rootkit在网络攻击中的演变和当前威胁报告

在一份新报告中，Positive Technologies 分析了过去十年来最臭名昭著的¹ Rootkit 系列——这些程序隐藏了恶意软件的存在或受害者系统中的入侵痕迹。该研究认为，大多数的rootkit是由APT组或经济动机的罪犯，其支出超过成本时，最常用的目标是政府和研究机构，rootkit的77％是由网络罪犯用于间谍目的。

创建这些隐藏恶意软件存在的恶意程序既困难又昂贵，目标是政府和研究机构，并且将继续存在

Rootkit 不是最常见的恶意软件类型。Rootkit 检测往往与具有重大影响的高调攻击相关联——这些工具通常构成多功能恶意软件的一部分，拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行 DDoS 攻击。rootkit 在攻击中最著名的应用是Stuxnet 活动，它针对伊朗的核计划。

从 2011 年开始，Positive Technologies 对黑客组织在过去十年中使用的 rootkit 进行了大规模研究。结果显示，在 44% 的案例中，网络犯罪分子使用 rootkit 攻击政府机构。使用 rootkit 攻击研究机构的频率略低（38%）。专家将目标的选择与 Rootkit 分发者的主要动机联系起来：数据收集。政府和研究机构处理的信息对网络犯罪分子具有重要价值。根据该研究，受 rootkit 攻击最多的 5 个行业还包括电信 (25%)、制造业 (19%) 和金融机构 (19%)。此外，超过一半 (56%) 被黑客用来攻击个人。这些主要是有针对性的攻击，作为针对高级官员的网络间谍活动的一部分.

“Rootkit，尤其是在内核模式²下运行的，非常难以开发，因此它们要么由具有开发这些工具的技能的复杂 APT ³团队部署，要么由有经济能力购买灰色 Rootkit 的团队部署市场，” Positive Technologies 的安全分析师 Yana Yurakova解释说。“这种口径的攻击者主要专注于网络间谍活动和数据收集。他们可能是出于经济动机想要窃取大笔资金的犯罪分子，也可能是团体挖掘信息并代表付款人破坏受害者的基础设施。”

在 77% 的案例中，被调查的 rootkit 家族被用来收集数据，大约三分之一 (31%) 的动机是经济利益，只有 15% 的攻击试图利用受害公司的基础设施进行后续攻击。

Positive Technologies 发现，暗网论坛⁴以销售用户级 rootkit 的广告为主⁵，通常用于大规模攻击。根据该报告，现成的 rootkit 的成本从 45,000 美元到 100,000 美元不等，具体取决于操作模式、目标操作系统、使用条款（例如，可以租用恶意软件的时间限制）、和附加功能——远程访问和隐藏文件、进程和网络活动是最常见的要求。在某些情况下，开发人员会根据买方的需要提供定制 Rootkit 并提供支持。67% 的广告表示 rootkit 可以为 Windows“量身定制”。这与研究结果相关：Positive Technologies 分析的样本组中为 Windows 系统制作的 Rootkit 占最大份额 (69%)。

“尽管制定此类方案的困难，每年我们看到有不同的操作机构与已知的恶意软件的rootkit的新版本出现，”阿列克谢·维什尼亚科夫说，恶意程序检测的头在正科技专家安全中心（PTe- Convert-space”>ESC)，它定期跟踪黑客组织的活动和新信息安全威胁的出现。“这表明网络犯罪分子仍在开发伪装恶意活动的工具，并提出绕过安全的新技术——新版本的Windows 出现，恶意软件开发人员立即为其创建 rootkit。 我们预计 Rootkit 将继续被组织严密的 APT 组织使用，这意味着它不再只是为了破坏数据和获取经济利益，而是为了隐藏复杂的有针对性的攻击，这些攻击可能会给组织带来不可接受的后果——从禁用关键基础设施，例如核电站、火力发电厂和电网，工业企业的人为事故和灾难，以及政治间谍活动。”

