儘管Bootkit的技術日趨複雜、創新的應用也越來越多,它卻僅能用於保護自己,而讓開啟的後門程式檔案被偵測並刪除。這表示Bootkit與後門程式是由不同人所研發。
 |
| 奕瑞科技總經理張義淵 |
無論如何,Bootkit就像是自給自足平台,它能加進任何現有的惡意程式中以保護該程式,或在系統中掩飾其存在。不久之後,也許會看到出售Bootkit的情形,這將使得數以千計的業餘駭客有機會能取得此技術。由於惡意程式的數量仍不斷的攀升,Bootkit 流通後有可能會成為最普遍的威脅。
為何防護Bootkit會如此困難?主要的難題如下:
●惡意程式碼能在作業系統啟動前就取得控制權,比防毒程式啟動還早。
●難以偵測受感染作業系統的功能是否遭封鎖。
●若要還原遭封鎖的功能,可能會讓作業系統當機。
●只有偵測到原始MBR,才能進行解毒。
當然,最佳的防護是從一開始就要避免系統受感染,因為Bootkit並不會憑空冒出來,一定得藉由某種方式才能感染電腦。有些防毒程式能避免電腦受感染,即使是未知的惡意程式變種。不過,這種防護方式也難免有百密一疏的地方,而這就是為受感染電腦解毒這個問題出現的原因。
以下有兩種不同的選擇:電腦已安裝防毒軟體(若是這種情形,上述四點皆與防毒解決方案有關),或是未安裝防毒軟體但有安裝的需求。若是第二種情況,我們會面臨到其他的問題(與上述第一點有關),亦即惡意程式碼會阻擋防毒解決方案安裝於受感染電腦上。
病毒撰寫者已對防毒廠商解決上述問題的方式進行改變,並於2008年2月釋出加強版的Bootkit。這使得以往用來對付Bootkit的方式變成毫無用處。
此時,Bootkit也已經發展出新的散布方式。已經發現有許多遭駭客入侵的網站被植入攻擊程式,若使用者的電腦連線到這些網站將會遭到安裝Bootkit。到目前為止,除了Sinowal之外,我們尚未偵測出任何帶有Bootkit惡意程式。目前,防毒廠商與病毒撰寫者仍依循傳統攻守的方式維持勢均力敵的局面。即使是最新的Bootkit變種,防毒解決方案不需有重大的功能創新也能與它對抗。
不過,隨著一些防毒措施的日趨普遍,總有一天會有一種方式能保證偵測並刪除惡意程式。當這一天到來時,軟體防護也將轉移成硬體防護。最重要的問題是誰能先取得控制權,若是病毒先取得控制權,則防毒將會瞬間變得毫無用處。
目前,病毒再次搶得先機入侵MBR。十年以前,我們是利用裝有防毒程式的開機磁碟來解決此問題。現在我們不僅有機會看到舊病毒技術死灰復燃,連舊防毒技術也如出一轍。