信息來(lái)源:Freebuf
全球網(wǎng)絡(luò)安全公司Positive Technologies發(fā)布了一份新的調(diào)查報(bào)告,對(duì)過(guò)去10年臭名昭著的惡意軟件——Rootkit進(jìn)行了詳盡分析�����。
Rootkit雖不是最常見(jiàn)的惡意軟件類型���,但根據(jù)過(guò)去發(fā)生的一些重大攻擊事件表明,Rootkit一般都和木馬���、后門等其他惡意程序結(jié)合使用�,起到攔截網(wǎng)絡(luò)流量����、監(jiān)視用戶����、竊取登錄憑據(jù)或劫持資源以執(zhí)行DDoS攻擊的作用,并對(duì)這些活動(dòng)進(jìn)行隱藏�����。
最主要目標(biāo)為政府機(jī)構(gòu)
研究發(fā)現(xiàn),大部分Rootkit被APT(Advanced Persistent Threat��,高級(jí)可持續(xù)威脅攻擊)組織或出于經(jīng)濟(jì)動(dòng)機(jī)的犯罪分子使用��,其支出超過(guò)了成本����,最常見(jiàn)的目標(biāo)是政府和研究機(jī)構(gòu),77%的Rootkit被網(wǎng)絡(luò)犯罪分子用于收集數(shù)據(jù)等間諜目的��。
根據(jù)案例分析��,44%的攻擊針對(duì)政府部門����,38%科研單位。這些機(jī)構(gòu)的數(shù)據(jù)對(duì)網(wǎng)絡(luò)犯罪分子往往具有重要價(jià)值���。除此之外�,電信�����、制造業(yè)、金融機(jī)構(gòu)也是名列前茅���。而56%的攻擊被犯罪分子用來(lái)針對(duì)個(gè)人����,包括高級(jí)官員��、外交官等�。
受攻擊最多的 5 個(gè)行業(yè)(按 rootkit 攻擊的份額)
而在動(dòng)機(jī)方面,31%是出于經(jīng)濟(jì)利益��,只有15%試圖利用受害者的基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊����。
Positive Technologies的安全分析師Yana Yurakova認(rèn)為,Rootkit非常難以開(kāi)發(fā)����,尤其是運(yùn)行在內(nèi)核模式下。因此����,它們要么由有強(qiáng)大技術(shù)實(shí)力的APT組織開(kāi)發(fā),要么由有財(cái)力的個(gè)人或組織在灰色市場(chǎng)上購(gòu)買�����。
定制化的rootkit
該研究還發(fā)現(xiàn)�,暗網(wǎng)論壇主要是用戶級(jí)Rootkit的銷售宣傳地,這些用戶級(jí)Rootkit通常用于大規(guī)模攻擊��。根據(jù)該報(bào)告��,現(xiàn)成的Rootkit成本從45000美元到100000美元不等����,具體取決于操作模式、目標(biāo)操作系統(tǒng)���、使用條款(如可租用的時(shí)間)以及一些附加功能�,如遠(yuǎn)程訪問(wèn)��、隱藏相關(guān)文件�����、進(jìn)程及網(wǎng)絡(luò)活動(dòng)��。
在某些情況下,開(kāi)發(fā)人員會(huì)根據(jù)買方的需要提供定制的Rootkit���。67%的宣傳廣告顯示Rootkit傾向?yàn)閃indows“量身定制”���。這與研究結(jié)果相吻合,在分析的樣本組中���,為Windows系統(tǒng)制作的Rootkit占了69%���。
各操作系統(tǒng)的的 rootkit 的份額,Windows占比69%
“盡管開(kāi)發(fā)此類程序存在困難���,但每年我們都會(huì)看到新版本的rootkit出現(xiàn)��,其運(yùn)行機(jī)制與已知惡意軟件的運(yùn)行機(jī)制不同��?����!盤ositive Technologies Expert Security Center (PT ESC)惡意軟件檢測(cè)主管Alexey Vishnyakov表示����。“這表明網(wǎng)絡(luò)犯罪分子仍在開(kāi)發(fā)偽裝惡意活動(dòng)的工具����,并提供繞過(guò)安全檢查的新技術(shù)——新版本的Windows出現(xiàn)�,惡意軟件開(kāi)發(fā)人員立即為其創(chuàng)建rootkit。我們預(yù)計(jì)Rootkit將繼續(xù)被組織嚴(yán)密的APT組織使用�,這意味著它不再只是為了破壞數(shù)據(jù)和獲取經(jīng)濟(jì)利益,而是為了隱藏復(fù)雜的有針對(duì)性的攻擊���,這些攻擊可能會(huì)給組織帶來(lái)不可估量的后果���,如直接禁用掉核電站、電網(wǎng)等關(guān)鍵單位的基礎(chǔ)設(shè)施�,以及政治上的間諜活動(dòng)?����!?
可見(jiàn)�����,Rootkit的主要威脅仍將是掩蓋那些復(fù)雜的�、有針對(duì)性的攻擊�。為此���,Positive Technologies 建議使用端點(diǎn)惡意軟件檢測(cè)工具和解決方案���,例如PT Sandbox,它可以在安裝和操作期間識(shí)別惡意軟件����。Rootkit 掃描程序、系統(tǒng)完整性檢查和異常網(wǎng)絡(luò)流量分析也將有助于檢測(cè)Rootkit��。
參考來(lái)源:
https://www.helpnetsecurity.com/2021/11/05/rootkits-espionage/
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-report-examines-the-evolution-and-current-threat-of-rootkits/
