年的Boonggling。

rootkits日期回到互联网上最早的年份,当饼干创造了Unix命令的隐藏变体,以确保其违约系统的行为将无法被发现。对于Net-Connected UNIX系统的系统管理员来说,rootkits的主要担忧仍然相对较低,直到索尼BMG音乐娱乐

在尝试执行版权保护时,索尼BMG在PC上播放音乐CD时,索尼BMG开发了一个偷偷摸摸的扩展复制保护(XCP)或MediaMax CD-3软件的rootkit。设计不良,软件在Windows OS中打开孔,促进病毒感染并导致其他系统问题。 Mark Russinovich,现在是微软技术伙伴,发现了rootkit的行为,然后他 在他的博客上宣布。由此产生的FurrOR和Rootkit Lead索尼BMG的进一步说明来调用CD并发出删除程序。不幸的是,删除程序设计得非常糟糕,导致额外的隐私和安全问题,如 由Russinovich记录.

这一事件唤醒了两组的Windows rootkits的效力:闯入一方面的计算机和专业罪犯,以及创建软件以保护系统的公司。在恶意软件的高赌注战斗中已经侵犯了,这两个营地现在有一个新的,可能更具破坏性的前线,以争辩。 计算机经济学2005 Malware报告该组织最新,将2005年的恶意软件成本为142亿美元。恶意软件从防病毒软件自动检测,保护和消除大多数恶意软件的能力隐藏其脚本的能力只会有助于升级赌注,特别是因为恶意软件作者的动机“继续从一般愿望造成意图造成损害根据调查,通过窃取经济上的个人信息或获得财务账户的访问权限。

更强调企业中的流动性肯定导致覆盖恶意软件感染的可能性越来越多。 Microsoft Windows和相关产品中的各种未分割的安全漏洞也是如此,为自动rootkit安装提供访问。 rootkits的扩散用于封锁磁盘上的文件,系统挂钩和系统上运行的流程 - 正在令人担忧,作为间谍软件开发人员和恶意软件作者正在创建使用rootkits逃避检测的机器人网络,不仅隐藏恶意软件,而且还有什么正在获得信息。一些更复杂的rootkits甚至修改和损坏Windows API。 (有关rootkits的更详细信息,请访问 rootkit.com 或读取Greg Hoglund和Jamie Butler的rootkits:颠覆Windows内核。)

root rootpits增殖的一部分是能够实施它们的容易性。

“它肯定会在去年半到两年升起,”强大的软件工程师Butler说。 “恶意软件作者对恶意软件作者进行了非常容易切割并粘贴到他们的代码集中以保持在机器上的存在。”

暂时,恶意软件rootkit使用仍然是原油。 “许多袭击是难以理解的,”巴特勒说。 “我们没有看到领先的rootkit技术。”但是,入侵和反应的动态是安全行业的标志,快速推动rootkits在创新方向上的使用。

rootkit防御的前线

rootkits采用各种方法来隐瞒自己。一些覆盖内核结构以替换Windows命令通常使用的钩子。其他人在有效地隐形的文件系统中创建文件。还有其他人在Windows命令中捕获钩子以损坏其输出。许多钩子进入用于内核服务的地址,更改表条目的地址,以便在执行真实的Windows系统调用之前调用rootkit。关于目前隐藏方法的广泛细节可在Rootkit.com和其他互联网网站上获得。 rootkit.com上发布的一个最近的方法涉及装载驱动器代替Windows Null.sys虚拟驱动程序。同一帖子概述了三种隐藏驱动程序的其他方法,并为Null.sys替换提供代码。

在防御感染方面,Windows XP中的Microsoft Windows Vista 64位资源保护和软件限制策略提供了一些保证,但Rogue软件的开发人员已经证明了他们找到隐藏受妥协代码的新方法的能力。事实上,rootkit前面正在快速转变为武器竞赛,每侧都在响应其他阵营推动的发展。保持最新的预防模式至关重要,特别是如果您负责运行Microsoft Windows任何变体的计算机队伍。

至于大安全播放器,使用基于签名的搜索来追踪已知的rootkit并应用相关修复程序,该数字将传统的传统方法应用于病毒。然而,两个主要的供应商,赛门铁克和趋势科技正在采取独特的块状块。

Symantec正在利用映射技术来发现受损系统上的rootkits。 Symantec的安全响应的新兴技术主任Oliver Friedrichs认为,rootkit根除需要一个稳定,可靠的设计,可最大限度地减少rootkit在rootkit期间减轻系统不稳定性。为了擅长这项任务,赛门铁克在Veritas收购期间聘请了在船上带来的专业知识和技术。使用VxMS(Veritas Mapping Service),Symantec的Norton Internet Security 2007将数据映射到硬盘驱动器上,将其与Windows文件结构进行比较,并分离任何发现的不匹配,以努力修复潜在问题。实际上,VxMS使Norton能够将文件系统与磁盘上的原始数据进行比较。差异是立即怀疑。

