全球网络安全公司Positive Technologies发布了一份新的调查报告,对过去10年臭名昭著的恶意软件——Rootkit进行了详尽分析。
Rootkit虽不是最常见的恶意软件类型,但根据过去发生的一些重大攻击事件表明,Rootkit一般都和木马、后门等其他恶意程序结合使用,起到拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS攻击的作用,并对这些活动进行隐藏。
最主要目标为政府机构
研究发现,大部分Rootkit被APT(Advanced Persistent Threat,高级可持续威胁攻击)组织或出于经济动机的犯罪分子使用,其支出超过了成本,最常见的目标是政府和研究机构,77%的Rootkit被网络犯罪分子用于收集数据等间谍目的。
根据案例分析,44%的攻击针对政府部门,38%科研单位。这些机构的数据对网络犯罪分子往往具有重要价值。除此之外,电信、制造业、金融机构也是名列前茅。而56%的攻击被犯罪分子用来针对个人,包括高级官员、外交官等。
△ 受攻击最多的 5 个行业(按 rootkit 攻击的份额)
而在动机方面,31%是出于经济利益,只有15%试图利用受害者的基础设施进行后续攻击。
Positive Technologies的安全分析师Yana Yurakova认为,Rootkit非常难以开发,尤其是运行在内核模式下。因此,它们要么由有强大技术实力的APT组织开发,要么由有财力的个人或组织在灰色市场上购买。
定制化的rootkit
该研究还发现,暗网论坛主要是用户级Rootkit的销售宣传地,这些用户级Rootkit通常用于大规模攻击。根据该报告,现成的Rootkit成本从45000美元到100000美元不等,具体取决于操作模式、目标操作系统、使用条款(如可租用的时间)以及一些附加功能,如远程访问、隐藏相关文件、进程及网络活动。
在某些情况下,开发人员会根据买方的需要提供定制的Rootkit。67%的宣传广告显示Rootkit倾向为Windows“量身定制”。这与研究结果相吻合,在分析的样本组中,为Windows系统制作的Rootkit占了69%。
△ 各操作系统的的 rootkit 的份额,Windows占比69%
“尽管开发此类程序存在困难,但每年我们都会看到新版本的rootkit出现,其运行机制与已知恶意软件的运行机制不同。”Positive Technologies Expert Security Center (PT ESC)恶意软件检测主管Alexey Vishnyakov表示。“这表明网络犯罪分子仍在开发伪装恶意活动的工具,并提供绕过安全检查的新技术——新版本的Windows出现,恶意软件开发人员立即为其创建rootkit。我们预计Rootkit将继续被组织严密的APT组织使用,这意味着它不再只是为了破坏数据和获取经济利益,而是为了隐藏复杂的有针对性的攻击,这些攻击可能会给组织带来不可估量的后果,如直接禁用掉核电站、电网等关键单位的基础设施,以及政治上的间谍活动。”
可见,Rootkit的主要威胁仍将是掩盖那些复杂的、有针对性的攻击。为此,Positive Technologies 建议使用端点恶意软件检测工具和解决方案,例如PT Sandbox,它可以在安装和操作期间识别恶意软件。Rootkit 扫描程序、系统完整性检查和异常网络流量分析也将有助于检测Rootkit。
参考来源
https://www.helpnetsecurity.com/2021/11/05/rootkits-espionage/
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-report-examines-the-evolution-and-current-threat-of-rootkits/