需要了解的一项攻击技术-高隐匿、高持久化威胁 _攻击技术

文章插图

一、介绍本文首先从Rootkit的生存期、可达成的效果，以及运用这项技术展开攻击的可行性和windows Rootkit现状分析四个角度展开讨论，并结合历史攻击事件，分析掌握这项技术的APT组织所关注的目标群体和可能造成的影响，最后总结Rootkit在不同层次攻击活动中所处的地位。
二、“低调”的Windows Rootkit当你听到Rootkit时，你的第一反应是什么，高难度、高隐藏？是的，近年来，随着Windows安全机制的不断完善，往Windows系统中植入一个Rootkit的技术门槛也被不断拔高。可就算Rootkit在所有安全产品检出的恶意软件中占比率极低，也并不代表它带来的威胁就可以忽略，恰恰相反，Rootkit的高门槛使其更多地被运用在更高质量的攻击活动中，从这一角度来看，每一个客户场景出现的Rootkit背后都可能隐藏着长期的攻击活动。
对于攻击者来说，高投入的同时也意味着高收益，开发一款Rootkit不算简单，但发现一个Rootkit同样不简单，一个普通恶意样本的生存期可能在投入使用时便结束了，而一个Rootkit的生存期可以长达数年，甚至更久。
从Vista开始Windows会对加载的驱动进行签名验证，这使得攻击者的植入成本变高，而PatchGuard也增加了攻击者对系统内核篡改的成本。基于此，Windows Rootkit在野的声音仿佛小了许多，我们对它的关注度也在降低，但它带来的威胁真的就可以忽视了吗？还是说更应该理解为“小声音，高威胁” 。
从下图我们可以看出，无论Windows Rootkit在野声音有多小，它都未曾消失过

文章插图

三、从生存期看Windows Rootkit

【安全学习文档】可私信我领取

让我们把APT攻击的阶段简化，在初始打点阶段攻击者可能会采用漏洞利用或钓鱼攻击，毫无疑问，近几年也是钓鱼攻击大行其道地几年。
以文档钓鱼为例，收到的钓鱼邮件可能会像这样

文章插图

当然，我们也可能收到伪装成文档的PE文件

文章插图

它也有可能长成这样

文章插图

文章插图

尽管形式还算多样，但细心的你一定已经发现了，它们或多或少都存在着一些可识别的特征，在经历过钓鱼的反复洗礼后，甚至会有部分人不管什么邮件都直接丢VT跑一圈（当然这样做不好，毕竟误传敏感文件还是比较严重的），这些特征让攻击活动变得非常容易暴露。
在假定攻击活动已经进行到权限维持之后，我们也会排查到下述类似情况

文章插图

文章插图

当然，这样做会显得有些过于直接，攻击者可能会采用更为复杂的手法，比如DLL劫持，一方面避免了持久化的痕迹，另一方面在免杀上也取得了一定效果，但我们仍然可以观测到

文章插图

这样来看，发现一个异常也不算太难，对吧，毕竟攻击者在每个环节都或多或少地留下了一些痕迹，无论我们哪个环节捕获到了威胁，都可以向前和向后反溯，还原攻击链路。但由于真实环境足够复杂，也不是所有人员都具备安全知识和安全意识，导致攻击活动通常也能成功，甚至持续很长时间不被发现。但至少，当你感知到它可能存在威胁时，还是能比较容易地发现它。
那么，这样的威胁我们还是可以称之为“摆在明面上”的威胁，你只需要更加耐心和细心地将它们找出来，而随着安全体系建设地逐渐完整和全员安全意识地不断提高，此类攻击的生存期也会不断缩短。
回过头来，我们再看一看Windows Rootkit，历史上APT组织Strider曾利用一款名为Remsec的恶意软件对多个国家，包括政府机构在内的系统进行了长达五年之久的监控