Rootkits äventyrar ett nätverk på ett sätt som låter hotaktörerna komma in igen när de vill. De kan exfiltrera information, radera filer eller plantera annan skadlig kod. Så här är du säker.
Rootkits
Rootkits är en särskilt skadlig form av skadlig kod. De är mycket svåra att upptäcka och ännu svårare att bli av med. Utöver det ger de hotaktören enorm makt över ditt system inklusive möjligheten att komma och gå som de vill. Detta sätter långsiktig observation och rekognosering fullt ut inom hotaktörerna ’ fatta.
Rootkits är inte nya. De har funnits sedan början av 1990 -talet då den första rootkiten utvecklades för Sun Microsystems ’ SunOS Unix -operativsystem. Detta återspeglas i namnet. “ roten ” del hänvisar till systemadministratören på Unix-liknande operativsystem och “ -satsen ” del beskriver samlingen av mjukvaruverktyg som krävs för att utnyttja utnyttjandet.
Den första rootkiten som utformats speciellt för Windows -operativsystemet var en skadlig kod som kallas NTRootkit. Det skapades av en säkerhetsforskare vid namn Greg Hoglund för att främja intresset för att utveckla försvar mot sådana attacker.
En ny innovation har varit utvecklingen av rootkits för Internet of Things (IoT) -enheter. Detta beror delvis på den häpnadsväckande spridningen av IoT -enheter. Ju fler mål hotaktörerna har, desto lyckligare är de. Men den verkliga anledningen till att cyberkriminella finner dem ett så attraktivt mål är avsaknaden av robust säkerhet — ibland någon säkerhet alls — i majoriteten av IoT -saker.
Annonsering
Varje ingångspunkt är användbar för en hotaktör. IoT -enheter har ofta de svagaste säkerhetsmöjligheterna för alla enheter som är anslutna till ett nätverk. De vetter mot internet, är anslutna till organisationens Wi-Fi och är nästan säkert inte segmenterade från det huvudsakliga företagsnätverket. Om den komprometterade IoT-enheten inte passar deras behov som bas i ditt nätverk kan de enkelt hitta och flytta till en annan plats som bättre passar deras syfte.
Hur Rootkits installeras
Rootkits kan inte replikera sig själv som virus och maskar. De måste distribueras med någon annan mekanism, till exempel angreppsbaserade attacker som phishing-e-postkampanjer, infekterade webbplatser eller USB-droppar.
Phishing -kampanjer skickar ut bedrägliga e -postmeddelanden som framstår som e -postmeddelanden från äkta, pålitliga källor. Mejlen är noggrant formulerade. De försöker tvinga mottagaren till att klicka på en länk eller öppna en infekterad bilaga. Bilagan innehåller en mjukvara som kallas dropper. När detta är installerat laddar det ner ytterligare nyttolast — rootkiten själv från hotaktörens servrar. Phishing -e -postmeddelanden utan bilagor innehåller länkar som tar offret till infekterade webbplatser. Dessa webbplatser utnyttjar opatchade webbläsare för att infektera offrets dator.
En USB -droppe är en mer riktad attack. Infekterade USB -minnesnycklar finns kvar på platser där de kommer att hittas av personal i den riktade organisationen. USB -minnesnyckeln är vanligtvis ansluten till en uppsättning nycklar. Detta startar en serie händelser som syftar till att identifiera ägaren till nycklarna. Naturligtvis kommer ingen fram för att göra anspråk på dem. Förr eller senare kommer någon att sätta in USB -minnesnyckeln i en dator för att leta efter information som identifierar ägaren. Det som verkar vara PDF -filer eller andra dokumentfiler på USB -minnesnyckeln är faktiskt maskerade program. Att försöka öppna en av dem infekterar datorn.
Trojanska tekniker kan också användas. Det är här en oskyldig programvara ompaketeras av hotaktörerna i en annan installationsrutin. Installationen av programvaran verkar fortsätta som förväntat men rootkiten har installerats tillsammans med programmet. Sprucken och piratkopierad programvara från torrentsajter är ofta trojaner.
Vad en Rootkit gör
Rootkits gräver djupt. Dropparen kan gömma sig i BIOS eller UEFI, så även om hårddisken torkas hämtar dropparen helt enkelt rootkiten igen. Så här kan rootkits på ett magiskt sätt överleva genom att helt omformatera hårddisken eller till och med byta ut hårdvaran och installera en helt ny hårddisk.
Annonsering
En rootkit installerar sig själv på ett sådant sätt att det verkar vara en integrerad och legitim del av själva operativsystemet. De kan förhindra upptäckt av slutpunktsskyddssviter, kan ta bort slutpunktsskyddsprogramvara och kan inkludera tekniker för att förhindra borttagning även om de upptäcks av program för slutpunktsskydd. Eftersom det har administratörsnivåer har en rootkit — och därför kan hotaktörerna göra vad de vill.
