9月26-27日，CCS 2021成都網絡安全大會（以下簡稱“CCS 2021”）在成都市 “中國-歐洲中心”舉行，本次大會由四川省互聯(lián)網信息辦公室指導，成都市互聯(lián)網信息辦公室、成都高新區(qū)管委會聯(lián)合主辦，該大會是行業(yè)知名安全企業(yè)共同打造的成都網絡安全大會新品牌、新名片，深信服身為國內主要的安全廠商，受邀參與CCS 2021，值得一提的是，深信服藍軍高級威脅攻防研究專家肖秋平和馬柔忍還在CCS 2021新型網絡違法犯罪打擊防范分論壇中，進行了主題為《Rootkit攻防原理與取證技術》的分享，分析了Rootkit的技術原理和取證的方法思路。

為隱藏攻擊“線索”而生的Rootkit有多強大？

什么是Rootkit？在情節(jié)跌宕起伏的諜戰(zhàn)片里，總有一個角色牽動著大家的心弦，你可以叫他間諜，也可以叫他臥底，他必須很好地偽裝自己，避免過早暴露，才能獲取重要情報并回傳信息。從某種意義上來說，Rootkit就是“間諜”隱藏自己時使用的技術，猶如一件隱身衣，其可以幫助“間諜”持久且無法被察覺地駐留在目標計算機中，對系統(tǒng)進行操縱、并通過隱秘渠道收集數(shù)據。

深信服藍軍高級威脅攻防研究專家馬柔忍

馬柔忍在《Rootkit攻防原理與取證技術》的分享中提到，Rootkit攻擊的技術棧主要分為用戶層、內核層等，相對而言，用戶層的Rootkit 編寫更加簡單，受版本的限制會更小，不會因為版本不兼容或者其它錯誤導致系統(tǒng)崩潰，但它所能達到的效果也更弱，檢測起來相對簡單，比如通過完整性校驗或基于簽名的解決方案能有效地檢測出文件替換或修改，通過環(huán)境變量和配置文件可檢測對動態(tài)鏈接庫的利用；而內核層的Rootkit處于系統(tǒng)更底層，且擁有更多的技巧來隱藏其攻擊痕跡，所以更難以被發(fā)現(xiàn)。

由于Rootkit是業(yè)內公認的最難檢測的隱藏手段，因此其經常被攻擊者使用在高質量的APT攻擊中。APT攻擊往往具有較強的持續(xù)性，這需要建立在不被發(fā)現(xiàn)的基礎之上，攻擊者可以通過Rootkit在目標網絡中潛伏幾個月甚至幾年之久，長期監(jiān)控竊取龐大的情報數(shù)據。

攻擊者成功侵入某系統(tǒng)后，往往需要植入一個持久化的后門，如果目標是一個企業(yè)，其組織架構、人員信息、薪資結構，客戶資料以及戰(zhàn)略規(guī)劃等信息可能會被攻擊者獲取，這些信息的泄露可能會對企業(yè)造成毀滅性的打擊；如果目標是醫(yī)療機構、教育機構等，攻擊者可以通過竊取到的敏感信息進行數(shù)據倒賣和精準詐騙；更嚴重的是，如果惡意程序長期潛伏在某些關鍵基礎設施當中，并在某個特定的時間被啟動，將會造成電力、交通、能源、金融系統(tǒng)設施的癱瘓……

攻擊者的這些行為給國家關鍵基礎設施和人民的信息財產安全造成了非常嚴重的安全威脅，越晚發(fā)現(xiàn)這些被植入的后門，攻擊者可以獲得的數(shù)據就越龐大，而Rootkit又專為隱藏“后門”而生，這對網絡安全提出了巨大的挑戰(zhàn)。

由于攻擊者經常利用Rootkit秘密地實施入侵，竊取敏感信息，因此Rootkit在業(yè)內經常會被當成惡意軟件，但馬柔忍認為，從技術視角，Rootkit并無正邪之分，攻擊者可以利用Rootkit秘密地實施入侵，竊取敏感信息，防御者也可以利用Rootkit進行實時監(jiān)控，搜集證據。

如何挖掘通過Rootkit進行犯罪活動的證據？

武器不分好壞，只是看被誰利用，在攻擊者利用Rootkit謀壞事之際，防守方也可以利用Rootkit發(fā)現(xiàn)攻擊者的蛛絲馬跡。

深信服藍軍高級威脅攻防研究專家肖秋平

肖秋平表示，從防守方的角度出發(fā)，主要可以通過內存、網絡流量和磁盤文件三個維度對Rootkit進行取證。

內存取證：內存取證的對象是系統(tǒng)在運行時保存在內存中的數(shù)據，將運行系統(tǒng)的物理內存中的數(shù)據保存到固定的存儲介質上，從而達到把易失性的內存數(shù)據轉化成非易失性的文件。

網絡流量取證：網絡流量取證是抓取、記錄和分析網絡流量以發(fā)現(xiàn)安全攻擊或其他的問題事件的來源，通過流量取證可以獲取攻擊者的流量特征及其使用的網絡基礎設施。

磁盤文件取證：磁盤文件取證的對象是保存在存儲介質(硬盤)中的數(shù)據，通過分析硬盤中的文件，以發(fā)現(xiàn)與安全事件相關的異常文件。

此外，肖秋平在演講中提到，攻擊者使用Rootkit最關鍵的地方在于實現(xiàn)其所需功能的前提條件下，盡可能隱藏自身，實現(xiàn)所需功能意味著Rootkit必須要與系統(tǒng)進行交互，這也就說明Rootkit運行過程中的數(shù)據必然是符合操作系統(tǒng)需求的數(shù)據結構。此外，由于隱藏是相對用戶而言，因此可以通過對比用戶態(tài)數(shù)據來源列表和內核態(tài)中更底層的能夠表示隱藏內容的數(shù)據結構，來確定是否發(fā)生未知異常數(shù)據的隱藏行為。

CCS 2021新型網絡違法犯罪打擊防范分論壇，從新型網絡犯罪產業(yè)鏈研究、預警防范、偵查打擊、反制策略、取證技術等層面，邀請全國警企相關專家進行分享與交流，共同探討網絡犯罪打擊治理工作，為有效打擊防范各類新型網絡違法犯罪貢獻力量，更好地維護人民群眾財產安全與合法權益。深信服一直注重網絡安全攻防技術研究，通過攻擊和防御雙方的視角，從多維度分析和解決網絡安全問題是深信服藍軍主要的研究方向之一，未來，深信服將不斷提高專業(yè)技術造詣，深度洞察網絡安全威脅，持續(xù)為網絡安全賦能。

雷鋒網雷鋒網

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。