您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

需要了解的一项攻击技术-高隐匿、高持久化威胁

时间:2022-02-22 13:41:42  来源:  作者:IT野涵
「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

一、介绍

本文首先从Rootkit的生存期可达成的效果,以及运用这项技术展开攻击的可行性windows Rootkit现状分析四个角度展开讨论,并结合历史攻击事件,分析掌握这项技术的APT组织所关注的目标群体可能造成的影响,最后总结Rootkit在不同层次攻击活动中所处的地位

二、“低调”的Windows Rootkit

当你听到Rootkit时,你的第一反应是什么,高难度、高隐藏?是的,近年来,随着Windows安全机制的不断完善,往Windows系统中植入一个Rootkit的技术门槛也被不断拔高。可就算Rootkit在所有安全产品检出的恶意软件中占比率极低,也并不代表它带来的威胁就可以忽略,恰恰相反,Rootkit的高门槛使其更多地被运用在更高质量的攻击活动中,从这一角度来看,每一个客户场景出现的Rootkit背后都可能隐藏着长期的攻击活动

对于攻击者来说,高投入的同时也意味着高收益,开发一款Rootkit不算简单,但发现一个Rootkit同样不简单,一个普通恶意样本的生存期可能在投入使用时便结束了,而一个Rootkit的生存期可以长达数年,甚至更久

从Vista开始Windows会对加载的驱动进行签名验证,这使得攻击者的植入成本变高,而PatchGuard也增加了攻击者对系统内核篡改的成本。基于此,Windows Rootkit在野的声音仿佛小了许多,我们对它的关注度也在降低,但它带来的威胁真的就可以忽视了吗?还是说更应该理解为“小声音,高威胁”。

从下图我们可以看出,无论Windows Rootkit在野声音有多小,它都未曾消失过

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

三、从生存期看Windows Rootkit

【安全学习文档】可私信我领取

让我们把APT攻击的阶段简化,在初始打点阶段攻击者可能会采用漏洞利用或钓鱼攻击,毫无疑问,近几年也是钓鱼攻击大行其道地几年。

以文档钓鱼为例,收到的钓鱼邮件可能会像这样

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

当然,我们也可能收到伪装成文档的PE文件

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

它也有可能长成这样

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 


「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

尽管形式还算多样,但细心的你一定已经发现了,它们或多或少都存在着一些可识别的特征,在经历过钓鱼的反复洗礼后,甚至会有部分人不管什么邮件都直接丢VT跑一圈(当然这样做不好,毕竟误传敏感文件还是比较严重的),这些特征让攻击活动变得非常容易暴露。

在假定攻击活动已经进行到权限维持之后,我们也会排查到下述类似情况

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 


「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

当然,这样做会显得有些过于直接,攻击者可能会采用更为复杂的手法,比如DLL劫持,一方面避免了持久化的痕迹,另一方面在免杀上也取得了一定效果,但我们仍然可以观测到

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

这样来看,发现一个异常也不算太难,对吧,毕竟攻击者在每个环节都或多或少地留下了一些痕迹,无论我们哪个环节捕获到了威胁,都可以向前和向后反溯,还原攻击链路。但由于真实环境足够复杂,也不是所有人员都具备安全知识和安全意识,导致攻击活动通常也能成功,甚至持续很长时间不被发现。但至少,当你感知到它可能存在威胁时,还是能比较容易地发现它。

那么,这样的威胁我们还是可以称之为“摆在明面上”的威胁,你只需要更加耐心和细心地将它们找出来,而随着安全体系建设地逐渐完整和全员安全意识地不断提高,此类攻击的生存期也会不断缩短

回过头来,我们再看一看Windows Rootkit,历史上APT组织Strider曾利用一款名为Remsec的恶意软件对多个国家,包括政府机构在内的系统进行了长达五年之久的监控

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

其实这里少说了一个词“至少”,该Rootkit帮助攻击者完成了至少长达五年的攻击活动,这期间包括俄罗斯、伊朗、卢旺达、中国、瑞典、比利时在内的多个国家的政府机构、科学研究中心、军事组织、电信提供商和金融机构都有被感染。

且该Rootkit的功能非常完善,具有密码窃取、键盘记录、后门控制等多种功能,试想这样一个恶意软件对上述目标进行着长达至少五年的监控,是否足够让人警惕呢?