Hotaktörer gillar särskilt rootkits på grund av den privata bakdörren det ger dem. Det är som en inkräktare i en byggnad. Om de måste välja låset varje gång de försöker få åtkomst kommer de att upptäckas förr eller senare. Men om de har sin egen nyckel eller om de känner till koden för dörrens knappsats kan de komma och gå efter behag. År 2020 var medeltiden från infektion till upptäckt och inneslutning över 200 dagar. Det är därför rootkits klassas som avancerade ihållande hot.
En rootkit kan göra något av följande:
- Installera en bakdörr : Detta tillåter hotaktörerna att få enkel återkommande åtkomst till nätverket.
- Installera annan skadlig programvara : Rootkit kan installera ytterligare skadlig kod, till exempel keylogging -programvara. Syftet är att få autentiseringsuppgifter till nätbank, andra betalningsplattformar eller andra tjänster som cyberbrottslingar är intresserade av. När hotaktörerna har bestämt att de har mjölkat så mycket ur ditt nätverk som de kan kan de installera ransomware som deras avskott. Det blir allt vanligare att ett nätverk äventyras och känsligt eller företagets konfidentiella material exfiltreras innan ransomware -attacken utlöses. Om offret har ett robust system för katastrofåterställning och vägrar att betala lösensumman hotar cyberbrottslingar att offentliggöra de privata dokumenten.
- Läs, kopiera, exfiltrera eller ta bort filer : När de väl finns i ditt nätverk är ingenting privat eller oföränderligt.
- Ändra systemkonfigurationer : Rootkits kommer att ändra systeminställningar för att dölja från slutpunktsskyddsprogramvara och visas legitima för andra komponenter i operativsystemet. Det kommer att ändra inställningar för att ge sig själv den högsta administrationsrätten och behörighet att interagera med den lägsta nivån av operativsystemets funktionalitet.
- Få åtkomst till och ändra loggfiler : Rootkits kommer att ändra systemet loggar för att göra deras upptäckt eller utredning omöjligt.
- Logga och övervaka tangenttryckningar : Logga knapptryckningar är ett enkelt och effektivt sätt att fånga användarnamn och lösenord, både för lokala system och onlinesystem. Allt du skriver går ju igenom samma tangentbord.
Vem ligger bakom Rootkits?
Rootkits är extremt sofistikerade kodbitar. Skapandet av ett effektivt rootkit ligger utanför den genomsnittliga cyberbrottslingens möjligheter. Men rootkit -verktygssatser är tillgängliga på Dark Web. Dessa lägger kraften i rootkits i händerna på alla rimligt kompetenta programmerare. Bevis på konceptkod som demonstrerar rootkit -tekniker finns till och med tillgängligt på GitHub.
Att skriva en rootkit från grunden kräver mycket resurser och utvecklingskompetens på högsta nivå. Statligt sponsrade offensiva cybergrupper — APT-grupper som arbetar på uppdrag av sina militärer eller andra organ är en känd källa till rootkits. Ett nytt exempel är Drovorub rootkit. National Security Agency (NSA) och Federal Bureau of Investigation (FBI) tillskrivning för detta har identifierat det ryska 85: e Main Special Service Center (GTsSS) — även känt som APT28 och Fancy Bear — som gruppen bakom hotet.
Typer av Rootkits
Rootkits kan klassificeras enligt några av deras beteenden. De vanligaste varianterna är:
- Kärnrotkit : Dessa fungerar på kärnnivå. Rootkiten får alla rättigheter som tilldelas operativsystemet.
- Program rootkits : Dessa fungerar på applikationsnivå. Vanligtvis ersätter eller ändrar de applikationsmoduler, filer eller kod. Detta gör det möjligt för rootkit och cyberkriminella att ställa upp som normal, tillåten programvara.
- Memory rootkits : Dessa fungerar i Random-Access Memory (RAM). Eftersom de körs med RAM -minne lämnar de inga digitala fotspår eller filsignaturer på hårddisken.
- Bootkit : En bootkit — eller bootloader kit — är en rootkit som påverkar operativsystemets startlastare, t.ex. Master Boot Record (MBR). Dessa initieras medan datorn startar och innan operativsystemet är fullt laddat. Detta gör deras borttagning extremt svår.
- Library rootkits : Dessa rootkits beter sig som en kärnplåster eller krok. De antingen blockerar eller avlyssnar och ändrar systemanrop. De kan också ersätta Dynamic Link Libraries (DLLS) i Windows-baserade system eller bibliotek i Unix-liknande operativsystem.
- Firmware rootkits : Dessa påverkar firmware på nätverksenheter. Detta ger hotaktörerna ’ kontroll av enheten. Från detta fotfäste kan hotaktörerna flytta till andra nätverksenheter och datorer.
