為隱藏攻擊“線索”而生的Rootkit有多強(qiáng)大���?
什么是Rootkit�����?在情節(jié)跌宕起伏的諜戰(zhàn)片里,總有一個(gè)角色牽動(dòng)著大家的心弦�����,你可以叫他間諜�,也可以叫他臥底,他必須很好地偽裝自己�,避免過(guò)早暴露,才能獲取重要情報(bào)并回傳信息��。從某種意義上來(lái)說(shuō)��,Rootkit就是“間諜”隱藏自己時(shí)使用的技術(shù)���,猶如一件隱身衣�,其可以幫助“間諜”持久且無(wú)法被察覺(jué)地駐留在目標(biāo)計(jì)算機(jī)中���,對(duì)系統(tǒng)進(jìn)行操縱��、并通過(guò)隱秘渠道收集數(shù)據(jù)��。
深信服藍(lán)軍高級(jí)威脅攻防研究專家馬柔忍
馬柔忍在《Rootkit攻防原理與取證技術(shù)》的分享中提到��,Rootkit攻擊的技術(shù)棧主要分為用戶層���、內(nèi)核層等��,相對(duì)而言�����,用戶層的Rootkit 編寫(xiě)更加簡(jiǎn)單,受版本的限制會(huì)更小���,不會(huì)因?yàn)榘姹静患嫒莼蛘咂渌e(cuò)誤導(dǎo)致系統(tǒng)崩潰��,但它所能達(dá)到的效果也更弱�����,檢測(cè)起來(lái)相對(duì)簡(jiǎn)單�����,比如通過(guò)完整性校驗(yàn)或基于簽名的解決方案能有效地檢測(cè)出文件替換或修改��,通過(guò)環(huán)境變量和配置文件可檢測(cè)對(duì)動(dòng)態(tài)鏈接庫(kù)的利用�;而內(nèi)核層的Rootkit處于系統(tǒng)更底層�,且擁有更多的技巧來(lái)隱藏其攻擊痕跡�,所以更難以被發(fā)現(xiàn)�。
由于Rootkit是業(yè)內(nèi)公認(rèn)的最難檢測(cè)的隱藏手段,因此其經(jīng)常被攻擊者使用在高質(zhì)量的APT攻擊中����。APT攻擊往往具有較強(qiáng)的持續(xù)性,這需要建立在不被發(fā)現(xiàn)的基礎(chǔ)之上�����,攻擊者可以通過(guò)Rootkit在目標(biāo)網(wǎng)絡(luò)中潛伏幾個(gè)月甚至幾年之久�,長(zhǎng)期監(jiān)控竊取龐大的情報(bào)數(shù)據(jù)。
攻擊者成功侵入某系統(tǒng)后�,往往需要植入一個(gè)持久化的后門(mén),如果目標(biāo)是一個(gè)企業(yè)����,其組織架構(gòu)、人員信息��、薪資結(jié)構(gòu)����,客戶資料以及戰(zhàn)略規(guī)劃等信息可能會(huì)被攻擊者獲取,這些信息的泄露可能會(huì)對(duì)企業(yè)造成毀滅性的打擊����;如果目標(biāo)是醫(yī)療機(jī)構(gòu)��、教育機(jī)構(gòu)等���,攻擊者可以通過(guò)竊取到的敏感信息進(jìn)行數(shù)據(jù)倒賣(mài)和精準(zhǔn)詐騙;更嚴(yán)重的是�,如果惡意程序長(zhǎng)期潛伏在某些關(guān)鍵基礎(chǔ)設(shè)施當(dāng)中,并在某個(gè)特定的時(shí)間被啟動(dòng)���,將會(huì)造成電力、交通�、能源、金融系統(tǒng)設(shè)施的癱瘓……
攻擊者的這些行為給國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和人民的信息財(cái)產(chǎn)安全造成了非常嚴(yán)重的安全威脅����,越晚發(fā)現(xiàn)這些被植入的后門(mén),攻擊者可以獲得的數(shù)據(jù)就越龐大�,而Rootkit又專為隱藏“后門(mén)”而生,這對(duì)網(wǎng)絡(luò)安全提出了巨大的挑戰(zhàn)�����。
由于攻擊者經(jīng)常利用Rootkit秘密地實(shí)施入侵���,竊取敏感信息�,因此Rootkit在業(yè)內(nèi)經(jīng)常會(huì)被當(dāng)成惡意軟件,但馬柔忍認(rèn)為����,從技術(shù)視角,Rootkit并無(wú)正邪之分�����,攻擊者可以利用Rootkit秘密地實(shí)施入侵��,竊取敏感信息���,防御者也可以利用Rootkit進(jìn)行實(shí)時(shí)監(jiān)控��,搜集證據(jù)����。
如何挖掘通過(guò)Rootkit進(jìn)行犯罪活動(dòng)的證據(jù)��?
