Поиск по сайту:

Как защитить себя от руткитов

Руткиты компрометируют сеть таким образом, что злоумышленники могут вернуться в нее, когда захотят. Они могут эксфильтровать информацию, удалять файлы или внедрять другие вредоносные программы. Вот как оставаться в безопасности.

руткиты

Руткиты — это особенно опасная форма вредоносного ПО. Их очень трудно обнаружить и еще труднее от них избавиться. Кроме того, они дают злоумышленникам огромную власть над вашей системой, включая возможность приходить и уходить, когда им заблагорассудится. Это делает долгосрочное наблюдение и разведку полностью доступными для злоумышленников.

Руткиты не новы. Они существуют с начала 1990-х годов, когда был разработан первый руткит для операционной системы SunOS Unix компании Sun Microsystems. Это отражено в названии. Часть «root» относится к системному администратору в Unix-подобных операционных системах, а часть «kit» описывает набор программных инструментов, необходимых для выполнения эксплойта.

Первым руткитом, разработанным специально для операционной системы Windows, была вредоносная программа под названием NTRootkit. Он был создан исследователем безопасности по имени Грег Хоглунд, чтобы повысить интерес к разработке средств защиты от таких атак.

Недавней инновацией стала разработка руткитов для устройств Интернета вещей (IoT). Отчасти это связано с поразительным распространением устройств IoT. Чем больше целей у злоумышленников, тем они счастливее. Но настоящая причина, по которой киберпреступники считают их такой привлекательной мишенью, заключается в отсутствии надежной защиты — иногда вообще никакой — в большинстве устройств IoT.

Любая точка входа полезна для злоумышленника. Устройства IoT часто имеют самые слабые возможности безопасности среди всех устройств, подключенных к сети. Они имеют выход в Интернет, подключены к сети Wi-Fi организации и почти наверняка не отделены от основной корпоративной сети. Если скомпрометированное устройство IoT не соответствует их потребностям в качестве базы в вашей сети, они могут легко найти и переместиться в другое место, которое лучше соответствует их целям.

Как устанавливаются руткиты

Руткиты не могут самовоспроизводиться, как вирусы и черви. Они должны распространяться с помощью какого-либо другого механизма, такого как атаки на основе социальной инженерии, такие как фишинговые кампании по электронной почте, зараженные веб-сайты или сбросы USB.

Фишинговые кампании рассылают мошеннические электронные письма, которые маскируются под электронные письма из подлинных, надежных источников. Электронные письма тщательно составлены. Они пытаются заставить получателя щелкнуть ссылку или открыть зараженное вложение. Во вложении содержится программа, называемая дроппером. После установки он загружает дополнительную полезную нагрузку — сам руткит — с серверов злоумышленника. В фишинговых письмах без вложений есть ссылки, которые ведут жертву на зараженные веб-сайты. Эти веб-сайты используют незащищенные браузеры для заражения компьютера жертвы.

Падение USB — более целенаправленная атака. Зараженные USB-накопители остаются в местах, где их найдут сотрудники целевой организации. Ключ памяти USB обычно прилагается к набору ключей. Это запускает серию событий, направленных на идентификацию владельца ключей. Конечно, никто не приходит за ними претендовать. Рано или поздно кто-нибудь вставит флешку в компьютер, чтобы найти информацию, идентифицирующую владельца. То, что выглядит как PDF-файлы или другие файлы документов на USB-накопителе, на самом деле является замаскированными программами. Попытка открыть один из них заразит компьютер.

Также можно использовать троянские технологии. Это когда невинное программное приложение переупаковывается злоумышленниками в другой процедуре установки. Установка программного обеспечения проходит, как и ожидалось, но руткит был установлен вместе с приложением. Взломанные и пиратские программы с торрент-сайтов часто являются троянскими программами.

Что делает руткит

Руткиты копают глубоко. Дроппер может скрываться в BIOS или UEFI, поэтому, даже если жесткий диск будет очищен, дроппер просто снова загрузит руткит. Вот как руткиты могут волшебным образом выжить после полного переформатирования жесткого диска или даже замены оборудования и установки нового жесткого диска.

Руткит устанавливается таким образом, что кажется интегрированной и законной частью самой операционной системы. Они могут предотвращать их обнаружение комплектами защиты конечных точек, могут удалять программное обеспечение защиты конечных точек и могут включать методы предотвращения их удаления, даже если они обнаруживаются программным обеспечением защиты конечных точек. Поскольку у него есть привилегии уровня администратора, руткит и, следовательно, злоумышленники могут делать все, что им заблагорассудится.