Positive Technologies 研究人员认为，网络犯罪分子将继续开发和使用 Rootkit，事实上，PT ESC 专家已经确定了新版本 Rootkit 的出现，这表明攻击者将继续发明新技术来绕过保护。犯罪分子使用 rootkit 的优势——以特权模式执行代码、能够躲避安全工具以及长时间保持在线——对于攻击者来说非常重要，无法拒绝这些工具。Rootkit 的主要危险将继续是复杂的、有针对性的攻击的隐藏，直到实际攻击或对目标组织造成损害的一系列事件发生。

为了保护您的公司免受基于 Rootkit 的攻击，Positive Technologies 建议使用端点恶意软件检测工具和解决方案，例如PT Sandbox，它可以在安装和操作期间识别恶意软件。Rootkit 扫描程序、系统完整性检查和异常网络流量分析也将有助于检测 Rootkit。

1. 该分析涵盖了过去 10 年中发现的 16 个最著名的 rootkit 家族。
2. 一种与操作系统具有相同权限的 rootkit。开发这种恶意软件很复杂，因为源代码中的任何错误都会影响系统的稳定性，这将有助于检测。这些 rootkit 占 Positive Technologies 样本组的 38%。
3. 高级持续威胁 (APT) 攻击是针对特定行业或特定（通常是大型）公司精心策划的多阶段网络攻击。APT 攻击由由高技能人员组成的犯罪集团（APT 集团）执行。
4. 该分析涵盖了暗网上 10 个最活跃的俄语和英语论坛，其中发布了针对恶意软件开发人员的 Rootkit 和职位广告。
5. 一种与大多数应用程序具有相同权限的 rootkit，能够拦截系统调用并替换 API 返回的值。他们在样本组中的份额为 31%。

rootkit在网络攻击中的演变和当前威胁报告详情

介绍

与攻击者武器库中的其他工具相比，rootkit 不如其他类型的恶意软件常见。例如，根据 Bitdefender，rootkit 占检测到的恶意软件总数不到 1%。也就是说，所有检测实例都与引人注目的攻击有关。这些包括，例如，网络间谍活动APT 组织 Strider（也称为 ProjectSauron，或 G0041），网络犯罪分子在其中分发了 Remsec Rootkit。该组织收集了有关加密方法的信息——在对政府机构的攻击中，攻击者窃取了加密密钥、配置文件，并收集了加密密钥基础设施服务器的 IP 地址。网络犯罪分子针对俄罗斯、比利时、中国、伊朗、瑞典和卢旺达的组织。

由于开发的复杂性，rootkit 并不经常使用，但它们构成了威胁，因为它们可以隐藏设备上的恶意活动并使及时检测入侵变得困难。尽管在现代操作系统中引入了针对它们的保护，但 Rootkit 仍然成功地用于攻击。在准备这项研究时，我们分析了专家在过去 10 年中发现的 16 个最著名的 rootkit 家族。我们将告诉您 rootkit 是如何演变的，现在由谁使用，用于什么目的，如何检测它们，并最终预测攻击者是否会在未来继续使用它们。

什么是rootkit？

Rootkit 是一个程序（或一组程序），它允许您隐藏系统中存在的恶意软件。

Rootkit 通常是多功能恶意软件的一部分，它可能具有多种能力，例如为攻击者提供对受感染主机的远程访问、拦截网络流量、监视用户、记录击键、窃取身份验证信息或使用主机作为基础来挖掘加密货币和协助 DDoS 攻击。rootkit 的任务是掩盖受感染机器上的这种非法活动。

