Търсене
Close this search box.

Руткитът е злонамерена софтуерна програма, която помага на киберпрестъпниците да проникнат в системата и да поемат контрола. Хакерите използват руткитове, за да извършват шпионаж, кражба на данни, да внедряват друг зловреден софтуер, например ransomware, и то без да оставят следи. След като руткитът бъде инсталиран на устройство, той може да прихваща системни повиквания, да замества софтуер и процеси и да бъде част от по-голям комплект експлойти, съдържащ други модули, като например кийлогъри, зловреден софтуер за кражба на данни или дори зловреден софтуер за добив на криптовалута.

Тези видове програми обаче се разработват трудно, тъй като за създаването им са необходими време и средства. Ето защо повечето атаки, базирани на руткити, се свързват с групи за напреднали постоянни заплахи (APT), тъй като те разполагат с уменията и ресурсите за разработване на тази форма на зловреден софтуер. В резултат на това те са склонни да избират цели с висока стойност както за финансово мотивиранe , така и за шпионски атаки.

Проучване, анализиращо еволюцията и използването на руткитове за извършване на кибератаки, разкрива, че в 56% от случаите киберпрестъпниците използват този софтуер, за да атакуват високопоставени лица, като например високопоставени служители, дипломати или служители на организации, които са привлекателни за хакерите. По отношение на секторите, които са най-често обект на тези заплахи, на първо място се нареждат правителствените институции (44%), следвани от научноизследователските институти (38%), телекомуникационните оператори (25%), промишлените предприятия (19%) и финансовите организации (19%).

Проучването показва също, че руткитовете често се разпространяват чрез тактики на социално инженерство, по-специално чрез използване на фишинг (69%) и експлоатиране на уязвимости (62%).

Видове руткит

Съществуват три вида руткитове, които се класифицират според нивото на получените привилегии, и те са следните:

  • Kernel-mode rootkits: този тип руткит работи на ниво ядро, така че има същите привилегии като операционната система. Те са проектирани като драйвери за устройства или модули, които могат да се зареждат. Разработването им е сложно, тъй като грешка в изходния код може да повлияе на стабилността на системата, което прави зловредния софтуер видим.
  • Руткитове в потребителски режим: този тип се разработва по-лесно от руткитовете в режим на ядрото, тъй като за проектирането им са необходими по-малко прецизност и знания, затова обикновено се използват при масирани атаки. Тези руткитове работят с по-малко привилегии, въпреки че могат да прихващат системни повиквания и да подменят стойностите, връщани от API и приложения, за да получат контрол над машината.
  • Комбинирани руткитове: тези видове руткитове са проектирани така, че да комбинират двата режима на работа и да действат и на двете нива.

През есента на 2021г. севернокорейската група Lazarus проведе кампания за внедряване на руткит, която беше насочена към служител на аерокосмическа компания в Нидерландия и политически журналист в Белгия. И двете цели са се свързали с възможности за работа в престижна компания и са изпратили документи, приложени към предполагаемото предложение за работа. Единият от тях ги е получил чрез LinkedIn, а другият – по електронна поща. Отварянето на файловете обаче предизвикало поредица от атаки. Според разследващите този случай, които оповестиха заключенията си през септември тази година, най-фрапиращият случай е руткит модул, който използва уязвимост в драйверите на устройствата на Dell, за да получи възможност да чете и записва паметта на ядрото.

Как да защитите бизнеса си от този тип атаки?

Въпреки че този тип заплаха е проектирана така, че да избегне откриване, съществуват решения, които могат не само да я открият, но и да я задържат и блокират. Устройствата от типа WatchGuard Firebox включват три усъвършенствани функции, способни да идентифицират и спрат този зловреден софтуер:

  • APT Blocker: тази технология за пясъчници може да открие руткита още преди той да получи достъп до системата. Тя анализира поведението, за да определи дали даден файл е злонамерен, като идентифицира и изпраща подозрителни файлове към базирана в облака пясъчна кутия, която емулира изпълнението и анализира кода на файла. Ако файлът е злонамерен, APT предприема действия и го блокира, за да защити мрежата.
  • Защита от зловреден софтуер, задвижвана от изкуствен интелект: проектирана е да идентифицира заплахи чрез разбиване на милиони файлове на основните им компоненти, след което анализира характеристиките на всеки от тях в комбинация, за да идентифицира индикатори за лоши намерения. Ако бъде открит зловреден софтуер, файлът се блокира, преди да бъде изпълнен.
  • Видимост в облака: При руткит атаките е важно да има пълна видимост в мрежата, за да се анализират аномалиите. Това дава възможност за задълбочено проучване в съответствие с подробната информация в докладите, генерирани от платформата.

Киберпрестъпниците могат да бъдат изключително изобретателни, когато става въпрос за осъществяване на професионални заплахи, но те все още могат да бъдат осуетени. Ключът е да се защитят корпоративните мрежи с подходящи решения, които могат да спрат руткит атаките, преди да е станало твърде късно.

Източник: watchguard.com

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
15/09/2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния...
11/09/2024

Препоръки за киберсигурност...

Почти всеки тийнейджър  (около 96%) съобщава,...
11/09/2024

4 съвета за киберсигурност ...

Като се фокусират върху постижими основи...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!