Злоумышленники особенно любят руткиты из-за скрытого бэкдора, который они им предоставляют. Это как злоумышленник в здании. Если им приходится взламывать замок каждый раз, когда они пытаются получить доступ, их рано или поздно заметят. Но если у них есть свой ключ или они знают код от клавиатуры входа, они могут приходить и уходить по желанию. В 2020 году среднее время от заражения до обнаружения и сдерживания составило более 200 дней. Вот почему руткиты классифицируются как продвинутые постоянные угрозы.

Руткит может выполнять одно из следующих действий:

  • Установить бэкдор. Это позволяет злоумышленникам легко получить повторный доступ к сети.
  • Установить другое вредоносное ПО: руткит может установить дополнительное вредоносное ПО, например программное обеспечение для кейлоггеров. Цель состоит в том, чтобы перехватить учетные данные для аутентификации в онлайн-банкинге, других платежных платформах или других сервисах, в которых заинтересованы киберпреступники. Как только злоумышленники решат, что они выжали из вашей сети как можно больше, они могут прощальный выстрел. Становится все более распространенным, когда сеть подвергается компрометации, а важные или конфиденциальные материалы компании украдены до того, как будет запущена атака программ-вымогателей. Если у жертвы есть надежная схема аварийного восстановления и она отказывается платить выкуп, киберпреступники угрожают опубликовать личные документы.
  • Чтение, копирование, эксфильтрация или удаление файлов. Как только они попадают в вашу сеть, ничто не становится приватным или неизменяемым.
  • Изменение конфигурации системы: руткиты изменяют системные настройки, чтобы скрыться от программного обеспечения для защиты конечных точек и казаться легитимными для других компонентов операционной системы. Он изменит настройки, чтобы предоставить себе самый высокий уровень прав администратора и разрешение на взаимодействие с самым низким уровнем функциональных возможностей операционной системы.
  • Доступ к файлам журналов и их изменение: руткиты вносят изменения в системные журналы, чтобы сделать их обнаружение или исследование невозможным.
  • Регистрация и отслеживание нажатий клавиш. Регистрация нажатий клавиш — это простой и эффективный способ сбора имен пользователей и паролей как для локальных систем, так и для онлайн-систем. В конце концов, все, что вы вводите, проходит через одну и ту же клавиатуру.

Кто стоит за руткитами?

Руткиты представляют собой чрезвычайно сложные фрагменты кода. Создание эффективного руткита выходит за рамки возможностей среднего киберпреступника. Однако руткиты наборы инструментов доступны в Даркнете. Они передают мощь руткитов в руки любого достаточно компетентного программиста. Доказательство концептуального кода, демонстрирующего методы руткита, доступно даже на GitHub.

Чтобы написать руткит с нуля, требуется много ресурсов и первоклассный опыт разработки. Известным источником руткитов являются спонсируемые государством наступательные кибергруппы — APT-группы, работающие от имени своих военных или других агентств. Недавний пример — руткит Drovorub. Агентство национальной безопасности (АНБ) и Федеральное бюро расследований (ФБР) в связи с этим определили российский 85-й главный центр специального обслуживания (ГЦСС), также известный как АПТ28 и Fancy Bear, как группу, стоящую за угрозой.

Типы руткитов

Руткиты можно классифицировать в зависимости от их поведения. Более распространены следующие варианты:

  • Руткиты ядра. Они работают на уровне ядра. Руткит получает все привилегии, предоставленные операционной системе.
  • Руткиты приложений. Они функционируют на уровне приложений. Как правило, они заменяют или модифицируют модули приложений, файлы или код. Это позволяет руткиту и киберпреступникам выдавать себя за обычное разрешенное программное обеспечение.
  • Руткиты памяти. Они работают в оперативной памяти (ОЗУ). Поскольку они работают в оперативной памяти, они не оставляют цифровых следов или подписей файлов на жестком диске.
  • Буткит. Буткит или комплект загрузчика — это руткит, влияющий на загрузчики операционной системы, например на главную загрузочную запись (MBR). Они инициализируются при включении компьютера и до полной загрузки операционной системы. Это делает их удаление чрезвычайно сложным.
  • Библиотечные руткиты. Эти руткиты ведут себя как патч ядра или перехватчик. Они либо блокируют, либо перехватывают и изменяют системные вызовы. Они также могут заменить библиотеки динамической компоновки (DLLS) в системах на базе Windows или библиотеки в Unix-подобных операционных системах.
  • Руткиты встроенного ПО: влияют на встроенное ПО сетевых устройств. Это дает злоумышленникам контроль над устройством. С этого плацдарма злоумышленники могут перейти на другие сетевые устройства и компьютеры.