武器不分好壞��,只是看被誰(shuí)利用,在攻擊者利用Rootkit謀壞事之際�,防守方也可以利用Rootkit發(fā)現(xiàn)攻擊者的蛛絲馬跡。
深信服藍(lán)軍高級(jí)威脅攻防研究專家肖秋平
肖秋平表示����,從防守方的角度出發(fā),主要可以通過(guò)內(nèi)存�����、網(wǎng)絡(luò)流量和磁盤(pán)文件三個(gè)維度對(duì)Rootkit進(jìn)行取證�����。
內(nèi)存取證:內(nèi)存取證的對(duì)象是系統(tǒng)在運(yùn)行時(shí)保存在內(nèi)存中的數(shù)據(jù)����,將運(yùn)行系統(tǒng)的物理內(nèi)存中的數(shù)據(jù)保存到固定的存儲(chǔ)介質(zhì)上�����,從而達(dá)到把易失性的內(nèi)存數(shù)據(jù)轉(zhuǎn)化成非易失性的文件�。
網(wǎng)絡(luò)流量取證:網(wǎng)絡(luò)流量取證是抓取、記錄和分析網(wǎng)絡(luò)流量以發(fā)現(xiàn)安全攻擊或其他的問(wèn)題事件的來(lái)源�,通過(guò)流量取證可以獲取攻擊者的流量特征及其使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
磁盤(pán)文件取證:磁盤(pán)文件取證的對(duì)象是保存在存儲(chǔ)介質(zhì)(硬盤(pán))中的數(shù)據(jù),通過(guò)分析硬盤(pán)中的文件�,以發(fā)現(xiàn)與安全事件相關(guān)的異常文件。
此外�,肖秋平在演講中提到,攻擊者使用Rootkit最關(guān)鍵的地方在于實(shí)現(xiàn)其所需功能的前提條件下��,盡可能隱藏自身���,實(shí)現(xiàn)所需功能意味著Rootkit必須要與系統(tǒng)進(jìn)行交互�����,這也就說(shuō)明Rootkit運(yùn)行過(guò)程中的數(shù)據(jù)必然是符合操作系統(tǒng)需求的數(shù)據(jù)結(jié)構(gòu)�。此外��,由于隱藏是相對(duì)用戶而言�,因此可以通過(guò)對(duì)比用戶態(tài)數(shù)據(jù)來(lái)源列表和內(nèi)核態(tài)中更底層的能夠表示隱藏內(nèi)容的數(shù)據(jù)結(jié)構(gòu),來(lái)確定是否發(fā)生未知異常數(shù)據(jù)的隱藏行為����。
CCS 2021新型網(wǎng)絡(luò)違法犯罪打擊防范分論壇,從新型網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈研究�、預(yù)警防范、偵查打擊����、反制策略���、取證技術(shù)等層面,邀請(qǐng)全國(guó)警企相關(guān)專家進(jìn)行分享與交流�,共同探討網(wǎng)絡(luò)犯罪打擊治理工作,為有效打擊防范各類(lèi)新型網(wǎng)絡(luò)違法犯罪貢獻(xiàn)力量����,更好地維護(hù)人民群眾財(cái)產(chǎn)安全與合法權(quán)益。深信服一直注重網(wǎng)絡(luò)安全攻防技術(shù)研究�,通過(guò)攻擊和防御雙方的視角,從多維度分析和解決網(wǎng)絡(luò)安全問(wèn)題是深信服藍(lán)軍主要的研究方向之一��,未來(lái)�����,深信服將不斷提高專業(yè)技術(shù)造詣�,深度洞察網(wǎng)絡(luò)安全威脅,持續(xù)為網(wǎng)絡(luò)安全賦能��。
