Търсене
Close this search box.

Как да предотвратите руткит атака

Руткитът е злонамерена софтуерна програма, която помага на киберпрестъпниците да проникнат в системата и да поемат контрола. Хакерите използват руткитове, за да извършват шпионаж, кражба на данни, да внедряват друг зловреден софтуер, например ransomware, и то без да оставят следи. След като руткитът бъде инсталиран на устройство, той може да прихваща системни повиквания, да замества софтуер и процеси и да бъде част от по-голям комплект експлойти, съдържащ други модули, като например кийлогъри, зловреден софтуер за кражба на данни или дори зловреден софтуер за добив на криптовалута.

Тези видове програми обаче се разработват трудно, тъй като за създаването им са необходими време и средства. Ето защо повечето атаки, базирани на руткити, се свързват с групи за напреднали постоянни заплахи (APT), тъй като те разполагат с уменията и ресурсите за разработване на тази форма на зловреден софтуер. В резултат на това те са склонни да избират цели с висока стойност както за финансово мотивиранe , така и за шпионски атаки.

Проучване, анализиращо еволюцията и използването на руткитове за извършване на кибератаки, разкрива, че в 56% от случаите киберпрестъпниците използват този софтуер, за да атакуват високопоставени лица, като например високопоставени служители, дипломати или служители на организации, които са привлекателни за хакерите. По отношение на секторите, които са най-често обект на тези заплахи, на първо място се нареждат правителствените институции (44%), следвани от научноизследователските институти (38%), телекомуникационните оператори (25%), промишлените предприятия (19%) и финансовите организации (19%).

Проучването показва също, че руткитовете често се разпространяват чрез тактики на социално инженерство, по-специално чрез използване на фишинг (69%) и експлоатиране на уязвимости (62%).

Видове руткит

Съществуват три вида руткитове, които се класифицират според нивото на получените привилегии, и те са следните:

  • Kernel-mode rootkits: този тип руткит работи на ниво ядро, така че има същите привилегии като операционната система. Те са проектирани като драйвери за устройства или модули, които могат да се зареждат. Разработването им е сложно, тъй като грешка в изходния код може да повлияе на стабилността на системата, което прави зловредния софтуер видим.
  • Руткитове в потребителски режим: този тип се разработва по-лесно от руткитовете в режим на ядрото, тъй като за проектирането им са необходими по-малко прецизност и знания, затова обикновено се използват при масирани атаки. Тези руткитове работят с по-малко привилегии, въпреки че могат да прихващат системни повиквания и да подменят стойностите, връщани от API и приложения, за да получат контрол над машината.
  • Комбинирани руткитове: тези видове руткитове са проектирани така, че да комбинират двата режима на работа и да действат и на двете нива.

През есента на 2021г. севернокорейската група Lazarus проведе кампания за внедряване на руткит, която беше насочена към служител на аерокосмическа компания в Нидерландия и политически журналист в Белгия. И двете цели са се свързали с възможности за работа в престижна компания и са изпратили документи, приложени към предполагаемото предложение за работа. Единият от тях ги е получил чрез LinkedIn, а другият – по електронна поща. Отварянето на файловете обаче предизвикало поредица от атаки. Според разследващите този случай, които оповестиха заключенията си през септември тази година, най-фрапиращият случай е руткит модул, който използва уязвимост в драйверите на устройствата на Dell, за да получи възможност да чете и записва паметта на ядрото.

Как да защитите бизнеса си от този тип атаки?

Въпреки че този тип заплаха е проектирана така, че да избегне откриване, съществуват решения, които могат не само да я открият, но и да я задържат и блокират. Устройствата от типа WatchGuard Firebox включват три усъвършенствани функции, способни да идентифицират и спрат този зловреден софтуер:

  • APT Blocker: тази технология за пясъчници може да открие руткита още преди той да получи достъп до системата. Тя анализира поведението, за да определи дали даден файл е злонамерен, като идентифицира и изпраща подозрителни файлове към базирана в облака пясъчна кутия, която емулира изпълнението и анализира кода на файла. Ако файлът е злонамерен, APT предприема действия и го блокира, за да защити мрежата.
  • Защита от зловреден софтуер, задвижвана от изкуствен интелект: проектирана е да идентифицира заплахи чрез разбиване на милиони файлове на основните им компоненти, след което анализира характеристиките на всеки от тях в комбинация, за да идентифицира индикатори за лоши намерения. Ако бъде открит зловреден софтуер, файлът се блокира, преди да бъде изпълнен.
  • Видимост в облака: При руткит атаките е важно да има пълна видимост в мрежата, за да се анализират аномалиите. Това дава възможност за задълбочено проучване в съответствие с подробната информация в докладите, генерирани от платформата.

Киберпрестъпниците могат да бъдат изключително изобретателни, когато става въпрос за осъществяване на професионални заплахи, но те все още могат да бъдат осуетени. Ключът е да се защитят корпоративните мрежи с подходящи решения, които могат да спрат руткит атаките, преди да е станало твърде късно.

Източник: watchguard.com

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
Бъдете социални
Още по темата
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
09/04/2024

(Пре)откриване на скритата ...

Съвременното нулево доверие е модел за...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!