Forskning på hvordan rootkits brukes av nettkriminelle har avslørt at nesten halvparten av kampanjene er fokusert på å kompromittere offentlige systemer.
Positive Technologies ga på onsdag ut en rapport om utviklingen og anvendelsen av rootkits i nettangrep, og bemerket at 77 % av rootkittene brukes til nettspionasje.
Rootkits brukes til å oppnå privilegier i et infisert system, enten på kjernenivå eller basert på brukermoduser, hvorav sistnevnte brukes av mange programvareapplikasjoner. Noen rootkits kan også kombinere begge funksjonene.
Når et rootkit har koblet seg til en maskin, kan det brukes til å kapre en PC, avlytte systemanrop, erstatte programvare og prosesser, og de kan også være en del av et bredere utnyttelsessett som inneholder andre moduler som keyloggere, skadelig programvare for datatyveri og gruvearbeidere i kryptovaluta — med rootsettet satt til å skjule ondsinnet aktivitet.
Imidlertid er rootkits vanskelig å utvikle og kan ta både tid og kostnader å gjøre det — og som et resultat er flertallet av rootkit-baserte angrep knyttet til avanserte vedvarende trusselgrupper (APT) som har ressursene og ferdighetene til å utvikle dette. form for skadelig programvare.
Forskernes analyseutvalg besto av 16 typer skadevare; 38 % er rootkits i kjernemodus, 31 % brukermodus og 31 % rootkits av kombinasjonstype. De fleste som er i bruk i dag er designet for å angripe Windows-systemer.
I følge Positive Technologies ser det ut til å være en generell trend til brukermodus rootkits i utnyttelsesindustrien på grunn av vanskeligheten med å lage kjernemodusvarianter, og til tross for forbedringer i forsvar mot rootkits i moderne maskiner, er de ofte fortsatt vellykkede i cyberangrep .
“Det tar mye tid å utvikle eller modifisere et slikt rootkit, og dette kan gjøre det vanskelig å jobbe med tidsbegrensninger; du må være rask til å utnytte en sårbarhet i et selskaps omkrets før det blir lagt merke til og sikkerhetsoppdateringer blir installert, eller en annen gruppe drar nytte av det,” sier Positive Technologies. “På grunn av dette er angripere vant til å handle raskt: det kan ta mindre enn en dag fra det øyeblikket utnyttelsen er identifisert til de første forsøkene på å bruke den, og hvis en gruppe ikke har en pålitelig, klar til bruk verktøyet, denne gangen er tydeligvis ikke nok til å jobbe med det.”
I tillegg sier teamet at eventuelle feil i kodingen av et rootkit i kjernemodus kan føre til en maskins ødeleggelse og permanent korrupsjon, og så hvis et økonomisk krav stilles — for eksempel av løsepengevareoperatører — da ville skaden som ble forårsaket stoppe utpressingsforsøk fra å lykkes.
I 44 % av tilfellene som er dokumentert siden 2011, har rootkits blitt brukt til å angripe offentlige etater over hele verden, etterfulgt av forsknings- og akademiske institusjoner i 38 % av kjente kampanjer.
Positive Technologies antyder at når rootkits er i spill, krever kostnadene og utviklingstiden deres et verdifullt mål: og i de fleste tilfeller er målet datatyveri – selv om målet noen ganger er rent økonomisk .
I tillegg spores rootkits oftest til angrep mot telekommunikasjonsselskaper, produksjonssektoren og banker eller finansielle tjenester.
Rootkits kan også brukes i målrettede angrep mot enkeltpersoner, som sies å være “høytstående tjenestemenn, diplomater og ansatte i offerorganisasjoner,” ifølge forskerne.
Kommersielt tilgjengelige rootkits får ofte en pris på mellom $45 000 og $100 000, avhengig av måloperativsystem, abonnementsvilkår og funksjoner.
Positive teknologier
“Til tross for vanskelighetene med å utvikle slike programmer, ser vi hvert år fremveksten av nye versjoner av rootkits med en annen driftsmekanisme enn kjent skadelig programvare,” kommenterte Alexey Vishnyakov, leder for Malware Detection ved Positive Technologies Expert Security Center (PT ESC) ). “Dette indikerer at nettkriminelle fortsatt utvikler verktøy for å skjule ondsinnet aktivitet og kommer opp med nye teknikker for å omgå sikkerhet – en ny versjon av Windows dukker opp, og utviklere av skadevare oppretter umiddelbart rootkits for det. Vi forventer at rootkits vil fortsette å bli brukt av vel -organiserte APT-grupper.”
Tidligere og relatert dekning
Hackere fikk på en eller annen måte rootsettet sitt en Microsoft-utstedt digital signatur
Hvorfor rootkits betyr at du må nuke maskinen din
Ny Moriya rootkit snikende bakdører Windows-systemer
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre