为隐藏攻击线索而生的Rootkit有多强大?
时间:2022-04-14 17:27:01 | 来源:行业动态
时间:2022-04-14 17:27:01 来源:行业动态
什么是Rootkit?在情节跌宕起伏的谍战片里,总有一个角色牵动着大家的心弦,你可以叫他间谍,也可以叫他卧底,他必须很好地伪装自己,避免过早暴露,才能获取重要情报并回传信息。从某种意义上来说,Rootkit就是间谍隐藏自己时使用的技术,犹如一件隐身衣,其可以帮助间谍持久且无法被察觉地驻留在目标计算机中,对系统进行操纵、并通过隐秘渠道收集数据。
深信服蓝军高级威胁攻防研究专家马柔忍
马柔忍在《Rootkit攻防原理与取证技术》的分享中提到,Rootkit攻击的技术栈主要分为用户层、内核层等,相对而言,用户层的Rootkit 编写更加简单,受版本的限制会更小,不会因为版本不兼容或者其它错误导致系统崩溃,但它所能达到的效果也更弱,检测起来相对简单,比如通过完整性校验或基于签名的解决方案能有效地检测出文件替换或修改,通过环境变量和配置文件可检测对动态链接库的利用;而内核层的Rootkit处于系统更底层,且拥有更多的技巧来隐藏其攻击痕迹,所以更难以被发现。
由于Rootkit是业内公认的最难检测的隐藏手段,因此其经常被攻击者使用在高质量的APT攻击中。APT攻击往往具有较强的持续性,这需要建立在不被发现的基础之上,攻击者可以通过Rootkit在目标网络中潜伏几个月甚至几年之久,长期监控窃取庞大的情报数据。
攻击者成功侵入某系统后,往往需要植入一个持久化的后门,如果目标是一个企业,其组织架构、人员信息、薪资结构,客户资料以及战略规划等信息可能会被攻击者获取,这些信息的泄露可能会对企业造成毁灭性的打击;如果目标是医疗机构、教育机构等,攻击者可以通过窃取到的敏感信息进行数据倒卖和精准诈骗;更严重的是,如果恶意程序长期潜伏在某些关键基础设施当中,并在某个特定的时间被启动,将会造成电力、交通、能源、金融系统设施的瘫痪
攻击者的这些行为给国家关键基础设施和人民的信息财产安全造成了非常严重的安全威胁,越晚发现这些被植入的后门,攻击者可以获得的数据就越庞大,而Rootkit又专为隐藏后门而生,这对网络安全提出了巨大的挑战。
由于攻击者经常利用Rootkit秘密地实施入侵,窃取敏感信息,因此Rootkit在业内经常会被当成恶意软件,但马柔忍认为,从技术视角,Rootkit并无正邪之分,攻击者可以利用Rootkit秘密地实施入侵,窃取敏感信息,防御者也可以利用Rootkit进行实时监控,搜集证据。
在线咨询
