全球网络安全公司PositiveTechnologies发布最新调查报告,对过去10年臭名昭著的恶意软件——Rootkit进行了详细分析。虽然rootkit并不是最常见的恶意软件类型,但根据以往的一些重大攻击事件来看,rootkit一般会与木马、后门等恶意程序结合使用,以拦截网络流量、监控用户、窃取登录凭证或劫持资源等。发挥DDoS攻击的作用并隐藏这些活动。主要目标是政府机构。研究发现,大多数rootkit被APT(AdvancedPersistentThreat,高级持续威胁攻击)组织或出于经济动机的犯罪分子使用。他们的支出超过成本。最常见的目标是政府和研究机构77%的Rootkit被网络犯罪分子用于间谍目的,例如数据收集。根据案例分析,44%的攻击针对政府部门,38%的攻击针对科研机构。来自这些机构的数据通常对网络犯罪分子具有重要价值。此外,电信、制造、金融机构也名列前茅。56%的攻击被犯罪分子用于针对个人,包括高级官员、外交官等。受攻击最多的前5个行业(按rootkit攻击的份额)而在动机方面,31%的动机是经济利益,只有15%试图利用受害者的基础设施进行后续攻击。据PositiveTechnologies的安全分析师YanaYurakova称,rootkit非常难以开发,尤其是当它们以内核模式运行时。因此,它们要么由技术实力雄厚的APT团体开发,要么由有财力的个人或组织在灰色市场上购买。定制的Rootkit该研究还发现,暗网论坛主要是用户级Rootkit的销售渠道,通常用于大规模攻击。根据该报告,现成的Rootkit成本从45,000美元到100,000美元不等,具体取决于操作模式、目标操作系统、使用条款(例如可租用时间)以及一些附加功能,例如远程访问、隐藏相关文件、进程和网络活动。在某些情况下,开发人员会根据购买者的需要提供定制的Rootkit。67%的广告表明Rootkit往往是为Windows“量身定做”的。这与研究结果一致,其中针对Windows系统制作的Rootkit占分析样本组的69%。每个操作系统的Rootkit份额,其中Windows占69%“尽管开发此类程序存在困难,但每年我们都会看到新版本的Rootkit出现,其运行方式与已知的恶意软件不同。”技术专家安全中心(PTESC)的恶意软件检测主管AlexeyVishnyakov表示积极。“这表明网络犯罪分子仍在开发工具来掩饰恶意活动并提供绕过安全检查的新技术——随着新版本Windows的出现,恶意软件开发人员会立即为其创建Rootkit。我们期待rootkit继续被组织良好的APT组织使用,这意味着它不再只是为了破坏数据和获取经济利益,而是隐藏复杂的针对性攻击,可能给组织带来不可估量的后果,例如直接禁用核电站、电网等关键单位的基础设施、政治间谍活动。”可见,rootkit的主要威胁仍将是掩盖那些复杂的、有针对性的攻击。为此,PositiveTechnologies推荐使用端点恶意软件检测工具和解决方案,例如PTSandbox,它可以在安装和运行过程中识别恶意软件。Rootkit扫描程序、系统完整性检查和异常网络流量分析也将有助于检测Rootkit。
