信息來源:Freebuf
全球網(wǎng)絡(luò)安全公司Positive Technologies發(fā)布了一份新的調(diào)查報(bào)告,對(duì)過去10年臭名昭著的惡意軟件——Rootkit進(jìn)行了詳盡分析。
Rootkit雖不是最常見的惡意軟件類型,但根據(jù)過去發(fā)生的一些重大攻擊事件表明,Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用,起到攔截網(wǎng)絡(luò)流量、監(jiān)視用戶、竊取登錄憑據(jù)或劫持資源以執(zhí)行DDoS攻擊的作用,并對(duì)這些活動(dòng)進(jìn)行隱藏。
最主要目標(biāo)為政府機(jī)構(gòu)
研究發(fā)現(xiàn),大部分Rootkit被APT(Advanced Persistent Threat,高級(jí)可持續(xù)威脅攻擊)組織或出于經(jīng)濟(jì)動(dòng)機(jī)的犯罪分子使用,其支出超過了成本,最常見的目標(biāo)是政府和研究機(jī)構(gòu),77%的Rootkit被網(wǎng)絡(luò)犯罪分子用于收集數(shù)據(jù)等間諜目的。
根據(jù)案例分析,44%的攻擊針對(duì)政府部門,38%科研單位。這些機(jī)構(gòu)的數(shù)據(jù)對(duì)網(wǎng)絡(luò)犯罪分子往往具有重要價(jià)值。除此之外,電信、制造業(yè)、金融機(jī)構(gòu)也是名列前茅。而56%的攻擊被犯罪分子用來針對(duì)個(gè)人,包括高級(jí)官員、外交官等。
受攻擊最多的 5 個(gè)行業(yè)(按 rootkit 攻擊的份額)
而在動(dòng)機(jī)方面,31%是出于經(jīng)濟(jì)利益,只有15%試圖利用受害者的基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊。
Positive Technologies的安全分析師Yana Yurakova認(rèn)為,Rootkit非常難以開發(fā),尤其是運(yùn)行在內(nèi)核模式下。因此,它們要么由有強(qiáng)大技術(shù)實(shí)力的APT組織開發(fā),要么由有財(cái)力的個(gè)人或組織在灰色市場(chǎng)上購(gòu)買。
定制化的rootkit
該研究還發(fā)現(xiàn),暗網(wǎng)論壇主要是用戶級(jí)Rootkit的銷售宣傳地,這些用戶級(jí)Rootkit通常用于大規(guī)模攻擊。根據(jù)該報(bào)告,現(xiàn)成的Rootkit成本從45000美元到100000美元不等,具體取決于操作模式、目標(biāo)操作系統(tǒng)、使用條款(如可租用的時(shí)間)以及一些附加功能,如遠(yuǎn)程訪問、隱藏相關(guān)文件、進(jìn)程及網(wǎng)絡(luò)活動(dòng)。
在某些情況下,開發(fā)人員會(huì)根據(jù)買方的需要提供定制的Rootkit。67%的宣傳廣告顯示Rootkit傾向?yàn)閃indows“量身定制”。這與研究結(jié)果相吻合,在分析的樣本組中,為Windows系統(tǒng)制作的Rootkit占了69%。
各操作系統(tǒng)的的 rootkit 的份額,Windows占比69%
“盡管開發(fā)此類程序存在困難,但每年我們都會(huì)看到新版本的rootkit出現(xiàn),其運(yùn)行機(jī)制與已知惡意軟件的運(yùn)行機(jī)制不同?!盤ositive Technologies Expert Security Center (PT ESC)惡意軟件檢測(cè)主管Alexey Vishnyakov表示?!斑@表明網(wǎng)絡(luò)犯罪分子仍在開發(fā)偽裝惡意活動(dòng)的工具,并提供繞過安全檢查的新技術(shù)——新版本的Windows出現(xiàn),惡意軟件開發(fā)人員立即為其創(chuàng)建rootkit。我們預(yù)計(jì)Rootkit將繼續(xù)被組織嚴(yán)密的APT組織使用,這意味著它不再只是為了破壞數(shù)據(jù)和獲取經(jīng)濟(jì)利益,而是為了隱藏復(fù)雜的有針對(duì)性的攻擊,這些攻擊可能會(huì)給組織帶來不可估量的后果,如直接禁用掉核電站、電網(wǎng)等關(guān)鍵單位的基礎(chǔ)設(shè)施,以及政治上的間諜活動(dòng)?!?
可見,Rootkit的主要威脅仍將是掩蓋那些復(fù)雜的、有針對(duì)性的攻擊。為此,Positive Technologies 建議使用端點(diǎn)惡意軟件檢測(cè)工具和解決方案,例如PT Sandbox,它可以在安裝和操作期間識(shí)別惡意軟件。Rootkit 掃描程序、系統(tǒng)完整性檢查和異常網(wǎng)絡(luò)流量分析也將有助于檢測(cè)Rootkit。
參考來源:
https://www.helpnetsecurity.com/2021/11/05/rootkits-espionage/
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-report-examines-the-evolution-and-current-threat-of-rootkits/