【Rootkit 系列研究】Windows平台的高隐匿、高持久化威胁

从西方APT组织的攻击历史及曾经泄露的网络武器看，高躲藏、高耐久化(Low&Slow)是其关键特征，而 Rootkit 则是达成此目的的重要技术之一。

在上一篇文章“【Rootkit 系列研讨】序章：悬顶的达摩克利斯之剑”里，我们引见了Rootkit的技术开展进程、Rootkit背后的影子以及 Rootkit 检测根本思想。本文首先从Rootkit的生存期、可达成的效果，以及运用这项技术展开攻击的可行性和Windows Rootkit现状剖析四个角度展开讨论，并分离历史攻击事情，剖析控制这项技术的APT组织所关注的目的群体和可能形成的影响，最后总结Rootkit在不同层次攻击活动中所处的位置。

1. “低调”的Windows Rootkit

当你听到Rootkit时，你的第一反响是什么，高难度、高躲藏？是的，近年来，随着Windows平安机制的不时完善，往Windows系统中植入一个Rootkit的技术门槛也被不时拔高。可就算Rootkit在一切平安产品检出的歹意软件中占比率极低，也并不代表它带来的要挟就能够疏忽，恰恰相反，Rootkit的高门槛使其更多地被运用在更高质量的攻击活动中，从这一角度来看，每一个客户场景呈现的Rootkit背后都可能躲藏着长期的攻击活动。

关于攻击者来说，高投入的同时也意味着高收益，开发一款Rootkit不算简单，但发现一个Rootkit同样不简单，一个普通歹意样本的生存期可能在投入运用时便完毕了，而一个Rootkit的生存期能够长达数年，以至更久。

从Vista开端Windows会对加载的驱动停止签名考证，这使得攻击者的植入本钱变高，而PatchGuard也增加了攻击者对系统内核窜改的本钱。基于此，Windows Rootkit在野的声音似乎小了许多，我们对它的关注度也在降低，但它带来的要挟真的就能够无视了吗？还是说更应该了解为“小声音，高要挟”。

从下图我们能够看出，无论Windows Rootkit在野声音有多小，它都不曾消逝过

2. 从生存期看Windows Rootkit

让我们把APT攻击的阶段简化，在初始打点阶段攻击者可能会采用破绽应用或钓鱼攻击，毫无疑问，近几年也是钓鱼攻击大行其道地几年。

以文档钓鱼为例，收到的钓鱼邮件可能会像这样

当然，我们也可能收到假装成文档的PE文件

它也有可能长这样

虽然方式还算多样，但仔细的你一定曾经发现了，它们或多或少都存在着一些可辨认的特征，在阅历过钓鱼的重复洗礼后，以至会有局部人不论什么邮件都直接丢VT跑一圈（当然这样做不好，毕竟误传敏感文件还是比拟严重的），这些特征让攻击活动变得十分容易暴露。

再假定攻击活动曾经停止到权限维持之后，我们也会排查到下述相似状况

当然，这样做会显得有些过于直接，攻击者可能会采用更为复杂的手法，比方DLL劫持，一方面防止了耐久化的痕迹，另一方面在免杀上也获得了一定效果，但我们依然能够观测到

这样来看，发现一个异常也不算太难，对吧，毕竟攻击者在每个环节都或多或少地留下了一些痕迹，无论我们哪个环节捕获到了要挟，都能够向前和向后反溯，复原攻击链路。但由于真实环境足够复杂，也不是一切人员都具备平安学问和平安认识，招致攻击活动通常也能胜利，以至持续很长时间不被发现。但至少，当你感知到它可能存在要挟时，还是能比拟容易地发现它。

那么，这样的要挟我们还是能够称之为“摆在明面上”的要挟，你只需求愈加耐烦和仔细地将它们找出来，而随着平安体系建立地逐步完好和全员平安认识地不时进步，此类攻击的生存期也会不时缩短。

