Positive Technologies近期对过去十年来最臭名昭著的 rootkit软件进行了梳理,在一份最新报告中指出,大部分 Rootkit软件都被APT 集团或出于经济动机的犯罪分子使用,77% 的 Rootkit 被网络犯罪分子用于间谍攻击活动,政府和研究机构是最常被攻击的单位。
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,Rootkit工具通常构成多功能恶意软件的一部分,拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS 攻击。
Rootkit 往往与具有重大影响的高调攻击相关联,rootkit 在攻击中最著名的应用是针对伊朗的核计划发起的Stuxnet 活动。
Rootkit 主要被网络犯罪分子用于攻击政府机构
从 2011 年开始,Positive Technologies 开始对黑客组织使用的 rootkit 进行了大规模研究。结果显示,在 44% 的案例中,网络犯罪分子均使用了rootkit攻击政府机构。使用 rootkit 攻击研究机构的频率为38%。
政府和研究机构处理的信息对网络犯罪分子具有重要价值。根据该研究,受 rootkit 攻击最多的前 5 个行业还包括电信 (25%)、制造业 (19%) 和金融机构 (19%)。此外,56% 被黑客用来攻击个人。这些主要是有针对性的攻击,作为针对高级官员、外交官和受害组织雇员的网络间谍活动的一部分。
“Rootkit,尤其是在内核模式下运行的,非常难以开发,因此它们要么由具有开发这些工具的技能的复杂 APT 团体部署,要么由有财力在灰色市场上购买 Rootkit 的团体部署” Positive Technologies 的安全分析师 Yana Yurakova 解释。“这种级别的攻击者主要专注于网络间谍活动和数据收集。他们可能是出于经济动机想要窃取大笔资金的犯罪分子,也可能是团体挖掘信息并代表付款人破坏受害者的基础设施。”
在 77% 的案例中,Rootkit 家族被用来收集数据,31% 的动机是经济利益,只有 15% 的攻击试图利用受害公司的基础设施进行后续攻击。
该研究还发现,暗网主要是销售 rootkit 恶意软件的渠道。根据该报告,现成的 rootkit 的成本从 45,000 美元到 100,000 美元不等,具体取决于操作模式、目标操作系统、使用条款(例如,可以租用恶意软件的时间限制)、和附加功能——远程访问和隐藏文件、进程和网络活动是最常见的要求。
Rootkit面向不同Windows版本定制化开发成为主流趋势
在某些情况下,开发人员会根据买方的需求提供定制 rootkit 并提供支持。暗网论坛中出售的67%的rootkit恶意软件都是为用户“量身定制”的。
Positive Technologies的恶意软件检测主管Alexey Vishnyakov表示,“尽管开发此类程序存在困难,但每年我们都会看到新版本的 rootkit 出现,其运行机制与已知恶意软件的运行机制不同。”
“这表明网络犯罪分子仍在开发伪装恶意活动的工具,并提出绕过安全的新技术——新版本的 Windows 出现,恶意软件开发人员立即为其创建 rootkit。我们预计 Rootkit 将继续被组织严密的 APT 组织使用,这意味着它不再只是为了破坏数据和获取经济利益,而是为了隐藏复杂的有针对性的攻击,这些攻击可能会给组织带来不可接受的后果——从禁用关键基础设施,例如核电站,热电站和电网改造,人为事故和工业企业的灾难和政治间谍活动。”
研究人员认为,网络犯罪分子将继续开发和使用 Rootkit。犯罪分子使用 rootkit 的优势——以特权模式执行代码、能够躲避安全工具以及长时间保持在线——对于攻击者来说非常重要,无法拒绝这些工具。Rootkit的主要危险将继续是复杂的、有针对性的攻击的隐藏,直到实际攻击或对目标组织造成损害的一系列事件发生。