Rootkit 是什麼以及如何檢測?
Rootkit 是一種惡意軟體,旨在讓駭客存取和控制目標裝置。雖然大多數 Rootkit 會影響軟體和作業系統,但某些也會感染電腦硬體和韌體。此名「Rootkit」源於 Unix 和 Linux 作業系統,其中權限最高的帳戶管理員稱為「Root」,而可允許未經授權的 Root 或可存取裝置管理員層級的應用程式則稱為「kit」。Rootkit 非常難檢測和移除,閱讀本文以了解如何預防以及移除的方法。
內容
Rootkit 是什麼?
Rootkit 的定義
Rootkit(也稱隱匿軟體)是網路犯罪份子用來取得對目標電腦或網路控制的軟體。Rootkit 有時會以單一軟體的形式出現,但通常都是由一系列工具所組成,讓駭客得以對目標裝置進行管理員層級的控制。
駭客可透過多種不同方式在目標裝置上安裝 Rootkit:
- 最常見的方式是透過網路釣魚或其他類型的社交工程攻擊。受害者在不知情的情況下,下載和安裝惡意軟體,這些惡意軟體會隱藏在裝置運行的其他程序中,讓駭客能夠控制幾乎作業系統的所有層面。
- 另一種方式是透過安全漏洞,也就是軟體或作業系統為更新的漏洞,將 Rootkit 強行植入電腦。
- 惡意軟體也可透過其他檔案夾帶,如受感染的 PDF 文件、盜版媒體或從可疑第三方商店獲取的應用程式。
Rootkit 在作業系統的核心附近或內部運作,這使它們有能力對電腦發出指令。任何使用作業系統的用品都可以是 Rootkit 的潛在目標——隨著物聯網(IoT)的發展,包含家中的冰箱或溫控器等家電用品都是。
Rootkit 可能藏有鍵盤側錄器,即可在未經您同意的情況下記錄所有按鍵敲擊。這使得網路犯罪份子很容易就能竊取您的個人資訊,如信用卡或網銀的詳細資料。Rootkit 還可讓駭客利用您的電腦發起 DDoS 攻擊(分散式阻斷服務攻擊)或發送垃圾郵件,甚至還可以停用或移除安全軟體。
某些 Rootkit 會應用於合法目的,例如,提供遠端 IT 支援或協助執法行為,但大多數情況下,還是被用於惡意目的。使 Rootkit 如此危險的原因是,其可提供各種形式的惡意軟體,這些惡意軟體可以操縱電腦的作業系統並為遠端用戶提供管理權限。
Rootkit 的作用
Rootkit 可讓惡意程式碼隱藏在您的裝置中,一旦被 Rootkit 攻擊,進入到作業系統核心,其就會在避免被偵測的同時,對作業系統授予遠端管理權限。由於 Rootkit 的目的是為了取得對電腦系統的管理員層級存取權限。以下是 Rootkit 一旦入侵後,可能執行的操作:
- 掩蓋惡意軟體:Rootkit 會將其他類型的惡意軟體隱藏在裝置中,使其更難移除。
- 取得遠端存取權限:Rootkit 可以在躲避偵測的同時,提供對作業系統的遠端存取權限。Rootkit 的安裝,與日益猖獗的遠端存取詐騙有關。
- 篡改或停用安全程式:某些 Rootkit 可以隱藏自己,避開電腦的安全程式,或者可以完全停用安全程式,因而使發現和移除惡意軟體變得相當棘手。
- 竊取資料:大多時候,網路犯罪份子會使用 Rootkit 來竊取資料。某些駭客以個人為目標,取得個人資料用於身份盜竊或是詐騙行為。其他駭客則以企業為目標,進行商業間諜活動或是金融犯罪行為。
- 建立永久「後門」:某些 Rootkit 可在系統中建立網路安全後門,該後門會保持敞開,以便駭客可以隨時返回。
- 竊聽資訊:Rootkit 可作為監控工具使用,讓駭客得以竊聽資訊。
- 侵犯隱私:借助 Rootkit,駭客可以攔截網路流量,追蹤按鍵敲擊,甚至讀取受害者的電子郵件。
Rootkit 是一種病毒嗎?
