信息來(lái)源:Freebuf
全球網(wǎng)絡(luò)安全公司Positive Technologies發(fā)布了一份新的調(diào)查報(bào)告����,對(duì)過(guò)去10年臭名昭著的惡意軟件——Rootkit進(jìn)行了詳盡分析�����。
Rootkit雖不是最常見(jiàn)的惡意軟件類(lèi)型�,但根據(jù)過(guò)去發(fā)生的一些重大攻擊事件表明,Rootkit一般都和木馬����、后門(mén)等其他惡意程序結(jié)合使用,起到攔截網(wǎng)絡(luò)流量�、監(jiān)視用戶(hù)、竊取登錄憑據(jù)或劫持資源以執(zhí)行DDoS攻擊的作用,并對(duì)這些活動(dòng)進(jìn)行隱藏���。
最主要目標(biāo)為政府機(jī)構(gòu)
研究發(fā)現(xiàn)����,大部分Rootkit被APT(Advanced Persistent Threat�����,高級(jí)可持續(xù)威脅攻擊)組織或出于經(jīng)濟(jì)動(dòng)機(jī)的犯罪分子使用�,其支出超過(guò)了成本,最常見(jiàn)的目標(biāo)是政府和研究機(jī)構(gòu)��,77%的Rootkit被網(wǎng)絡(luò)犯罪分子用于收集數(shù)據(jù)等間諜目的����。
根據(jù)案例分析,44%的攻擊針對(duì)政府部門(mén)�����,38%科研單位��。這些機(jī)構(gòu)的數(shù)據(jù)對(duì)網(wǎng)絡(luò)犯罪分子往往具有重要價(jià)值�����。除此之外����,電信、制造業(yè)��、金融機(jī)構(gòu)也是名列前茅���。而56%的攻擊被犯罪分子用來(lái)針對(duì)個(gè)人�����,包括高級(jí)官員���、外交官等。
受攻擊最多的 5 個(gè)行業(yè)(按 rootkit 攻擊的份額)
而在動(dòng)機(jī)方面�����,31%是出于經(jīng)濟(jì)利益���,只有15%試圖利用受害者的基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊���。
Positive Technologies的安全分析師Yana Yurakova認(rèn)為�����,Rootkit非常難以開(kāi)發(fā)��,尤其是運(yùn)行在內(nèi)核模式下��。因此����,它們要么由有強(qiáng)大技術(shù)實(shí)力的APT組織開(kāi)發(fā)��,要么由有財(cái)力的個(gè)人或組織在灰色市場(chǎng)上購(gòu)買(mǎi)�����。
定制化的rootkit
該研究還發(fā)現(xiàn)���,暗網(wǎng)論壇主要是用戶(hù)級(jí)Rootkit的銷(xiāo)售宣傳地�,這些用戶(hù)級(jí)Rootkit通常用于大規(guī)模攻擊�����。根據(jù)該報(bào)告,現(xiàn)成的Rootkit成本從45000美元到100000美元不等��,具體取決于操作模式�、目標(biāo)操作系統(tǒng)�����、使用條款(如可租用的時(shí)間)以及一些附加功能�����,如遠(yuǎn)程訪問(wèn)�����、隱藏相關(guān)文件����、進(jìn)程及網(wǎng)絡(luò)活動(dòng)。
在某些情況下����,開(kāi)發(fā)人員會(huì)根據(jù)買(mǎi)方的需要提供定制的Rootkit。67%的宣傳廣告顯示Rootkit傾向?yàn)閃indows“量身定制”��。這與研究結(jié)果相吻合,在分析的樣本組中���,為Windows系統(tǒng)制作的Rootkit占了69%����。
各操作系統(tǒng)的的 rootkit 的份額��,Windows占比69%
“盡管開(kāi)發(fā)此類(lèi)程序存在困難��,但每年我們都會(huì)看到新版本的rootkit出現(xiàn)��,其運(yùn)行機(jī)制與已知惡意軟件的運(yùn)行機(jī)制不同�。”P(pán)ositive Technologies Expert Security Center (PT ESC)惡意軟件檢測(cè)主管Alexey Vishnyakov表示�。“這表明網(wǎng)絡(luò)犯罪分子仍在開(kāi)發(fā)偽裝惡意活動(dòng)的工具�,并提供繞過(guò)安全檢查的新技術(shù)——新版本的Windows出現(xiàn),惡意軟件開(kāi)發(fā)人員立即為其創(chuàng)建rootkit��。我們預(yù)計(jì)Rootkit將繼續(xù)被組織嚴(yán)密的APT組織使用���,這意味著它不再只是為了破壞數(shù)據(jù)和獲取經(jīng)濟(jì)利益�,而是為了隱藏復(fù)雜的有針對(duì)性的攻擊���,這些攻擊可能會(huì)給組織帶來(lái)不可估量的后果�,如直接禁用掉核電站、電網(wǎng)等關(guān)鍵單位的基礎(chǔ)設(shè)施���,以及政治上的間諜活動(dòng)����?��!?
可見(jiàn),Rootkit的主要威脅仍將是掩蓋那些復(fù)雜的����、有針對(duì)性的攻擊。為此����,Positive Technologies 建議使用端點(diǎn)惡意軟件檢測(cè)工具和解決方案,例如PT Sandbox�����,它可以在安裝和操作期間識(shí)別惡意軟件����。Rootkit 掃描程序�����、系統(tǒng)完整性檢查和異常網(wǎng)絡(luò)流量分析也將有助于檢測(cè)Rootkit�。
參考來(lái)源:
https://www.helpnetsecurity.com/2021/11/05/rootkits-espionage/
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-report-examines-the-evolution-and-current-threat-of-rootkits/
