需要了解的一项攻击技术-高隐匿、高持久化威胁( 三 ) _攻击技术

文章插图

文章插图

六、从现状来看Windows Rootkit当我们尝试在VT上进行Hunting，会发现无效证书的利用非常普遍

文章插图

其实，就算你遇到一个有着合法签名的Rootkit也不算什么新鲜事了

文章插图

回过头来单看2021，Windows Rootkit攻击更多地集中在游戏行业（我想，这也是它们相对而言较快暴露的一个原因，传播量变大的同时，也遭受了更多的关注），但当Rootkit调转枪头对准更高价值的目标时，当它们的目的不再是简单地获利时，当它们的动静更小，隐藏更具针对性时，我们是否做好应对准备了呢？毕竟从技术角度而言，APT组织又有什么理由拒绝Rootkit呢?
值得注意的是，当APT组织拿起Rootkit这个武器时，它们枪头要对准的将会是包括政府、军事在内的各种重要组织机构，它们的目的将不再是简单地获利，而是对目标地长期监控和重要情报的窃取，这一点从历史APT运用Rootkit进行的攻击事件中不难发现。
七、总结基于社工和钓鱼结合的攻击活动虽能以较小的成本拿下目标，但留下的明显痕迹会导致其生存期骤减，很容易在打点阶段就暴露，而通过其它未知渠道打点后，借助合法进程、机制完成恶意活动(如Lazarus对Get-MpPreference的利用)，或通过白加黑(如dll劫持，LOLBINS)等方式进行后门安置和权限维持等，虽然在免杀层面有着不错的效果，却不能很好地隐匿攻击痕迹。
Rootkit更多地对应在后门安置、持久化阶段，掌握这项技术的攻击者也会有着更高的技术水平，他们或许会更青睐于一些高级的打点技巧，以降低每个环节被捕获的可能性，当然，越高价值的目标越会吸引更高成本的投入，我们想要从容应对也就更加困难，而事实上，是否有APT组织正利用着此技术进行攻击活动也尚未可知。

【需要了解的一项攻击技术-高隐匿、高持久化威胁】