與主流看法不同,Rootkit 不是病毒,而是一種惡意軟體。雖然聽起來可能會令人感到有些困惑,但病毒只是惡意軟體的一種類型,並且只會破壞資料,而 Rootkit 則更為先進許多。值得慶幸的是,採用現代尖端安全技術的防毒軟體可以抗衡不同類型的惡意軟體,從病毒、蠕蟲到勒索軟體、特洛伊木馬,甚至是某些 Rootkit 都行。
Rootkit 的類型
- 硬體或韌體 Rootkit。硬體或韌體 Rootkit 可影響硬碟、路由器或系統的 BIOS(基本輸入/輸出系統),也就是安裝在電腦主機板上記憶體晶片的軟體。此種 Rootkit 不是針對作業系統,而是針對裝置的韌體來安裝難以檢測的惡意軟體。由於其會影響硬體,允許駭客記錄按鍵敲擊,以及監控線上活動,所以儘管比起其他類型,硬體或韌體的 Rootkit 不太常見,但對線上安全還是一個嚴重的威脅。
- 開機程式 Rootkit。開機程式機制負責在電腦上加載作業系統。開機程式 Rootkit 會攻擊此系統,用一個已被駭的開機程式取代原本電腦的合法開機程式。這甚至會在電腦的作業系統完全操作之前,就已啟用 Rootkit。
- 記憶體 Rootkit。記憶體 Rootkit 隱藏在電腦的隨機存取記憶體(RAM)中,利用電腦資源在後台進行惡意活動。記憶體 Rootkit 會影響電腦的 RAM 性能,由於此類 Rootkit 只停留在電腦的 RAM 中,並不會注入永久性程式碼,記憶體 Rootkit 在重新啟動系統後就會消失,但有時還是需要耗費很大的工夫才能擺脫它。此種 Rootkit 壽命很短,因此相較於其他類型的 Rootkit,其通常不太被視為重大的威脅。
- 應用程式 Rootkit。應用程式 Rootkit 會使用感染 Rootkit 的檔案替換電腦中的原始檔案,甚至可能會變更標準應用程式的運作方式。這類 Rootkit 會感染 Microsoft Office、Notepad 或 Paint 等程式,而每當您運行這些程式時,攻擊者都能取得對電腦的存取權限。由於被感染的程式仍然正常運行,用戶很難檢測到 Rootkit 的存在,但因為此類 Rootkit 都運行在應用程式上,使用防毒程式即可檢測到。
- 核心模式 Rootkit。核心模式 Rootkit 是此惡意軟體威脅中最為嚴重的類型,因為其是針對作業系統的核心部分(即核心層)。駭客利用此種 Rootkit 不僅可以存取電腦上的檔案,還可以透過新增自己的程式碼來篡改作業系統的功能。
- 虛擬 Rootkit。虛擬 Rootkit 會將自己加載到電腦作業系統內,然後將目標作業系統作為一個虛擬裝置進行託管,這使得此類 Rootkit 可以攔截原始作業系統的硬體調用。虛擬 Rootkit 不需要修改核心就可以顛覆作業系統,而且非常難以檢測。
Rootkit 的實例
多年來 Rootkit 已經造成了許多重大的損失,以下介紹一些值得注意的 Rootkit 實例:
- 震網(Stuxnet)。歷史上最惡名昭彰的 Rootkit 之一是 Stuxnet,這是一個於 2010 年發現的惡意電腦蠕蟲,並且據信是從 2005 年以來就一直在開發。 Stuxnet 對伊朗的核武計畫造成了巨大的破壞,雖然沒有國家承認,但人們普遍認為其是由美國和以色列在一場奧運會的合作中所共同創造的網路武器。
- Flame。2012 年,網路安全專家發現了 Flame,這是一個主要用於中東地區網路間諜活動的 Rookit。Flame(亦稱為 Flamer、sKyWIper 和 Skywiper)可影響電腦的整個作業系統,使其能夠監控流量、抓取螢幕截圖和音頻,並記錄裝置的按鍵敲擊。Flame 背後的駭客尚未被發現,但研究表明他們使用橫跨三大洲的 80 台伺服器存取受感染的電腦。
- Necurs。2012 年,Necurs 作為一種 Rootkit 橫空出世,據報導當年在 8.3 萬起感染中檢測到。Necurs 與東歐的精英網路犯罪份子有關,以其技術複雜性和進化能力脫穎而出。
- ZeroAccess。網路安全專家於 2011 年發現了 ZeroAccess,此為核心模式類型的 Rootkit,感染了全球超過 200 萬台電腦。該 Rootkit 不直接影響受感染電腦的功能,而是會在受感染電腦上下載和安裝惡意軟體,使其成為駭客用來進行網路攻擊的全球殭屍網路的一部分。目前 ZeroAccess 仍處於活躍使用狀態。
- TDSS。TDSS Rootkit 於 2008 年首次被檢測到。該 Rootkit 近似於開機程式 Rootkit,因為其在作業系統的早期階段就進行加載和運行,使得檢測和移除 TDSS 成為一項挑戰。
