调查显示,77%的Rootkit用于间谍目的

2021-11-16 10:45:08 浏览数 (1)

全球网络安全公司Positive Technologies发布了一份新的调查报告,对过去10年臭名昭著的恶意软件——Rootkit进行了详尽分析。

Rootkit虽不是最常见的恶意软件类型,但根据过去发生的一些重大攻击事件表明,Rootkit一般都和木马、后门等其他恶意程序结合使用,起到拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS攻击的作用,并对这些活动进行隐藏。

最主要目标为政府机构

研究发现,大部分Rootkit被APT(Advanced Persistent Threat,高级可持续威胁攻击)组织或出于经济动机的犯罪分子使用,其支出超过了成本,最常见的目标是政府和研究机构77%的Rootkit被网络犯罪分子用于收集数据等间谍目的

根据案例分析,44%的攻击针对政府部门,38%科研单位。这些机构的数据对网络犯罪分子往往具有重要价值。除此之外,电信、制造业、金融机构也是名列前茅。而56%的攻击被犯罪分子用来针对个人,包括高级官员、外交官等。

△ 受攻击最多的 5 个行业(按 rootkit 攻击的份额)

而在动机方面,31%是出于经济利益,只有15%试图利用受害者的基础设施进行后续攻击。

Positive Technologies的安全分析师Yana Yurakova认为,Rootkit非常难以开发,尤其是运行在内核模式下。因此,它们要么由有强大技术实力的APT组织开发,要么由有财力的个人或组织在灰色市场上购买。

定制化的rootkit

该研究还发现,暗网论坛主要是用户级Rootkit的销售宣传地,这些用户级Rootkit通常用于大规模攻击。根据该报告,现成的Rootkit成本从45000美元到100000美元不等,具体取决于操作模式、目标操作系统、使用条款(如可租用的时间)以及一些附加功能,如远程访问、隐藏相关文件、进程及网络活动。

在某些情况下,开发人员会根据买方的需要提供定制的Rootkit。67%的宣传广告显示Rootkit倾向为Windows“量身定制”。这与研究结果相吻合,在分析的样本组中,为Windows系统制作的Rootkit占了69%。

△ 各操作系统的的 rootkit 的份额,Windows占比69%

“尽管开发此类程序存在困难,但每年我们都会看到新版本的rootkit出现,其运行机制与已知恶意软件的运行机制不同。”Positive Technologies Expert Security Center (PT ESC)恶意软件检测主管Alexey Vishnyakov表示。“这表明网络犯罪分子仍在开发伪装恶意活动的工具,并提供绕过安全检查的新技术——新版本的Windows出现,恶意软件开发人员立即为其创建rootkit。我们预计Rootkit将继续被组织严密的APT组织使用,这意味着它不再只是为了破坏数据和获取经济利益,而是为了隐藏复杂的有针对性的攻击,这些攻击可能会给组织带来不可估量的后果,如直接禁用掉核电站、电网等关键单位的基础设施,以及政治上的间谍活动。”

可见,Rootkit的主要威胁仍将是掩盖那些复杂的、有针对性的攻击。为此,Positive Technologies 建议使用端点恶意软件检测工具和解决方案,例如PT Sandbox,它可以在安装和操作期间识别恶意软件。Rootkit 扫描程序、系统完整性检查和异常网络流量分析也将有助于检测Rootkit。

参考来源

https://www.helpnetsecurity.com/2021/11/05/rootkits-espionage/

https://www.ptsecurity.com/ww-en/about/news/positive-technologies-report-examines-the-evolution-and-current-threat-of-rootkits/

0 人点赞