根据获得的权限级别划分的 Rootkit 类型：

• 内核模式 rootkit。
  • 此类rootkit 具有与操作系统相同的权限，在内核级别运行。它们被设计为设备驱动程序或可加载模块。这样的rootkit很难开发，因为源代码中的任何错误都会影响系统的稳定性，这将是恶意软件的直接线索。这些 rootkit 占我们样本的 38%。
• 用户模式 ​​rootkit。
  • 它们比内核模式 rootkit 更容易开发，因此更常用于大规模攻击，因为设计需要的精度和知识较少。用户模式的 rootkit 以与大多数应用程序相同的权限运行。他们可以拦截系统调用并替换 API 和应用程序返回的值，以获得对机器的控制。此类rootkit 的份额为31%。

一些 Rootkit，例如 Necurs、Flame 和 DirtyMoe，旨在结合两种操作模式，因此可以在两个级别上工作。他们占样本的 31%。

切换到用户模式 ​​rootkit 是 rootkit 开发人员经常使用的趋势。例如，Sophos 研究人员发现ZeroAccess rootkit 的开发人员已经完全转向使用这种模式。我们认为，此类行动可能归结为以下几点：

• 如前所述，内核模式 rootkit 很难在不被注意的系统中开发和实施，因此攻击者可能没有足够的能力，而是选择更简单的途径。
• 开发或修改这样的 Rootkit 需要花费大量时间，这可能会使时间限制变得困难；您必须迅速利用公司周边的漏洞，然后才能注意到并安装安全更新，否则其他组织会利用它。因此，攻击者习惯于快速行动：它可能需要 不到一天 从发现漏洞利用的那一刻到第一次尝试利用它，如果一个团队没有可靠的、现成的工具，这次显然是不够的。
• 内核模式 rootkit 源代码中的任何错误都可能导致操作系统发生不可修复的更改，这将揭示入侵并阻止攻击。
• 此外，如果确信防御系统无效，则没有必要将攻击过度复杂化。如果找到了公司的切入点，情报显示周边保护薄弱，安全系统存在重大缺陷，使用内核级rootkit是不合理和过度的，需要付出很多努力发展并可能导致并发症。

如果rootkits，尤其是内核级别的rootkits，很难开发，那么谁会继续使用它们，为什么？答案很明确：这些是攻击结果超过组织它所花费的所有努力的那些团体，具有足够技术资格和财务能力的战略团体。这些可能是 APT 团体为了客户的利益，不计成本地提取信息或在基础设施中执行破坏性行动，或者是出于经济动机窃取大笔资金的犯罪分子，同时支付准备费用。

Rootkit 的演变

Rootkit 最初用于攻击 Unix 系统以获得最大权限并以 root 用户身份执行命令，因此得名。但在 1999 年，出现了第一个为 Windows 操作系统设计的 rootkit——NTRootkit。后来，也出现了可用于攻击 macOS 的 rootkit。

rootkit 在攻击中最著名的用例是 2010 年传播 Stuxnet 恶意软件的活动。攻击者使用 Stuxnet 秘密收集数据并将可执行文件下载到受感染节点。一项调查显示，美国和以色列的情报部门都参与了这种恶意软件的创建，这种合作的主要目的是阻止伊朗核系统的发展并实际摧毁其基础设施。

在过去十年中，寻求数据的网络犯罪分子最有可能使用 rootkit。作为中东网络间谍活动之一的一部分，攻击者使用Flame Rootkit，这有助于他们跟踪受害者的网络流量、执行键盘记录功能并截取​​屏幕截图。

使用rootkit，您不仅可以秘密提取信息并获得远程访问权限。攻击者还可能将它们用于直接经济利益，例如隐藏加密挖掘模块，例如 DirtyMoe rootkit。根据 Avast2021 年，分发此 Rootkit 的网络犯罪分子感染了 100,000 多台计算机，尽管 2020 年受害者人数不超过 10,000。添加了一个有助于在 Windows 计算机上进行分发的新模块导致受害者数量急剧增加。该模块在 Internet 上扫描具有开放 SMB 端口的计算机，然后暴力破解凭据以进行远程访问。