回过头来，我们再看一看Windows Rootkit，历史上APT组织Strider曾应用一款名为Remsec的歹意软件对多个国度，包括政府机构在内的系统停止了长达五年之久的监控

其实这里少说了一个词“至少”，该Rootkit协助攻击者完成了至少长达五年的攻击活动，这期间包括俄罗斯、伊朗、卢旺达、中国、瑞典、比利时在内的多个国度的政府机构、科学研讨中心、军事组织、电信提供商和金融机构都有被感染。

且该Rootkit的功用十分完善，具有密码窃取、键盘记载、后门控制等多种功用，试想这样一个歹意软件对上述目的停止着长达至少五年的监控，能否足够让人警觉呢？

Remsec被发现之时，研讨员们对它的评价是“一种简直不可能被检测到的歹意软件”，而这也是不断以来大家对Rootkit的认识，这一点能否十分值得我们深思呢，终究是Windows Rootkit渐渐偃旗息鼓了，还是受限于才能缺乏招致其检出率如此之低，而生存期又如此之长呢？

其实关于攻击者来说，打点技巧是多种多样的，并不一定要选择像钓鱼这样会留下明显痕迹的技巧，关于那些运用未知技巧，以至是0day停止攻击的活动，我们想要在打点阶段捕获它们的可能性较低，这种状况下，捕获攻击者在后门植入、耐久化等阶段留下的痕迹，并基于此反溯，复原攻击链路会是一个不错的选择，而Rootkit会把这些痕迹统统躲藏，让我们的命中难度剧增。下图显现了近年来在野0day数量

3. 从达效果果看Windows Rootkit

那么Rootkit终究能达成什么样的效果呢？

以一个操作图形接口的Rootkit为例，它在任务管理器中躲藏了calc.exe

换句话说，Rootkit能够把攻击者不想让你发现的攻击痕迹停止躲藏，比方我们在进程异常排查中，会关注那些有着异常通讯或是可疑模块加载的进程。

以白加黑技术为例，该技术固然能在免杀上获得良好效果，但假如同时存在异常通讯和可疑模块(未签名的dll)，我们就还是能较为容易地定位到异常点。

而经过一些简单的技巧，就能够在一定水平上对白加黑应用中的歹意dll停止躲藏

而Rootkit能达成的躲藏效果，会远胜于上图状况，当运用Rootkit从剖析工具中彻底隐去这些异常点时，你还能快速地断定该进程有问题吗？

当然，此处仅是过滤了异常模块，这也只是Rootkit能做到的一小局部，除此以外，效劳、端口、流量等也都能够经过Rootkit停止操作，那么你想看到什么，攻击者就能够让你看到什么，“摆在明面上”的要挟就转变成了“躲藏在暗地里”的要挟，想在主机上发现异常就会变得极端艰难。

4. 从可行性来看Windows Rootkit

前面的内容提到，Windows引入了两大平安机制来对立Rootkit，分别是签名考证和PatchGuard，我们将针对这两个点分别展开讨论。

4.1签名考证

关于这局部内容，国外平安研讨员Bill Demirkapi在Black Hat 2021的议题《Demystifying Modern Windows Rootkits》中给出了答案，相应的处理计划分别为直接购置、滥用泄露证书和寻觅“0day”驱动。

4.1.1 购置证书

这种方式其实没什么好说的，攻击者独一需求思索的问题，就是购置渠道能否足够牢靠，能否存在身份暴露的风险。

4.1.2 滥用泄露证书

从可行性上来说，Windows基本不关怀证书能否曾经过时或者曾经被撤消，经过泄露的证书，攻击者就能够生成在恣意Windows版本下都有效的驱动签名

由于不需求购置证书，在降低本钱的同时也防止了因购置渠道不牢靠而暴露身份的风险，此外，经过这种方式停止植入所需的前置条件也不算多，与发掘“0day”驱动的方式相比，技术难度降低很多，当然，控制了泄露证书的情报后，相关平安厂商能够针对此类Rootkit停止查杀拦截

