9月26-27日,CCS 2021成都网络安全大会(以下简称“CCS 2021”)在成都市 “中国-欧洲中心”举行,本次大会由四川省互联网信息办公室指导,成都市互联网信息办公室、成都高新区管委会联合主办,该大会是行业知名安全企业共同打造的成都网络安全大会新品牌、新名片,深信服身为国内主要的安全厂商,受邀参与CCS 2021,值得一提的是,深信服蓝军高级威胁攻防研究专家肖秋平和马柔忍还在CCS 2021新型网络违法犯罪打击防范分论坛中,进行了主题为《Rootkit攻防原理与取证技术》的分享,分析了Rootkit的技术原理和取证的方法思路。
文章插图
为隐藏攻击“线索”而生的Rootkit有多强大?什么是Rootkit?在情节跌宕起伏的谍战片里,总有一个角色牵动着大家的心弦,你可以叫他间谍,也可以叫他卧底,他必须很好地伪装自己,避免过早暴露,才能获取重要情报并回传信息。从某种意义上来说,Rootkit就是“间谍”隐藏自己时使用的技术,犹如一件隐身衣,其可以帮助“间谍”持久且无法被察觉地驻留在目标计算机中,对系统进行操纵、并通过隐秘渠道收集数据。
文章插图
深信服蓝军高级威胁攻防研究专家马柔忍
马柔忍在《Rootkit攻防原理与取证技术》的分享中提到,Rootkit攻击的技术栈主要分为用户层、内核层等,相对而言,用户层的Rootkit 编写更加简单,受版本的限制会更小,不会因为版本不兼容或者其它错误导致系统崩溃,但它所能达到的效果也更弱,检测起来相对简单,比如通过完整性校验或基于签名的解决方案能有效地检测出文件替换或修改,通过环境变量和配置文件可检测对动态链接库的利用;而内核层的Rootkit处于系统更底层,且拥有更多的技巧来隐藏其攻击痕迹,所以更难以被发现。
由于Rootkit是业内公认的最难检测的隐藏手段,因此其经常被攻击者使用在高质量的APT攻击中。APT攻击往往具有较强的持续性,这需要建立在不被发现的基础之上,攻击者可以通过Rootkit在目标网络中潜伏几个月甚至几年之久,长期监控窃取庞大的情报数据。
文章插图
【 rootkit|如何挖掘通过Rootkit进行犯罪活动的证据? 深信服蓝军攻防专家在CCS 2021中给出了答案】攻击者成功侵入某系统后,往往需要植入一个持久化的后门,如果目标是一个企业,其组织架构、人员信息、薪资结构,客户资料以及战略规划等信息可能会被攻击者获取,这些信息的泄露可能会对企业造成毁灭性的打击;如果目标是医疗机构、教育机构等,攻击者可以通过窃取到的敏感信息进行数据倒卖和精准诈骗;更严重的是,如果恶意程序长期潜伏在某些关键基础设施当中,并在某个特定的时间被启动,将会造成电力、交通、能源、金融系统设施的瘫痪……
攻击者的这些行为给国家关键基础设施和人民的信息财产安全造成了非常严重的安全威胁,越晚发现这些被植入的后门,攻击者可以获得的数据就越庞大,而Rootkit又专为隐藏“后门”而生,这对网络安全提出了巨大的挑战。
由于攻击者经常利用Rootkit秘密地实施入侵,窃取敏感信息,因此Rootkit在业内经常会被当成恶意软件,但马柔忍认为,从技术视角,Rootkit并无正邪之分,攻击者可以利用Rootkit秘密地实施入侵,窃取敏感信息,防御者也可以利用Rootkit进行实时监控,搜集证据。
如何挖掘通过Rootkit进行犯罪活动的证据?武器不分好坏,只是看被谁利用,在攻击者利用Rootkit谋坏事之际,防守方也可以利用Rootkit发现攻击者的蛛丝马迹。
文章插图
深信服蓝军高级威胁攻防研究专家肖秋平
肖秋平表示,从防守方的角度出发,主要可以通过内存、网络流量和磁盘文件三个维度对Rootkit进行取证。
内存取证:内存取证的对象是系统在运行时保存在内存中的数据,将运行系统的物理内存中的数据保存到固定的存储介质上,从而达到把易失性的内存数据转化成非易失性的文件。
网络流量取证:网络流量取证是抓取、记录和分析网络流量以发现安全攻击或其他的问题事件的来源,通过流量取证可以获取攻击者的流量特征及其使用的网络基础设施。
磁盘文件取证:磁盘文件取证的对象是保存在存储介质(硬盘)中的数据,通过分析硬盘中的文件,以发现与安全事件相关的异常文件。
- 抖音|抖音如何获取更多流量?一文读懂直播自然流量提升技巧
- 东芝|如何分辨手机配置的“好坏”?认清这四点,你也能成为行家
- iqoo neo|一部手机可以用多久?来看下iQOO次旗舰是如何解答的
- 人机|人机融合时代,中国机器人如何弯道超车
- 显卡|显卡和处理器如何组合?
- 小米科技|别吵!理性分析:i5-12600K和锐龙7 5800X该如何选择呢?
- 目标|目标用户从哪来?
- 骁龙870|骁龙778G和骁龙870的差距究竟有多大?作为消费者应该如何选择?
- 芯片|算力的阿克琉斯之踵,阿里达摩院如何破局?
- 机器|工业触摸屏一旦出现了失灵,我们要如何处理你知道吗?