Важные шаги для защиты себя от руткитов

В недавно опубликованном руководстве по руткитам Sygnia перечислены основные субъекты, участвующие в атаках с использованием руткитов, и подробно описано, как руткиты используются в современном шпионаже.

Универсальность и мощь руткитов представляют очевидные преимущества для хакеров. Руткиты могут быть автономным вредоносным ПО или интегрированным в другие вредоносные программы, такие как похитители данных или шпионское ПО. Руткиты также могут работать на самом низком уровне операционной системы (руткиты в режиме ядра), заражать процесс загрузки системы, чтобы получить контроль до загрузки операционной системы (руткиты загрузчика), и даже встраиваться в аппаратное обеспечение устройства (руткиты прошивки).

Руткиты также могут быть руткитами пользовательского режима и руткитами гипервизора. Руткиты гипервизора скрываются в виртуальных средах и виртуальных машинах — чрезвычайно популярной технологии, широко используемой благодаря возможности изоляции.

Важно отслеживать подозрительный сетевой трафик и выполнение процессов

Учитывая возможности руткитов, что должны делать организации, чтобы защитить свои системы от этих уникальных рисков?

Мониторинг сетевого трафика и выполнение процессов могут быть очень похожи на поиск иголки в стоге сена, когда вы не знаете, какую именно иголку ищете, и не представляете, где она может находиться.

К счастью, характер атак с использованием руткитов или кампаний, в которых используются руткиты, даёт нам множество подсказок.

Обычные киберпреступники, мошенники и аферисты, хакеры-активисты и даже синдикаты киберпреступников, использующие программы-вымогатели, не заботятся о руткитах. Их цель — деньги и быстрая незаконная финансовая выгода. Такие киберпреступники используют партизанские методы атаки. Они наносят быстрый и мощный удар и быстро покидают систему, оставляя как можно меньше цифровых следов.

В отличие от них, у хакеров, использующих руткиты, совсем другие цели и план действий. Обычно они принадлежат к группам, связанным с государствами, сотрудничают с ними или связаны с ними. Их главная цель — получить как можно больше информации, проще говоря, заниматься шпионажем.

Кибершпионаж требует настойчивости, способности оставаться незамеченным внутри системы с полным доступом к её ресурсам в течение длительного времени (от нескольких месяцев до нескольких лет).

Как знание всего этого помогает специалистам по безопасности искать руткиты? Группы, занимающиеся программами-вымогателями, и злоумышленники, использующие DDoS-атаки, применяют разные векторы, нацелены на разные ресурсы и выполняют разные процессы, чем те, кто занимается кибершпионажем. Понимание этого помогает специалистам по безопасности выявлять процессы и сигналы, связанные с руткитами.

Где вести мониторинг: где сегодня злоумышленники государств прячут руткиты

Организации должны не только отслеживать трафик и процессы, связанные с кибершпионскими кампаниями, но и знать, где именно искать эту информацию.

Как и большинство современных угроз, руткиты требуют комплексного подхода. Не существует единой технологии или единственного способа действий, которые сами по себе могли бы предотвратить захват системы руткитами. Чтобы организация оставалась на шаг впереди руткитов, создаваемых государствами, она должна разработать комплексные системы для устранения угроз, связанных с руткитами, которые включают в себя несколько компонентов, в том числе планы восстановления.

Обмен разведданными и сотрудничество

В борьбе с продвинутыми постоянными угрозами, такими как руткиты, необходимо сотрудничество на уровне всей отрасли. Обмен информацией, а также публичное раскрытие сведений о продвинутых постоянных угрозах (APT), инструментах и методах приводит к более быстрому выявлению новых угроз и разработке контрмер, которые могут быть быстро распространены в сообществе специалистов по кибербезопасности.

Руткиты никуда не денутся, и ожидается, что их возможности и сфера применения будут только расширяться. По мере того, как организации продолжают бороться с программами-вымогателями, DDoS-атаками и утечками данных, они часто оставляют лазейки или открытые двери, через которые злоумышленники могут внедрять руткиты.

Угрозы кибершпионажа могут существовать в системе годами и представлять огромную ценность для злоумышленников, которые могут использовать эти данные для вымогательства, давления, кражи, проведения новых атак, а также для контроля над системами и ресурсами.