有趣的事实

在 DirtyMoe rootkit 驱动程序的源代码中，Avast 专家 确定许多错误，这可能表明代码片段是从 Internet 上借来的。恶意软件模块是用 Delphi 编写的，这使得它们很容易被防病毒工具检测到，因此 DirtyMoe 开发人员使用 VMProtect 来混淆源代码。

存在无意中创建 rootkit 的情况，例如发生 发生了2016 年与 Capcom 的 Street Fighter V 的开发商合作。该公司发布了一个更新，禁用了针对第三方代码执行 (SMEP) 的内核级保护，从而允许攻击者远程访问玩家的计算机。细心的用户中止了此更新的安装，因为在安装过程中请求了系统级权限。

Moriya Rootkit 已被用于 TunnelSnake 有针对性的网络间谍活动至少从 2018 年开始。 受害者名单包括东南亚和非洲的两个外交组织。该恶意软件的主要目标是为网络犯罪分子提供对受害者 IT 基础设施的远程访问，并使下载和运行进一步的破坏性代码成为可能。rootkit 专注于 Windows 机器，并结合了用户模式和内核模式。作为最初的攻击线，攻击者利用了可从 Internet 访问的服务器上的漏洞，大概是 CVE-2017-7269 漏洞。Rootkit 开发人员利用了一种机制来绕过驱动程序和 PatchGuard 模块的强制签名验证。后一种技术在试图渗透系统核心时会导致 BSoD（蓝屏死机）。去做这个，他们使用了 VirtualBox 虚拟机的驱动程序。此外，rootkit 不会启动与命令和控制服务器的连接，这有助于隐藏它。

Remsec (creams) rootkit是 Strider 组织（ProjectSauron，G0041）用于网络间谍活动的模块化恶意软件。攻击者对有关使用加密方法保护流量的软件的信息感兴趣。他们精心挑选受害者，包括政府机构、研究中心和电信公司。然后使用零日漏洞来渗透基础设施。Remsec Rootkit 在内核模式下运行并专注于 Windows。它的模块允许攻击者获得远程访问权限、下载恶意软件、窃听网络流量、记录键盘上的击键并将接收到的数据传输到攻击者的服务器。大多数模块都是用 Lua 语言编写的。ESET研究人员成立使用合法的防病毒内核模式驱动程序来部署 rootkit。值得注意的是，Remsec不会为了隐藏其在系统中的活动而拦截和劫持API调用或系统操作；相反，恶意软件开发人员只需要提升权限来执行他们的代码。

以前，rootkit 的任务是获取系统的最大权限（管理员权限或系统权限）。现在，他们更专注于防止检测到进一步的恶意活动。

不仅是安全工具的开发者，操作系统制造商也在积极与 rootkit 作斗争。例如，向 Windows 10 的大规模过渡影响了现有的 rootkit。此版本的操作系统提供了一系列措施来对抗 rootkit。这将在暗网提供什么. 然而，网络犯罪分子也在开发新技术。例如，相对较新的守谷rootkit已经提供了绕过操作系统内置安全工具的机制——检查驱动程序和 PatchGuard 模块的强制签名。Rootkit 的开发涉及了解目标操作系统并在逆向工程和编程方面具有知识和经验的高素质专家。恶意软件开发人员使用逆向工程方法识别可能允许实施 rootkit 的操作系统功能。尽管创建过程中遇到了种种困难，但新的 Rootkit 还是会定期出现。

综上所述，rootkit 非常危险，因为：

• 它们为攻击者提供了系统中的提升权限；
• 它们使检测恶意活动变得更加困难；
• 它们很难被发现和移除；
• 它们的存在通常表明由一个准备充分的网络组织发起了有针对性的攻击，这意味着虽然攻击未被注意到，但公司的基础设施可能处于攻击者的完全控制之下。

