ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1014

术语表: /attack/glossary

Rootkit

Rootkit 是通过拦截(即 Hooking)和修改提供系统信息的操作系统 API 调用来隐藏恶意软件存在的程序。 Rootkit 或 rootkit 启用功能可以驻留在操作系统中的用户或内核级别或更低级别,以包括 Hypervisor,主引导记录或系统固件。

攻击者可以使用 rootkit 来隐藏程序,文件,网络连接,服务,驱动程序和其他系统组件。Rootkit 已经在 Windows,Linux 和 Mac OS X 系统出现过。

缓解

识别可能包含 rootkit 功能的潜在恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略) 审计和/或拦截它们。

检测

一些 rootkit 保护可以内置到反病毒或操作系统软件中。有专门的 rootkit 检测工具,可以查找特定类型的 rootkit 行为。监视是否存在无法识别的 DLL,设备,服务以及对 MBR 的更改。