Обнаружение и удаление

Внезапные необъяснимые сбои или очень низкая производительность могут указывать на то, что у вас есть руткит. Плохо спроектированные руткиты, созданные на основе наборов инструментов для «самосборки», доступных в даркнете, могут внести нестабильность в вашу систему. поскольку руткиты взаимодействуют с ядром и другими модулями операционной системы на самом низком уровне, ошибки в рутките могут легко привести к нестабильности системы.

Общеизвестно, что руткиты трудно обнаружить, потому что они могут так успешно скрываться от комплектов безопасности конечных точек. Некоторые из известных комплектов защиты конечных точек высшего уровня утверждают, что способны обнаруживать некоторые варианты руткитов, и это помогает.

Программное обеспечение безопасности, включающее методы поведенческого анализа, может создать картину правильной работы вашего компьютера и сетевых привычек различных типов ролей, которые имеют ваши пользователи. Отклонение от ожидаемого поведения может указывать на руткит в вашей системе. Следует отметить, что без высокопроизводительных систем обнаружения обычно требуется вмешательство специалиста, чтобы точно определить компрометацию руткита и удалить ее.

  • Программное обеспечение для аудита безопасности использует контрольные отпечатки важных для системы файлов. Программное обеспечение настроено на регулярное сканирование компьютера. Любые различия между файлами на диске и их ссылочными сигнатурами означают, что файлы были изменены или заменены. Эти аномалии помечены для расследования. Этот метод может найти измененные или замененные файлы, исправления ядра, библиотеки DLL и драйверы. Примером инструмента аудита безопасности такого типа является пакет Lynis с открытым исходным кодом с подходящим подключаемым модулем обеспечения целостности файлов.
  • ПО для мониторинга API может отслеживать вызовы и данные, возвращаемые вызовами API. Любое отклонение от ожидаемых норм помечается как подозрительное.

удаление может затянуться. Загрузка в безопасном режиме бесполезна с руткитом. Вам необходимо загрузиться с компакт-диска или DVD-диска, содержащего операционную систему. Это означает, что ваш жесткий диск не участвует в процессе загрузки, а программа-дроппер руткитов не может изменить образ на компакт-диске или DVD-диске.

Часто загружаемая операционная система отличается от той, на которой обычно работает ваша машина. Например, на ПК с Windows вы можете загрузиться с Linux Live CD. Затем вы можете использовать специальное программное обеспечение для поиска руткитов, чтобы определить, где находится дроппер, чтобы его можно было удалить. Жесткий диск следует заменить или полностью стереть и установить заново.

Профилактика — лучшее лекарство

Подавляющее большинство заражений руткитами зависит от человеческого взаимодействия. Возможно, кто-то был обманут фишинговым письмом или решил скачать программное обеспечение с нелегального торрент-сайта. Это означает, что лучший способ улучшить вашу защиту от компрометации с помощью руткитов — это провести обучение по вопросам кибербезопасности для ваших сотрудников и разработать политики и процедуры, которым они должны следовать.

Политика допустимого использования подробно описывает, что считается и что не считается допустимым использованием вычислительных ресурсов вашей организации. Могут ли ваши сотрудники просматривать веб-сайты любого типа во время обеденного перерыва, или некоторые категории веб-сайтов запрещены? Каковы правила, разрешающие им просматривать свою личную веб-почту? если они используют свой офисный рабочий стол для чтения своей личной почты и попадут под фишинговую атаку, то скомпрометирована ваша организация, а не домашний компьютер пользователя.

Политика паролей должна содержать четкие рекомендации по созданию надежных паролей, а также подводные камни, которых следует избегать. Не основывайте пароли на чем-либо, что может быть получено с помощью социальной инженерии, например, на именах детей или датах годовщин. Не используйте повторно пароли в разных системах. Вы должны защищать менеджеры паролей и предоставлять список одобренных для использования. Внедряйте двухфакторную аутентификацию там, где это возможно.

Проведите короткие, острые учебные занятия, описывающие угрозу со стороны вредоносного ПО и фишинговых атак. Атака программы-вымогателя может угрожать финансовой жизнеспособности организации, поэтому уделение внимания кибербезопасности не только защищает бизнес, но и обеспечивает средства к существованию ваших сотрудников. Дайте рекомендации о том, как обнаружить фишинговое письмо и что делать, если оно получено. Создавайте культуру безопасности, в которой ценятся, а не порицаются запросы и двойные проверки, основанные на безопасности.

Вы можете захотеть взаимодействовать с компанией, занимающейся кибербезопасностью, и проводить упражнения по повышению восприимчивости персонала, такие как безобидные фишинговые кампании и сбросы USB-накопителей, чтобы выявить сотрудников, которым требуется дополнительное обучение.

С большинством типов вредоносных программ ваш персонал — это ваши войска на передовой. Вы должны дать им возможность максимально эффективно защищать вашу сеть.