在大多数情况下，攻击不仅会导致数据泄露，还会导致真正的经济损失，这很难评估，原因如下：

• 涉及高技能攻击者的攻击的后果可能会在很长一段时间内显现出来，特别是如果攻击者已经在公司的网络上多年；
• 需要计算消除攻击后果的所有成本，并且在某些情况下无法移除rootkit，必须升级受感染的IT基础设施硬件；
• 如果攻击的目的是获取数据，则有必要以货币形式估算被盗数据的价值以及公司因此类数据泄露而遭受的损失。

自 2011 年以来 rootkit 出现的年表

谁是袭击的幕后黑手？

鉴于与 rootkit 开发相关的各种可能性和困难，它们最常被 APT 组织使用。这一级别的攻击者的主要动机是数据获取和网络间谍活动。例如，方程组积极使用Flame rootkit 在中东的网络间谍活动中。顺便说一下，在我们研究的所有 Rootkit 家族中，在 77% 的案例中，分发它们的攻击者的目的是获取数据。在大约三分之一的案件 (31%) 中，犯罪分子寻求经济利益，例如 Yingmob 和 TA505。他们的攻击是大规模的，而不是针对特定行业的，Yingmob 的目标是个人。最罕见的动机（仅在 15% 的案例中报告）是感染和重用受害公司的基础设施以进行后续攻击。

56% 的被调查rootkit 被用于针对性攻击。

通过传播 rootkit 的主要方法（85% 的案例），网络犯罪分子使用社会工程方法，例如发送 钓鱼邮件，创造 假网站 和 模仿合法网站的应用程序. 例如，攻击者分发Scranos Rootkit针对个人，因此他们选择了被黑客入侵的软件和网络钓鱼邮件作为分发方法。该恶意软件在 2019 年特别活跃。该活动的受害者位于中国、印度、罗马尼亚、法国、意大利、巴西和印度尼西亚。网络犯罪分子的动机是经济利益和数据获取。他们主要对用于访问网上银行的 cookie 和凭据以及社交网络的身份验证和犯罪分子感兴趣的其他资源感兴趣。该恶意软件不仅为网络犯罪分子提供了远程访问和收集数据的能力，而且还在合法的 svchost.exe 进程中注入了引导加载程序。大多数情况下，网络犯罪分子会下载广告软件，以便确定您是否感染了此恶意软件，分析您在 Facebook 和类似社交网络以及视频托管网站 YouTube 上的活动。如果您发现不是您发起的操作，则表明有人正在控制您的帐户，您应该检查系统中是否存在恶意软件。另一个有趣的点：Scranos 在关闭计算机之前将自身覆盖到磁盘并在注册表中创建一个用于启动的键。

对 Rootkit 家族的分析表明，在 44% 的案例中，网络犯罪分子使用此恶意软件攻击政府机构，而此类攻击在科学和教育机构中的情况略少一些。这主要是由于关键的犯罪动机，因为这些行业的组织处理的信息对攻击者来说非常有价值。

19% 的 rootkit 被用于对金融机构的攻击。以银行为目标的 rootkit 的一个例子是克罗诺斯. 受害者包括英国和印度的银行。

超过一半的 Rootkit (56%) 也用于攻击个人。这些有针对性的黑客攻击主要包括针对高级官员、外交官或网络犯罪分子感兴趣的组织的员工的攻击，作为更大的网络间谍活动的组成部分。

暗网提供什么

2020 年 Defcon 大会上的专家 Bill Demirkapi 开玩笑为 Windows 编写高质量的 rootkit 非常容易；您所需要的只是知道如何使用 C 或 C++ 进行编程并构建项目，能够开发漏洞利用程序，进行逆向工程并深入了解 Windows 平台上的设备架构。对于成功的攻击，您只需要为您的破坏性目标找到并使用易受攻击的驱动程序，然后悄悄地注入并安装 rootkit 本身。

Rootkit 开发是一个复杂的过程，但互联网上有很多关于该主题的信息，尤其是在暗网上。除了参考数据之外，您还可以找到“不限预算”的现成恶意软件变种，以及将代码添加到目标驱动程序或创建新项目的开发人员，而开发人员本质上是在寻找“客户” ”。