下图是搜集到的一些历史泄露证书，从此图能够看出泄露的情报并不少见

4.1.3 “0day”驱动应用

从可行性来说，一定存在着可被应用的“0day”驱动，而历史上，就曾有知名的APT组织应用具有合法签名驱动程序来停止歹意驱动的加载，该组织是俄罗斯APT黑客组织Turla，它应用的合法驱动为VirtualBox，下文是对该应用过程的描绘

4.2 PatchGuard

网上有着包含win7、win10在内的不少开源项目，攻击者可经过集成这些项目绕过PatchGuard，往内核中植入歹意代码，完成Rootkit功用

5. 从现状来看Windows Rootkit

当我们尝试在VT上停止Hunting，会发现无效证书的应用十分普遍

其实，就算你遇到一个有着合法签名的Rootkit也不算什么新颖事了

回过头来单看2021，Windows Rootkit攻击更多地集中在游戏行业（我想，这也是它们相对而言较快暴露的一个缘由，传播质变大的同时，也遭受了更多的关注），但当Rootkit调转枪头对准更高价值的目的时，当它们的目的不再是简单地获利时，当它们的动静更小，躲藏更具针对性时，我们能否做好应对准备了呢？毕竟从技术角度而言，APT组织又有什么理由回绝Rootkit呢?

值得留意的是，当APT组织拿起Rootkit这个武器时，它们枪头要对准的将会是包括政府、军事在内的各种重要组织机构，它们的目的将不再是简单地获利，而是对目的地长期监控和重要情报的窃取，这一点从历史APT运用Rootkit停止的攻击事情中不难发现。

6. 总结

基于社工和钓鱼分离的攻击活动虽能以较小的本钱拿下目的，但留下的明显痕迹会招致其生存期骤减，很容易在打点阶段就暴露，而经过其它未知渠道打点后，借助合法进程、机制完成歹意活动(如Lazarus对Get-MpPreference的应用)，或经过白加黑(如dll劫持，LOLBINS)等方式停止后门安顿和权限维持等，固然在免杀层面有着不错的效果，却不能很好地藏匿攻击痕迹。

Rootkit更多地对应在后门安顿、耐久化阶段，控制这项技术的攻击者也会有着更高的技术程度，他们或许会更喜爱于一些高级的打点技巧，以降低每个环节被捕获的可能性，当然，越高价值的目的越会吸收更高本钱的投入，我们想要沉着应对也就愈加艰难，而事实上，能否有APT组织正应用着此技术停止攻击活动也尚未可知。

参考链接：

1.https://en.wikipedia.org/wiki/Project_Sauron

2.https://en.wikipedia.org/wiki/Project_Sauron

3.https://www.sciencealert.com/scientists-just-found-an-advanced-form-of-malware-that-s-been-hiding-for-at-least-5-years

4.https://arstechnica.com/information-technology/2016/08/researchers-crack-open-unusually-advanced-malware-that-hid-for-5-years/

5.https://arstechnica.com/information-technology/2016/08/researchers-crack-open-unusually-advanced-malware-that-hid-for-5-years/

6.https://www.inverse.com/article/19401-project-sauron-malware-strider

7.https://www.infosecurity-magazine.com/news/project-sauron-has-been-spying/

8.https://www.infosecurity-magazine.com/news/project-sauron-has-been-spying/

9.https://www.ptsecurity.com/ww-en/analytics/rootkits-evolution-and-detection-methods/

10.https://decoded.avast.io/martinchlumecky/dirtymoe-rootkit-driver/

11.https://i.blackhat.com/USA-20/Wednesday/us-20-Demirkapi-Demystifying-Modern-Windows-Rootkits.pdf

12.https://www.lastline.com/labsblog/dissecting-turla-rootkit-malware-using-dynamic-analysis/

13.https://www.chinaz.com/2021/1022/1319390.shtml

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。