例如,Windows Explorer表示目录中的五个文件,而Vxms显示10.显然,额外的五个文件是隐藏的。 Norton将可疑文件发送到Symantec进行分析,在重新启动期间发生根除,并且发现的Rogue将从全球范围内从全世界删除。

趋势科技采用不同的方法。该公司开发了一个完整的库 - rootkit常见模块(RCM),趋势科技的解决方案产品经理Geoff Grindrod(RCM)开发了一个完整的库 - rootkit公共模块(RCM) - 更换Windows API。根据Grindrod,图书馆包括双加密以避免欺骗,并且其用于API调用的代理被构造为特殊的内核模块。使用RCM,系统看到隐藏的进程,隐藏的注册表项和隐藏文件。 Grindrod说,随着RCM已经成熟的,它已被融入了越来越多的趋势产品,现在是AntiSpyware和其他趋势微产品的核心组成部分。

然而,发现rootkits只是战斗的一半,因为切除它们可能导致自己的一系列问题。

“rootkits在操作系统中如此嵌入,”Mandiant的Butler说。 “加上,我们看到固件攻击和可生存的rootkits在BIOS中安装自己。删除rootkits也可以在运行时使系统不稳定。”

在Sophos的高级安全分析师之一提供rootkit删除工具之一的高级安全分析师Ron O'Brien表示,管理员应该了解rootkit删除rootkit删除的影响。

“rootkits并不”坏“,但他们已经制定了糟糕的声誉,”奥布莱恩说。 “他们真的只是一种隐藏文件的形式,可能具有合法用途。他补充说,在建立目的之前撕毁rootkits可以证明对整体系统健康有害。

应对不断发展的威胁

尽管预防和删除了预防,但杜松安全工程和研究高级经理Steve Manzuik,尽可能地看到rootkit威胁。事实上,Manzuik认为,rootkit.com,joanna rutkowska在Windows内核上的工作,以及微软为64位Windows Vista的资源保护是“对攻击者和供应商来说更难。”

Manzuik看到,尽管Windows安全性改进,但rootkit发现和删除的目前的方法开始失败。 Vista Protection广泛部署前的滞后时间因素,您对rootkit创新有一个完美的繁殖基础。例如,Manzuik指出,一些rootkit现在可以绕过安全沙箱。他们发现它们在沙箱中并奠定了低,有效地欺骗了系统,以思考它们是合法的应用程序。

然而,Mandiant的Butler认为,Vista Protection会产生影响。他说,不仅保护rootkit作者将使rootkit作者更加困难,但它还需要“另一个单独的努力来隐瞒自己并保持其存在。”

但是,Manzuik和Butler做了严格的用户访问政策的重要性。查看rootkits作为进一步证据,反对向用户提供对系统的管理级别访问 - 特别是在较小的组织中,这种做法通常被推广为成本削减的必要性。

“较小公司中的文化是,如果他们无法弄清楚它,他们只会召唤IT人员,这导致大多数用户在机器上有管理权,”Manzuik说。 Manzuik说,任何雇用这项政策的组织 - 无论其规模 - 都会受到损害。

因此,Manzuik认为,政策应该成为保护对rootkits的系统的手段:“如果没有购买特殊技术,[大多数组织]都可以处理大多数威胁正确的安全政策和管理。”

也就是说,最近的注意力为rootkits支付了一个发现和删除工具的筏,包括自由和主机,包括Icesword,rootkitrevealer,F-Secure的Blacklight和Sophos Antirokit。随着时间的推移,这些功能将集成到企业级防病毒和基于主机的安全解决方案中。然而,与此同时,大多数组织仍然毫无疑问 - 鉴于机会主义正在推动rootkit诀窍的地下,从IT社区聚焦,所有这些组织都更加困扰。

过去,在新闻组中分享了隐藏rootkits的创新,并发布到社区网站。然而,拥有rootkit知识的财务颠覆性正在改变,巴特勒说。那些揭开新方法的人可能会将他们的发现作为他们的电话卡来获取工作。然而,更多的令人不安的是,恶意软件作者愿意为新技术支付的金钱。随着鸿沟的两侧,为最新的创新消耗现金,rootkit开发显然成为一个有利可图的追求 - 一个留下了蹒跚的大多数组织,不知道即将到来的事情。

为了降低rootkit感染的概率和影响,组织应采取以下主动步骤:

1 2 Page 1
第1页,共2页