如何檢測 Rootkit
在電腦上檢測 Rootkit 是否存在可能很困難,因為此種惡意軟體明確設計為保持隱藏。Rootkit 還可以停用安全軟體,因而使得這項任務更加艱鉅。因此,Rootkit 惡意軟體可能會在電腦上長時間停留,從而造成重大損害。
裝置感染 Rootkit 惡意軟體的可能跡象包含:
- 藍屏。大量的 Windows 錯誤訊息或帶有白色文本的藍屏(有時稱為「藍屏當機」),而電腦會不斷需要重新啟動。
- 異常網路瀏覽器行為。這可能包含無法識別的書籤出現或連結重新導向等異常情形。
- 裝置性能緩慢。裝置可能會需要一段時間才能啟動,並且執行緩慢或經常當機。或是裝置無法回應來自滑鼠或是鍵盤的輸入。
- Windows 設定未經許可就變更。示例可能包含螢幕保護程式的變更、工作列自行隱藏,或顯示不正確的日期和時間等,而您卻沒有變更任何設定。
- 網頁無法正常運行。由於網路流量過大,網頁或網路活動出現斷斷續續或不能正常運行的異常情形。
Rootkit 掃描是檢測 Rootkit 感染的最佳方式,您的防毒解決方案可以啟動此掃描功能。如果懷疑裝置有 Rootkit,檢測感染的方式之一是關閉電腦電源,並從已知的乾淨系統執行掃描。
行為分析是另一種檢測 Rootkit 的方式。這意味著,不是尋找 Rootkit 本身,而是尋找類似 Rootkit 的行為。如果發現系統行為出現異常,那執行針對性掃描就非常有效,而行為分析會在您意識到自己受到攻擊之前,就發出 Rootkit 的示警。
如何移除 Rootkit
移除 Rootkit 是一個複雜的過程,通常需要專門工具才能有效檢測並移除。有時,完全刪除隱藏良好的 Rootkit 的唯一方式就是消除電腦的作業系統,從頭開始重建。
如何從 Windows 移除 Rootkit
在 Windows 上,移除通常涉及運行掃描。如果存在深度感染,移除 Rootkit 的唯一方式就是重新安裝 Windows。最好是透過外部媒介裝置進行,而不是使用內建的 Windows 安裝程式。某些 Rootkit 會感染 BIOS,這就需要進行修復才能解決。如果在修復後仍有 Rootkit,則可能就需要更換一台新電腦。
如何從 Mac 移除 Rootkit
在Mac上,務必保持最新版本的更新。Mac 的更新不僅會增加新功能,還可刪除惡意軟體,其中也包含 Rootkit。Apple 有內建的安全功能,可以防止惡意軟體。然而,macOS 上沒有已知的 Rootkit 檢測工具,所以若是懷疑自己的裝置上有 Rootkit,則應該重新安裝 macOS。此舉可以刪除裝置上的大多數應用程式和 Rootkit。如上所述,如果 Rootkit 已感染了 BIOS,就需要進行修復——若是 Rootkit 仍然存在,就可能需要購買新裝置。
如何防範 Rootkit
由於 Rootkit 可能非常危險,而且難以檢測,因此在瀏覽網路或是下載程式時,務必保持警惕。為了防範電腦病毒或惡意軟體,建議採取以下保護措施,此舉有助於將 Rootkit 的風險降到最低。
- 使用全方位的網路解決方案。主動出擊保護自己的裝置,安裝全方位的先進防毒解決方案。NordVPN 的威脅防護 Pro 可以掃描下載檔案,偵測惡意軟體,封鎖惡意廣告、網站和追蹤程式,有效防止各項網路威脅,提供全方位的防護。
- 保持更新。持續更新軟體對於保持安全和防止駭客利用惡意軟體讓您感染惡意軟體至關重要。使所有程式和作業系統保持最新版本,以避免利用安全漏洞的 Rootkit 攻擊。
- 慎防網路釣魚詐騙。網路釣魚是一種社交工程攻擊,詐騙份子會利用電子郵件誘騙用戶,藉此取得他們的財務資訊或下載惡意軟體,如 Rootkit。若要防止 Rootkit 滲透進電腦,請避免開啟可疑電子郵件,特別是不認識寄件人的來信。若是不確定連結是否可信,也千萬不要隨意點擊。
- 僅從可信任來源下載檔案。點開附件檔案時務必小心,避免點開來自不認識寄件人的附件,以防 Rootkit 安裝到自己的電腦上。只從信譽良好的網站下載軟體,當網路瀏覽器發出通知,警告您試圖存取不安全的網站時,不要忽略瀏覽器的示警。
- 對電腦的行為或性能保持警惕。若電腦有異常行為問題發生,可能表示有 Rootkit 正在運行。對任何意外變更保持警惕,並試圖找出這些異常變更或行為發生的原因。
Rootkit 是最難檢測和移除的惡意軟體類型之一。由於此惡意軟體很難被發現,預防往往是最好的防範措施。NordVPN 的惡意軟體掃描工具,就可以在惡意軟體有機會入侵裝置之前,搶先封鎖並將之刪除,保護電腦裝置遠離最新網路威脅,確保持續安全防護。