77%的rootkit恶意软件被网络犯罪分子用于从事间谍攻击活动

Positive Technologies近期对过去十年来最臭名昭著的 rootkit软件进行了梳理，在一份最新报告中指出，大部分 Rootkit软件都被APT 集团或出于经济动机的犯罪分子使用，77% 的 Rootkit 被网络犯罪分子用于间谍攻击活动，政府和研究机构是最常被攻击的单位。

 

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，Rootkit工具通常构成多功能恶意软件的一部分，拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS 攻击。

 

Rootkit 往往与具有重大影响的高调攻击相关联，rootkit 在攻击中最著名的应用是针对伊朗的核计划发起的Stuxnet 活动。

 

 

 Rootkit 主要被网络犯罪分子用于攻击政府机构

 

从 2011 年开始，Positive Technologies 开始对黑客组织使用的 rootkit 进行了大规模研究。结果显示，在 44% 的案例中，网络犯罪分子均使用了rootkit攻击政府机构。使用 rootkit 攻击研究机构的频率为38%。

 

政府和研究机构处理的信息对网络犯罪分子具有重要价值。根据该研究，受 rootkit 攻击最多的前 5 个行业还包括电信 (25%)、制造业 (19%) 和金融机构 (19%)。此外，56% 被黑客用来攻击个人。这些主要是有针对性的攻击，作为针对高级官员、外交官和受害组织雇员的网络间谍活动的一部分。

 

“Rootkit，尤其是在内核模式下运行的，非常难以开发，因此它们要么由具有开发这些工具的技能的复杂 APT 团体部署，要么由有财力在灰色市场上购买 Rootkit 的团体部署” Positive Technologies 的安全分析师 Yana Yurakova 解释。“这种级别的攻击者主要专注于网络间谍活动和数据收集。他们可能是出于经济动机想要窃取大笔资金的犯罪分子，也可能是团体挖掘信息并代表付款人破坏受害者的基础设施。”

 

在 77% 的案例中，Rootkit 家族被用来收集数据，31% 的动机是经济利益，只有 15% 的攻击试图利用受害公司的基础设施进行后续攻击。

 

该研究还发现，暗网主要是销售 rootkit 恶意软件的渠道。根据该报告，现成的 rootkit 的成本从 45,000 美元到 100,000 美元不等，具体取决于操作模式、目标操作系统、使用条款（例如，可以租用恶意软件的时间限制）、和附加功能——远程访问和隐藏文件、进程和网络活动是最常见的要求。

 

 

 

在某些情况下，开发人员会根据买方的需求提供定制 rootkit 并提供支持。暗网论坛中出售的67%的rootkit恶意软件都是为用户“量身定制”的。

 

Positive Technologies的恶意软件检测主管Alexey Vishnyakov表示，“尽管开发此类程序存在困难，但每年我们都会看到新版本的 rootkit 出现，其运行机制与已知恶意软件的运行机制不同。”

 

“这表明网络犯罪分子仍在开发伪装恶意活动的工具，并提出绕过安全的新技术——新版本的 Windows 出现，恶意软件开发人员立即为其创建 rootkit。我们预计 Rootkit 将继续被组织严密的 APT 组织使用，这意味着它不再只是为了破坏数据和获取经济利益，而是为了隐藏复杂的有针对性的攻击，这些攻击可能会给组织带来不可接受的后果——从禁用关键基础设施，例如核电站，热电站和电网改造，人为事故和工业企业的灾难和政治间谍活动。”

 

研究人员认为，网络犯罪分子将继续开发和使用 Rootkit。犯罪分子使用 rootkit 的优势——以特权模式执行代码、能够躲避安全工具以及长时间保持在线——对于攻击者来说非常重要，无法拒绝这些工具。Rootkit的主要危险将继续是复杂的、有针对性的攻击的隐藏，直到实际攻击或对目标组织造成损害的一系列事件发生。