Bootkit是更高級(jí)的Rootkit木馬后門。該概念最早于2005年被eEyeDigital公司在他們的“BootRoot"項(xiàng)目中提及,該項(xiàng)目通過感染MBR(磁盤主引記錄)的方式,實(shí)現(xiàn)繞過系統(tǒng)內(nèi)核檢查和啟動(dòng)隱身。所有在開機(jī)時(shí)比Windows內(nèi)核更早加載,實(shí)現(xiàn)內(nèi)核劫持的技術(shù),都可以稱之為Bootkit。例如后來木馬BIOS Rootkit、VBootkit、SMM Rootkit等。
小實(shí)驗(yàn)
下面是一張經(jīng)典的機(jī)器開機(jī)啟動(dòng)順序圖
如上圖所示,第一個(gè)組件被稱做是主引導(dǎo)記錄(MBR),也就是咱們常說硬盤中的0扇區(qū)。MBR描述了邏輯分區(qū)的一些信息,包含文件系統(tǒng)以及組織方式
在引導(dǎo)程序執(zhí)行幾個(gè)檢查過后,程序就跳轉(zhuǎn)到VBR引導(dǎo)分區(qū)(同樣在0扇區(qū)中)。同樣的,VBR也在分區(qū)中定義了一些東西。VBR包含了bootstrap和bootloader兩部分。
在嵌入式操作系統(tǒng)中,BootLoader是在操作系統(tǒng)內(nèi)核運(yùn)行之前運(yùn)行。
Bootkit一般都是感染MBR或者是VBR,將代碼復(fù)制到內(nèi)存中,然后執(zhí)行惡意代碼。有時(shí)候,他們還會(huì)hook INT 13/15中斷處理程序來過濾內(nèi)存和磁盤的訪問,保護(hù)收到感染的MBR/VBR以及內(nèi)核驅(qū)動(dòng)。
一旦完成,惡意驅(qū)動(dòng)程序就會(huì)注入到用戶進(jìn)程,然后用一個(gè)Payload(攻擊負(fù)載)執(zhí)行惡意操作,比如進(jìn)行釣魚攻擊啥的。
關(guān)于RogueKiller
流氓軟件殺手(roguekiller)是一款免費(fèi)的進(jìn)程掃描程序,能夠針對(duì)電腦正在運(yùn)行的軟件程序、系統(tǒng)文件、hosts、代理、dns、檔案、mbr、驅(qū)動(dòng)程序等進(jìn)行全面安全的掃描檢測(cè),一旦發(fā)現(xiàn)惡意程序即可中止或清除,從而保護(hù)用戶的計(jì)算機(jī)安全。
RogueKiller這款軟件可以檢測(cè)到注入進(jìn)程,見下面截圖:
RogueKiller不僅僅能夠檢測(cè)到,還能夠自動(dòng)移除染。只需簡(jiǎn)單的掃描操作,就可以輕松刪除受感染的文件了。
移除TDL4的演示
移除Rovnix的演示
近日,安全研究人員發(fā)現(xiàn)一種讓蘋果電腦感染ROM級(jí)惡意程序的方法。這個(gè)攻擊由編程專家Trammell Hudson在德國(guó)漢堡舉辦的年度混沌計(jì)算機(jī)大會(huì)上展現(xiàn),他證明這將使重寫蘋果Mac計(jì)算機(jī)固件成為可能。
這種攻擊被命名為“Thunderstrike”。它實(shí)際上利用了一個(gè)在ThunderboltOption ROM中有些歷史的漏洞,該漏洞在2012年首次被發(fā)現(xiàn)但仍未修補(bǔ)。通過受感染的Thunderbolt設(shè)備在蘋果電腦的boot ROM中分配一段惡意程序,Thunderstrike 將可以感染蘋果可擴(kuò)展固件接口(EFI)。
京公網(wǎng)安備 11010502049343號(hào)