為隱藏攻擊線索而生的Rootkit有多強(qiáng)大？

時(shí)間：2022-04-14 17:27:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-14 17:27:01 來源：行業(yè)動(dòng)態(tài)

什么是Rootkit？在情節(jié)跌宕起伏的諜戰(zhàn)片里，總有一個(gè)角色牽動(dòng)著大家的心弦，你可以叫他間諜，也可以叫他臥底，他必須很好地偽裝自己，避免過早暴露，才能獲取重要情報(bào)并回傳信息。從某種意義上來說，Rootkit就是間諜隱藏自己時(shí)使用的技術(shù)，猶如一件隱身衣，其可以幫助間諜持久且無法被察覺地駐留在目標(biāo)計(jì)算機(jī)中，對(duì)系統(tǒng)進(jìn)行操縱、并通過隱秘渠道收集數(shù)據(jù)。



深信服藍(lán)軍高級(jí)威脅攻防研究專家馬柔忍

馬柔忍在《Rootkit攻防原理與取證技術(shù)》的分享中提到，Rootkit攻擊的技術(shù)棧主要分為用戶層、內(nèi)核層等，相對(duì)而言，用戶層的Rootkit 編寫更加簡單，受版本的限制會(huì)更小，不會(huì)因?yàn)榘姹静患嫒莼蛘咂渌e(cuò)誤導(dǎo)致系統(tǒng)崩潰，但它所能達(dá)到的效果也更弱，檢測起來相對(duì)簡單，比如通過完整性校驗(yàn)或基于簽名的解決方案能有效地檢測出文件替換或修改，通過環(huán)境變量和配置文件可檢測對(duì)動(dòng)態(tài)鏈接庫的利用；而內(nèi)核層的Rootkit處于系統(tǒng)更底層，且擁有更多的技巧來隱藏其攻擊痕跡，所以更難以被發(fā)現(xiàn)。

由于Rootkit是業(yè)內(nèi)公認(rèn)的最難檢測的隱藏手段，因此其經(jīng)常被攻擊者使用在高質(zhì)量的APT攻擊中。APT攻擊往往具有較強(qiáng)的持續(xù)性，這需要建立在不被發(fā)現(xiàn)的基礎(chǔ)之上，攻擊者可以通過Rootkit在目標(biāo)網(wǎng)絡(luò)中潛伏幾個(gè)月甚至幾年之久，長期監(jiān)控竊取龐大的情報(bào)數(shù)據(jù)。



攻擊者成功侵入某系統(tǒng)后，往往需要植入一個(gè)持久化的后門，如果目標(biāo)是一個(gè)企業(yè)，其組織架構(gòu)、人員信息、薪資結(jié)構(gòu)，客戶資料以及戰(zhàn)略規(guī)劃等信息可能會(huì)被攻擊者獲取，這些信息的泄露可能會(huì)對(duì)企業(yè)造成毀滅性的打擊；如果目標(biāo)是醫(yī)療機(jī)構(gòu)、教育機(jī)構(gòu)等，攻擊者可以通過竊取到的敏感信息進(jìn)行數(shù)據(jù)倒賣和精準(zhǔn)詐騙；更嚴(yán)重的是，如果惡意程序長期潛伏在某些關(guān)鍵基礎(chǔ)設(shè)施當(dāng)中，并在某個(gè)特定的時(shí)間被啟動(dòng)，將會(huì)造成電力、交通、能源、金融系統(tǒng)設(shè)施的癱瘓

攻擊者的這些行為給國家關(guān)鍵基礎(chǔ)設(shè)施和人民的信息財(cái)產(chǎn)安全造成了非常嚴(yán)重的安全威脅，越晚發(fā)現(xiàn)這些被植入的后門，攻擊者可以獲得的數(shù)據(jù)就越龐大，而Rootkit又專為隱藏后門而生，這對(duì)網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn)。

由于攻擊者經(jīng)常利用Rootkit秘密地實(shí)施入侵，竊取敏感信息，因此Rootkit在業(yè)內(nèi)經(jīng)常會(huì)被當(dāng)成惡意軟件，但馬柔忍認(rèn)為，從技術(shù)視角，Rootkit并無正邪之分，攻擊者可以利用Rootkit秘密地實(shí)施入侵，竊取敏感信息，防御者也可以利用Rootkit進(jìn)行實(shí)時(shí)監(jiān)控，搜集證據(jù)。