Solaris服务器防范rootkit攻击攻略

　　2.内核级别rootkit

　　内核级别rootkit 是比应用层级别 rootkit 功能更强大的 rootkit。内核级别rootkit

　　透过操作与利用 kernel，已成为最难被发现 rootkit，因为它能够在应用层检查中，建立一条绕过检验的通道。虽然这种软件主要是针对 linux 所制作，但它可能被修改来针对某个通讯端口或者是其它的操作系统来做攻击，一旦被安装在目标主机上，系统就可说是完全被黑客所控制，系统管理员甚至根本找不到黑客隐藏的踪迹。内核级别rootkit 是如何运作的呢? 它基本上是利用 LKM『Loadable Kernel Module』的功能让攻击者做出非法的动作。LKM 在 linux 或其它系统中都是非常有用的工具，支持 LKM 的系统包含 FreeBSD 与 Solaris。操作系统里面有一些函数被系统用来建构 kernel，当这些函数遭到假冒与窜改，主机就不能再被信任了。下面针对内核级别rootkit 的一些运作方式来做介绍：

　　(1)隐藏程序 - 在 unix 执行过程中，程序的纪录讯息会存放于文件系统中的 "/proc"，隐藏程序可以操作 sys_getdents() 系统呼叫函数，在程序的架构里就看不见这些附加且正在执行的程序。

　　(2)隐藏网络连结 - 类似于隐藏程序，网络连结会纪录在 "/proc/net/tcp" 与 "/proc/net/udp" 这两个文件之中，执行 Kernel rootkit，无论何时读取这两个文件，都会隐藏攻击者的踪迹，不让用户知道。

　　(3)隐藏 LKM 的信号 - 通常 LKM 的默认值是可被看见的，这样是为了方便其它使用者也可以使用。攻击者必须使用 "EXPORT_NO_SYMBOLS" 命令隐藏这些信号，以防止任何信号被泄漏出去。

　　(4)利用 LKM 传递讯息 - LKM Kernel rootkit 安装完成之后，攻击者若要通知kernel 隐藏另一文件，可透过 Kernel rootkit 来替换 sys_settimeofday()。之后只要透过一些特别的参数，就可以请求系统来完成攻击者想要完成的事情。

　　(5)改变文件的执行 - 有时攻击者可能想要替换掉某些文件，例如 "login"，但并不想要更改文件，此时 Kernel rootkit 可以替换 sys_execve()。这样系统会持续执行 "login" 并泄漏 "login" 程序的版本给攻击者。

　　目前最流行的内核级别rootkit，包含 linux 上的 knark 与 Solaris 上的Loadable Kernel Module，其中 knark 还包含了以下的程序：

　　(1)hidef：用来隐藏文件。

　　(2)unhidef：用来设定执行文件重新导向，使攻击者的木马可以被执行。

　　(3)nethide：可以隐藏 /proc/net/tcp 与 /proc/net/udp 字符串，这也是netstat 撷取资料的地方，攻击者可以用这个工具将目标主机上使用中的联机讯息隐藏起来。

　　(4)taskhack：可以改变正在执行中的程序，因此攻击者可以将 /bin/sh 的程序，更改成为 root 的使用者账号。

　　(5)rexec：可以从远程在 knark 服务器上执行命令，也可以用来支持 ip 造假的功能。

　　(6)rootme：可以将权限提升到 root。