Как да предотвратите руткит атака

Руткитът е злонамерена софтуерна програма, която помага на киберпрестъпниците да проникнат в системата и да поемат контрола. Хакерите използват руткитове, за да извършват шпионаж, кражба на данни, да внедряват друг зловреден софтуер, например ransomware, и то без да оставят следи. След като руткитът бъде инсталиран на устройство, той може да прихваща системни повиквания, да замества софтуер и процеси и да бъде част от по-голям комплект експлойти, съдържащ други модули, като например кийлогъри, зловреден софтуер за кражба на данни или дори зловреден софтуер за добив на криптовалута.

Тези видове програми обаче се разработват трудно, тъй като за създаването им са необходими време и средства. Ето защо повечето атаки, базирани на руткити, се свързват с групи за напреднали постоянни заплахи (APT), тъй като те разполагат с уменията и ресурсите за разработване на тази форма на зловреден софтуер. В резултат на това те са склонни да избират цели с висока стойност както за финансово мотивиранe , така и за шпионски атаки.

Проучване, анализиращо еволюцията и използването на руткитове за извършване на кибератаки, разкрива, че в 56% от случаите киберпрестъпниците използват този софтуер, за да атакуват високопоставени лица, като например високопоставени служители, дипломати или служители на организации, които са привлекателни за хакерите. По отношение на секторите, които са най-често обект на тези заплахи, на първо място се нареждат правителствените институции (44%), следвани от научноизследователските институти (38%), телекомуникационните оператори (25%), промишлените предприятия (19%) и финансовите организации (19%).

Проучването показва също, че руткитовете често се разпространяват чрез тактики на социално инженерство, по-специално чрез използване на фишинг (69%) и експлоатиране на уязвимости (62%).

Видове руткит

Съществуват три вида руткитове, които се класифицират според нивото на получените привилегии, и те са следните:

  • Kernel-mode rootkits: този тип руткит работи на ниво ядро, така че има същите привилегии като операционната система. Те са проектирани като драйвери за устройства или модули, които могат да се зареждат. Разработването им е сложно, тъй като грешка в изходния код може да повлияе на стабилността на системата, което прави зловредния софтуер видим.
  • Руткитове в потребителски режим: този тип се разработва по-лесно от руткитовете в режим на ядрото, тъй като за проектирането им са необходими по-малко прецизност и знания, затова обикновено се използват при масирани атаки. Тези руткитове работят с по-малко привилегии, въпреки че могат да прихващат системни повиквания и да подменят стойностите, връщани от API и приложения, за да получат контрол над машината.
  • Комбинирани руткитове: тези видове руткитове са проектирани така, че да комбинират двата режима на работа и да действат и на двете нива.

През есента на 2021г. севернокорейската група Lazarus проведе кампания за внедряване на руткит, която беше насочена към служител на аерокосмическа компания в Нидерландия и политически журналист в Белгия. И двете цели са се свързали с възможности за работа в престижна компания и са изпратили документи, приложени към предполагаемото предложение за работа. Единият от тях ги е получил чрез LinkedIn, а другият – по електронна поща. Отварянето на файловете обаче предизвикало поредица от атаки. Според разследващите този случай, които оповестиха заключенията си през септември тази година, най-фрапиращият случай е руткит модул, който използва уязвимост в драйверите на устройствата на Dell, за да получи възможност да чете и записва паметта на ядрото.

Как да защитите бизнеса си от този тип атаки?

Въпреки че този тип заплаха е проектирана така, че да избегне откриване, съществуват решения, които могат не само да я открият, но и да я задържат и блокират. Устройствата от типа WatchGuard Firebox включват три усъвършенствани функции, способни да идентифицират и спрат този зловреден софтуер:

  • APT Blocker: тази технология за пясъчници може да открие руткита още преди той да получи достъп до системата. Тя анализира поведението, за да определи дали даден файл е злонамерен, като идентифицира и изпраща подозрителни файлове към базирана в облака пясъчна кутия, която емулира изпълнението и анализира кода на файла. Ако файлът е злонамерен, APT предприема действия и го блокира, за да защити мрежата.
  • Защита от зловреден софтуер, задвижвана от изкуствен интелект: проектирана е да идентифицира заплахи чрез разбиване на милиони файлове на основните им компоненти, след което анализира характеристиките на всеки от тях в комбинация, за да идентифицира индикатори за лоши намерения. Ако бъде открит зловреден софтуер, файлът се блокира, преди да бъде изпълнен.
  • Видимост в облака: При руткит атаките е важно да има пълна видимост в мрежата, за да се анализират аномалиите. Това дава възможност за задълбочено проучване в съответствие с подробната информация в докладите, генерирани от платформата.

Киберпрестъпниците могат да бъдат изключително изобретателни, когато става въпрос за осъществяване на професионални заплахи, но те все още могат да бъдат осуетени. Ключът е да се защитят корпоративните мрежи с подходящи решения, които могат да спрат руткит атаките, преди да е станало твърде късно.

Източник: watchguard.com

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...

С летния сезон фишинг и BEC кампаниите на тема ...

Фишинг кампаниите, насочени към пътуващи, се превърнаха от прости и...
27 май 2023

DarkFrost унищожава гейминг индустрията

Наблюдава се нов ботнет, наречен Dark Frost, който извършва разпред...
Бъдете социални
Още по темата
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
25/05/2023

Справяне с недостига на тал...

  Нуждата от квалифициран персонал за...
19/05/2023

Netflix предупреждава парт...

На хората може да не им...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!