Detection and Removal
Plötsliga oförklarliga kraschar eller mycket dålig prestanda kan indikera att du har en rootkit. Dåligt konstruerade rootkits byggda på “ självmonteringen ” verktygssatser som finns tillgängliga på Dark Web kan införa instabilitet i ditt system. eftersom rootkits samverkar med kärnan och andra moduler i operativsystemet på lägsta nivå kan buggar i rootkiten lätt leda till systeminstabilitet.
Annonsering
Rootkits är notoriskt svåra att upptäcka eftersom de kan gömma sig så framgångsrikt från slutpunktsäkerhetssviter. Några av de bästa slutpunktsskyddssviterna med stort namn hävdar att de kan upptäcka några rootkit-varianter, vilket är en hjälp.
Säkerhetsprogramvara som innehåller beteendeanalystekniker kan bygga upp en bild av hur din dator fungerar korrekt och nätverksvanorna för de olika typerna av roller som dina användare har. Avvikelse från förväntat beteende kan vara en indikation på en rootkit på ditt system. Det bör noteras att utan avancerade detektionssystem kräver det vanligtvis specialistinsatser för att positivt identifiera en rootkit-kompromiss och att du tar bort dem.
- Säkerhetsgranskningsprogram tar referensfingeravtryck av systemkritiska filer. Programvaran är konfigurerad för att skanna din dator regelbundet. Eventuella skillnader mellan hårddiskfilerna och deras referenssignaturer innebär att filerna har ändrats eller bytts ut. Dessa avvikelser flaggas ut för utredning. Denna teknik kan hitta modifierade eller ersatta filer, kärnkorrigeringar, DLL -filer och drivrutiner. Ett exempel på den här typen av säkerhetsgranskningsverktyg är Lynis-paketet med öppen källkod med ett lämpligt plugin-program för filintegritet.
- API-övervakningsprogram kan spåra samtal och data som returneras från API-samtal. Varje avvikelse från de förväntade normerna flaggas som misstänkt.
borttagning kan vara en långvarig affär. Att starta upp i säkert läge gör inget nytta med en rootkit. Du måste starta från en CD eller DVD som innehåller ett operativsystem. Det betyder att din hårddisk inte är involverad i startprocessen och att rootkit dropper -programvaran inte kan ändra bilden på CD: n eller DVD: n.
Ofta är inte operativsystemet som startas upp detsamma som det som din maskin normalt kör. På en Windows -dator kan du till exempel starta från en Linux Live CD. Du kan sedan använda specialiserad rootkit -jaktprogramvara för att identifiera var dropparen finns så att den kan tas bort. Hårddisken bör bytas ut eller raderas helt och installeras igen.
Prevention is the best Cure
De allra flesta rootkit -infektioner beror på mänsklig interaktion. Kanske har någon blivit lurad av ett nätfiske -e -postmeddelande eller beslutat att ladda ner programvara från en olaglig torrentwebbplats. Detta innebär att det bästa sättet att förbättra ditt försvar mot kompromisser med rootkits är att erbjuda din personal information om cybersäkerhet och att ha policyer och rutiner för dem att följa.
En policy för acceptabel användning beskriver vad som är oacceptabelt användande av organisationens datorresurser. Kan dina anställda bläddra till någon typ av webbplats under lunchpausen, eller är vissa kategorier av webbplatser förbjudna? Vilka regler gäller för att de ska kunna se sin personliga webbmail? om de använder kontorsskrivbordet för att läsa sina personliga e -postmeddelanden och faller för en nätfiskeattack är det din organisation som äventyras inte användarens inhemska dator.
Annonsering
En lösenordspolicy måste innehålla tydlig vägledning för konstruktion av robusta lösenord, samt de fallgropar som ska undvikas. Basera inte lösenord på något som kan utformas socialt, till exempel barns namn eller jubileumsdatum. Återanvänd inte lösenord på olika system. Du bör förespråka lösenordshanterare och ge en lista över vilka som är godkända för användning. Implementera tvåfaktorsautentisering där du kan.
Genomför korta, skarpa träningspass som beskriver hotet från skadlig kod och nätfiskeattacker. En ransomware -attack kan hota organisationens ekonomiska livskraft, så att uppmärksamma cybersäkerhet skyddar inte bara det företag det skyddar dina anställda ’ försörjning. Ge vägledning om hur du upptäcker ett nätfiske -e -postmeddelande och vad du ska göra om de får ett. Främja en säkerhetsinriktad kultur där säkerhetsbaserade förfrågningar och dubbelkontroller värderas, utan att man bryr sig om dem.
Du kanske vill engagera dig i ett cybersäkerhetsföretag och utföra personalmottagningsövningar som godartade nätfiske-kampanjer och USB-droppar för att identifiera personal som kräver efterutbildning.
Med de flesta typer av skadlig kod är din personal dina trupper i frontlinjen. Du bör ge dem möjlighet att vara det mest effektiva de kan för att skydda ditt nätverk.
RELATERAT: Varför din personal är din svaga länk till cybersäkerhet