為隱藏攻擊“線索”而生的Rootkit有多強大�?
什么是Rootkit����?在情節(jié)跌宕起伏的諜戰(zhàn)片里,總有一個角色牽動著大家的心弦�����,你可以叫他間諜�,也可以叫他臥底,他必須很好地偽裝自己���,避免過早暴露���,才能獲取重要情報并回傳信息。從某種意義上來說����,Rootkit就是“間諜”隱藏自己時使用的技術(shù),猶如一件隱身衣����,其可以幫助“間諜”持久且無法被察覺地駐留在目標計算機中,對系統(tǒng)進行操縱��、并通過隱秘渠道收集數(shù)據(jù)�。
深信服藍軍高級威脅攻防研究專家馬柔忍
馬柔忍在《Rootkit攻防原理與取證技術(shù)》的分享中提到����,Rootkit攻擊的技術(shù)棧主要分為用戶層�����、內(nèi)核層等����,相對而言,用戶層的Rootkit 編寫更加簡單�����,受版本的限制會更小�����,不會因為版本不兼容或者其它錯誤導(dǎo)致系統(tǒng)崩潰���,但它所能達到的效果也更弱,檢測起來相對簡單�����,比如通過完整性校驗或基于簽名的解決方案能有效地檢測出文件替換或修改,通過環(huán)境變量和配置文件可檢測對動態(tài)鏈接庫的利用�����;而內(nèi)核層的Rootkit處于系統(tǒng)更底層�,且擁有更多的技巧來隱藏其攻擊痕跡,所以更難以被發(fā)現(xiàn)���。
由于Rootkit是業(yè)內(nèi)公認的最難檢測的隱藏手段�����,因此其經(jīng)常被攻擊者使用在高質(zhì)量的APT攻擊中��。APT攻擊往往具有較強的持續(xù)性�,這需要建立在不被發(fā)現(xiàn)的基礎(chǔ)之上��,攻擊者可以通過Rootkit在目標網(wǎng)絡(luò)中潛伏幾個月甚至幾年之久����,長期監(jiān)控竊取龐大的情報數(shù)據(jù)。
攻擊者成功侵入某系統(tǒng)后��,往往需要植入一個持久化的后門����,如果目標是一個企業(yè)���,其組織架構(gòu)、人員信息��、薪資結(jié)構(gòu)�����,客戶資料以及戰(zhàn)略規(guī)劃等信息可能會被攻擊者獲取�����,這些信息的泄露可能會對企業(yè)造成毀滅性的打擊����;如果目標是醫(yī)療機構(gòu)、教育機構(gòu)等�����,攻擊者可以通過竊取到的敏感信息進行數(shù)據(jù)倒賣和精準詐騙����;更嚴重的是,如果惡意程序長期潛伏在某些關(guān)鍵基礎(chǔ)設(shè)施當中�,并在某個特定的時間被啟動,將會造成電力����、交通、能源����、金融系統(tǒng)設(shè)施的癱瘓……
攻擊者的這些行為給國家關(guān)鍵基礎(chǔ)設(shè)施和人民的信息財產(chǎn)安全造成了非常嚴重的安全威脅,越晚發(fā)現(xiàn)這些被植入的后門�,攻擊者可以獲得的數(shù)據(jù)就越龐大,而Rootkit又專為隱藏“后門”而生����,這對網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn)。
由于攻擊者經(jīng)常利用Rootkit秘密地實施入侵���,竊取敏感信息��,因此Rootkit在業(yè)內(nèi)經(jīng)常會被當成惡意軟件�,但馬柔忍認為�����,從技術(shù)視角,Rootkit并無正邪之分��,攻擊者可以利用Rootkit秘密地實施入侵��,竊取敏感信息���,防御者也可以利用Rootkit進行實時監(jiān)控,搜集證據(jù)����。
如何挖掘通過Rootkit進行犯罪活動的證據(jù)?
武器不分好壞�,只是看被誰利用,在攻擊者利用Rootkit謀壞事之際�,防守方也可以利用Rootkit發(fā)現(xiàn)攻擊者的蛛絲馬跡。
深信服藍軍高級威脅攻防研究專家肖秋平
肖秋平表示��,從防守方的角度出發(fā)��,主要可以通過內(nèi)存���、網(wǎng)絡(luò)流量和磁盤文件三個維度對Rootkit進行取證�。
內(nèi)存取證:內(nèi)存取證的對象是系統(tǒng)在運行時保存在內(nèi)存中的數(shù)據(jù)����,將運行系統(tǒng)的物理內(nèi)存中的數(shù)據(jù)保存到固定的存儲介質(zhì)上,從而達到把易失性的內(nèi)存數(shù)據(jù)轉(zhuǎn)化成非易失性的文件����。
網(wǎng)絡(luò)流量取證:網(wǎng)絡(luò)流量取證是抓取、記錄和分析網(wǎng)絡(luò)流量以發(fā)現(xiàn)安全攻擊或其他的問題事件的來源��,通過流量取證可以獲取攻擊者的流量特征及其使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����。
磁盤文件取證:磁盤文件取證的對象是保存在存儲介質(zhì)(硬盤)中的數(shù)據(jù)��,通過分析硬盤中的文件��,以發(fā)現(xiàn)與安全事件相關(guān)的異常文件�。
此外,肖秋平在演講中提到���,攻擊者使用Rootkit最關(guān)鍵的地方在于實現(xiàn)其所需功能的前提條件下���,盡可能隱藏自身,實現(xiàn)所需功能意味著Rootkit必須要與系統(tǒng)進行交互,這也就說明Rootkit運行過程中的數(shù)據(jù)必然是符合操作系統(tǒng)需求的數(shù)據(jù)結(jié)構(gòu)���。此外�,由于隱藏是相對用戶而言���,因此可以通過對比用戶態(tài)數(shù)據(jù)來源列表和內(nèi)核態(tài)中更底層的能夠表示隱藏內(nèi)容的數(shù)據(jù)結(jié)構(gòu)�����,來確定是否發(fā)生未知異常數(shù)據(jù)的隱藏行為��。
CCS 2021新型網(wǎng)絡(luò)違法犯罪打擊防范分論壇���,從新型網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈研究、預(yù)警防范�、偵查打擊、反制策略���、取證技術(shù)等層面��,邀請全國警企相關(guān)專家進行分享與交流�,共同探討網(wǎng)絡(luò)犯罪打擊治理工作���,為有效打擊防范各類新型網(wǎng)絡(luò)違法犯罪貢獻力量�,更好地維護人民群眾財產(chǎn)安全與合法權(quán)益。深信服一直注重網(wǎng)絡(luò)安全攻防技術(shù)研究���,通過攻擊和防御雙方的視角,從多維度分析和解決網(wǎng)絡(luò)安全問題是深信服藍軍主要的研究方向之一���,未來��,深信服將不斷提高專業(yè)技術(shù)造詣�,深度洞察網(wǎng)絡(luò)安全威脅�,持續(xù)為網(wǎng)絡(luò)安全賦能。