Remsec被发现之时,研究员们对它的评价是“一种几乎不可能被检测到的恶意软件”,而这也是一直以来大家对Rootkit的认识,这一点是否非常值得我们深思呢,究竟是Windows Rootkit慢慢销声匿迹了,还是受限于能力不足导致其检出率如此之低,而生存期又如此之长呢?

其实对于攻击者来说,打点技巧是多种多样的,并不一定要选择像钓鱼这样会留下明显痕迹的技巧,对于那些使用未知技巧,甚至是0day进行攻击的活动,我们想要在打点阶段捕获它们的可能性较低,这种情况下,捕获攻击者在后门植入、持久化等阶段留下的痕迹,并基于此反溯,还原攻击链路会是一个不错的选择,而Rootkit会把这些痕迹通通隐藏,让我们的命中难度剧增。下图显示了近年来在野0day数量

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

四、从达成效果看Windows Rootkit

那么Rootkit究竟能达成什么样的效果呢?

以一个操作图形接口的Rootkit为例,它在任务管理器中隐藏了calc.exe

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

换句话说,Rootkit可以把攻击者不想让你发现的攻击痕迹进行隐藏,比如我们在进程异常排查中,会关注那些有着异常通信或是可疑模块加载的进程。

以白加黑技术为例,该技术虽然能在免杀上取得良好效果,但如果同时存在异常通信和可疑模块(未签名的dll),我们就还是能较为容易地定位到异常点。

而通过一些简单的技巧,就可以在一定程度上对白加黑利用中的恶意dll进行隐藏

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

.

而Rootkit能达成的隐藏效果,会远胜于上图情况,当使用Rootkit从分析工具中彻底隐去这些异常点时,你还能快速地判定该进程有问题吗?

当然,此处仅是过滤了异常模块,这也只是Rootkit能做到的一小部分,除此以外,服务、端口、流量等也都可以通过Rootkit进行操作,那么你想看到什么,攻击者就可以让你看到什么,“摆在明面上”的威胁就转变成了“隐藏在暗地里”的威胁,想在主机上发现异常就会变得极其困难。

五、从可行性来看Windows Rootkit

前面的内容提到,Windows引入了两大安全机制来对抗Rootkit,分别是签名验证和PatchGuard,我们将针对这两个点分别展开讨论。

1. 签名验证

关于这部分内容,国外安全研究员Bill Demirkapi在Black Hat 2021的议题《Demystifying Modern Windows Rootkits》中给出了答案,相应的解决方案分别为直接购买滥用泄露证书寻找“0day”驱动

1.1 购买证书

这种方式其实没什么好说的,攻击者唯一需要考虑的问题,就是购买渠道是否足够可靠,是否存在身份暴露的风险。

1.2 滥用泄露证书

从可行性上来说,Windows根本不关心证书是否已经过期或者已经被吊销,通过泄露的证书,攻击者就可以生成在任意Windows版本下都有效的驱动签名

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

由于不需要购买证书,在降低成本的同时也避免了因购买渠道不可靠而暴露身份的风险,此外,通过这种方式进行植入所需的前置条件也不算多,与挖掘“0day”驱动的方式相比,技术难度降低很多,当然,掌握了泄露证书的情报后,相关安全厂商可以针对此类Rootkit进行查杀拦截

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

下图是收集到的一些历史泄露证书,从此图可以看出泄露的情报并不少见

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

1.3 “0day”驱动利用

从可行性来说,一定存在着可被利用的“0day”驱动,而历史上,就曾有知名的APT组织利用具有合法签名驱动程序来进行恶意驱动的加载,该组织是俄罗斯APT黑客组织Turla,它利用的合法驱动为VirtualBox,下文是对该利用过程的描述

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

2. PatchGuard

网上有着包含win7、win10在内的不少开源项目,攻击者可通过集成这些项目绕过PatchGuard,往内核中植入恶意代码,实现Rootkit功能

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 


「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

六、从现状来看Windows Rootkit

当我们尝试在VT上进行Hunting,会发现无效证书的利用非常普遍

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

其实,就算你遇到一个有着合法签名的Rootkit也不算什么新鲜事了

「网络安全员」需要了解的一项攻击技术-高隐匿、高持久化威胁

 

回过头来单看2021,Windows Rootkit攻击更多地集中在游戏行业(我想,这也是它们相对而言较快暴露的一个原因,传播量变大的同时,也遭受了更多的关注),但当Rootkit调转枪头对准更高价值的目标时,当它们的目的不再是简单地获利时,当它们的动静更小隐藏更具针对性时,我们是否做好应对准备了呢?毕竟从技术角度而言,APT组织又有什么理由拒绝Rootkit呢?