我们分析了暗网上十个最流行的俄语和英语论坛，提供购买和销售 rootkit 的提议，以及寻找恶意软件开发者的广告。大多数出售的广告都带有自定义的 Rootkit。一个完整的 Rootkit 的成本从 45,000 美元到 100,000 美元不等，具体取决于操作模式、目标操作系统、使用条件和附加功能。

暗网 Rootkit 的平均成本为 2,800 美元。

例如，对于 100-200 美元，买方会获得一个临时使用的 Rootkit，这意味着它可以使用，比如说，不超过一个月。

没有时间限制的 Rootkit 更贵。例如，2014 年，收集访问网上银行数据的 Kronos Rootkit 以 7,000 美元的价格售出。此类 rootkit 最常用于 APT 组织的针对性攻击。

在某些情况下，恶意软件开发人员会提供 rootkit 的定制并提供服务支持。

Rootkit 购买公告通常要求提供以下功能：提供远程访问、隐藏文件、进程和网络活动。

在 67% 的案例中，公告包含了针对 Windows 量身定制 rootkit 的要求，而在实际攻击中，基于 Windows 的 rootkit 也最常遇到：在我们研究的家庭中，它们的份额为 69%。请注意，某些 rootkit 一次支持多个操作系统.

2006 年，Windows 开发人员在评估了 rootkit 造成的损害及其分布范围后，在新版本的 Windows Vista 中添加了内核补丁保护 (KPP) 组件。该模块要求硬件和软件供应商对其驱动程序进行数字签名。后来，网络犯罪分子设法绕过了这项检查，所以Windows 10 中提供了许多功能旨在通过检查驱动程序、组件完整性、配置可靠的引导加载程序以及记录和评估引导过程来防止 rootkit 启动。然而，这些创新也不能保证保护。

检测方法

为了检测系统中的rootkit，专家们对系统进行签名和行为分析，并检查其完整性。 根据 欧洲网络和信息安全局 (ENISA)，在大多数情况下，rootkit 只能通过在受感染系统上执行全新安装来删除。

要检测 Rootkit，您可以：

• 检查系统的完整性；
• 分析网络流量的异常情况；
• 使用rootkit扫描器；
• 使用检测终端节点恶意活动的工具，这将有助于在安装阶段检测到 rootkit；
• 在安装阶段和操作期间使用沙盒解决方案进行 rootkit 检测。

沙箱将帮助在系统安装阶段识别 rootkit，因为此时攻击者会执行许多恶意或至少是可疑的操作。无代理沙箱不会阻止加载 Rootkit，并且内置分析器会提醒您存在潜在危险的第三方加载。由于恶意进程不间断地运行，并且对任何保护工具的检查都没有检测到沙箱，因此攻击者不会怀疑他们已经被检测到。顺便提一下，PT ESC 专家将在 2021 年 10 月发布一份详细的研究报告，届时您可以更详细地了解使用沙箱检测 rootkit 的所有技术。

为了尽量减少rootkit感染的可能性，您应该定期监控和安装安全更新，只安装来自可信来源的程序并在安装前检查数字签名和证书，并定期更新防病毒工具的签名，因为它们能够检测到大多数的“旧”rootkit。

Rootkit 的未来

我们相信 rootkit 不会很快从网络犯罪分子的工具包中消失。PT ESC 专家注意到新版本 rootkit 的出现，其操作机制与已知的恶意软件不同，这表明攻击者并没有停滞不前，而是发明了绕过保护的新技术。使用 rootkit 的优势——以特权模式执行代码、能够躲避安全工具以及长时间在线——对于犯罪分子来说非常重要，无法拒绝这种工具。同时，rootkit 将继续主要由具备开发此类工具的技能的高素质团体以及有足够财务资源在暗网上购买 Rootkit 的团体使用。

from