值得注意的是,当APT组织拿起Rootkit这个武器时,它们枪头要对准的将会是包括政府、军事在内的各种重要组织机构,它们的目的将不再是简单地获利,而是对目标地长期监控重要情报的窃取,这一点从历史APT运用Rootkit进行的攻击事件中不难发现。

七、总结

基于社工和钓鱼结合的攻击活动虽能以较小的成本拿下目标,但留下的明显痕迹会导致其生存期骤减,很容易在打点阶段就暴露,而通过其它未知渠道打点后,借助合法进程、机制完成恶意活动(如Lazarus对Get-MpPreference的利用),或通过白加黑(如dll劫持,LOLBINS)等方式进行后门安置和权限维持等,虽然在免杀层面有着不错的效果,却不能很好地隐匿攻击痕迹

Rootkit更多地对应在后门安置、持久化阶段,掌握这项技术的攻击者也会有着更高的技术水平,他们或许会更青睐于一些高级的打点技巧,以降低每个环节被捕获的可能性,当然,越高价值的目标越会吸引更高成本的投入,我们想要从容应对也就更加困难,而事实上,是否有APT组织正利用着此技术进行攻击活动也尚未可知。



Tags:攻击技术   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
网络攻击技术简介
2003年SQL slammer蠕虫10分钟内感染了10万台以上未打补丁的SQL实例(instance,内存结构和一组后台进程)。这是网络蠕虫快速感染的一个历史性事件。蠕虫往往需要耗费多年才会完全...【详细内容】
2022-08-15  Search: 攻击技术  点击:(529)  评论:(0)  加入收藏
需要了解的一项攻击技术-高隐匿、高持久化威胁
一、介绍本文首先从Rootkit的生存期、可达成的效果,以及运用这项技术展开攻击的可行性和Windows Rootkit现状分析四个角度展开讨论,并结合历史攻击事件,分析掌握这项技术的APT...【详细内容】
2022-02-22  Search: 攻击技术  点击:(308)  评论:(0)  加入收藏
看看有哪些 Web 攻击技术
阅读目录 一、前言 二、主动攻击 三、被动攻击 四、我们能做什么?回到顶部一、前言HTTP 协议具有无状态、不连接、尽最大努力的特点,对于 Web 网站的攻击基本也是针对 HTTP 协...【详细内容】
2020-07-02  Search: 攻击技术  点击:(435)  评论:(0)  加入收藏
网络攻击技术
1.网络攻击技术概述常见网络攻击技术,网络嗅探技术、缓冲区溢出技术、拒绝服务攻击技术、IP欺骗技术、密码攻击技术等。常见的网络攻击工具,安全扫描工具、监听工具、口令破译...【详细内容】
2020-06-28  Search: 攻击技术  点击:(1840)  评论:(0)  加入收藏
7大云攻击技术值得警惕
随着越来越多的企业组织将业务迁移到云计算环境之中,针对他们的网络犯罪分子也随之将目光瞄准云计算环境。了解最新的云攻击技术可以帮助企业组织更好地应对即将到来的威胁。...【详细内容】
2020-05-04  Search: 攻击技术  点击:(488)  评论:(0)  加入收藏
揭秘攻击者针对WordPress站点使用的攻击技术及防护建议
前言WordPress是一个知名的开源内容管理系统(CMS),用于创建网站和个人博客。根据预计,目前有35%的网站使用这一知名CMS,如此之大的比例也使其成为了威胁参与者的理想目标。WordP...【详细内容】
2020-01-03  Search: 攻击技术  点击:(351)  评论:(0)  加入收藏
新的DDoS攻击手法来袭:TCP反射攻击技术分析
我们常听说UDP反射攻击,那你听说过TCP反射攻击吗?我们对TCP三次握手谙熟于心,但你确定服务器收到SYN包之后一定返回SYN/ACK吗?现网的DDoS对抗中,基于TCP协议的反射攻击手法已经悄...【详细内容】
2019-05-13  Search: 攻击技术  点击:(1697)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(5)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(56)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(140)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(85)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(143)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(163)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(224)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条