TM_187

2 6|12|2022 #187 Data Ally: Τι είναι και πώς να προστατευτείτε από το rootkit Το rootkit αποτελεί ένα κακόβουλο λογισμικό, που επιτρέπει στους εγκλη- ματίες του κυβερνοχώρου να διεισδύ- σουν σε ένα σύστημα και να το «κατα- λάβουν». Οι hackers χρησιμοποιούν rootkits για να πραγματοποιήσουν κα- τασκοπεία, κλοπή δεδομένων, να ανα- πτύξουν άλλο κακόβουλο λογισμικό, όπως ransomware και όλα αυτά χωρίς να αφήσουν ίχνη. Μόλις εγκαταστα- θεί ένα rootkit σε μια συσκευή, μπορεί να υποκλέψει κλήσεις συστήματος, να αντικαταστήσει λογισμικό και διαδικα- σίες και να αποτελέσει μέρος ενός με- γαλύτερου κιτ εκμετάλλευσης που πε- ριέχει άλλες ενότητες, όπως keyloggers, κακόβουλο λογισμικό κλοπής δεδομέ- νων ή ακόμα και κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων. Ωστόσο, αυτού του είδους τα προγράμ- ματα είναι δύσκολο να αναπτυχθούν, καθώς απαιτούν χρόνο και χρήμα για τη δημιουργία τους. Ως εκ τούτου, οι περισσότερες επιθέσεις που βασίζονται σε rootkit σχετίζονται με ομάδες προ- ηγμένων απειλών (APT), καθώς δύναται να αναπτύξουν αυτήν τη μορφή κακό- βουλου λογισμικού. Ως αποτέλεσμα, τείνουν να επιλέγουν στόχους υψηλής αξίας τόσο για επιθέσεις με οικονομικά κίνητρα, όσο και για επιθέσεις που βασί- ζονται σε κατασκοπεία. Μελέτη που αναλύει την εξέλιξη και τη χρήση των rootkit για την πραγματο- ποίηση επιθέσεων στον κυβερνοχώρο αποκάλυψε ότι στο 56% των περιπτώσε- ων, κυβερνοεγκληματίες χρησιμοποιούν αυτό το λογισμικό για να επιτεθούν σε άτομα υψηλού προφίλ, όπως ανώτερους αξιωματούχους, διπλωμάτες ή υψη- λόβαθμους υπαλλήλους οργανισμών. Όσον αφορά στους τομείς που στοχεύ- ουν περισσότερο αυτές οι απειλές, τα κυβερνητικά ιδρύματα κατατάσσονται στην πρώτη θέση (44%) και ακολουθούν τα ερευνητικά ιδρύματα (38%), οι τηλεπι- κοινωνιακοί φορείς (25%), οι βιομηχανι- κές εταιρείες (19%) και οι χρηματοπιστω- τικοί οργανισμοί (19%). Η μελέτη έδειξε επίσης ότι τα rootkits διαδίδονται συχνά μέσω τακτικών κοινωνικής μηχανικής, ιδιαίτερα μέσω της χρήσης phishing (69%) και της εκμετάλλευσης τρωτών σημείων (62%). Υπάρχουν τρεις τύποι rootkit που ταξινο- μούνται ανάλογα με το επίπεδο των προ- νομίων που αποκτήθηκαν και είναι οι εξής: Rootkits kernel-mode: Αυτός ο τύπος rootkit λειτουργεί σε επίπεδο πυρήνα, επομένως έχει τα ίδια χαρακτηριστι- κά με το λειτουργικό σύστημα. Έχουν σχεδιαστεί ως προγράμματα οδήγησης συσκευών ή μονάδες με δυνατότητα φόρτωσης. Η ανάπτυξή τους είναι περί- πλοκη, καθώς ένα σφάλμα στον πηγαίο κώδικα μπορεί να επηρεάσει τη σταθε- ρότητα του συστήματος, καθιστώντας το κακόβουλο λογισμικό εμφανές. Rootkits user-mode: Αυτός ο τύπος είναι πιο απλός στην ανάπτυξη από την προηγούμενη κατηγορία, καθώς απαι- τείται λιγότερη ακρίβεια και γνώση για τη σχεδίασή τους, επομένως χρησιμο- ποιείται συνήθως σε μαζικές επιθέσεις. Συνδυασμένα rootkits: Αυτός ο τύπος rootkit έχει σχεδιαστεί, ώστε να συνδυ- άζει και τους δύο τρόπους λειτουργίας και να ενεργεί και στα δύο επίπεδα. Παρόλο που αυτός ο τύπος απειλής έχει σχεδιαστεί για να αποφεύγει τον εντοπι- σμό, υπάρχουν λύσεις ικανές όχι μόνο να την ανιχνεύσουν, αλλά και να την περιορίσουν και να την αποκλείσουν: APT Blocker: Αυτή η τεχνολογία sandbox μπορεί να ανιχνεύσει το rootkit ακόμη και πριν αποκτήσει πρόσβαση στο σύστημα. Αναλύει τη συμπεριφορά για να προσδιορίσει εάν ένα αρχείο εί- ναι κακόβουλο, εντοπίζοντας και στέλ- νοντας ύποπτα αρχεία σε ένα sandbox που βασίζεται σε Cloud που μιμείται την εκτέλεση και αναλύει τον κώδικα του αρχείου. Εάν το αρχείο είναι κακόβουλο, η APT αναλαμβάνει δράση και το απο- κλείει για την ασφάλεια του δικτύου. Άμυνα από κακόβουλο λογισμικό με τεχνητή νοημοσύνη: Έχει σχεδιαστεί για να εντοπίζει απειλές αναλύοντας εκατομμύρια αρχεία στα θεμελιώδη στοιχεία τους και, στη συνέχεια, αναλύ- οντας τα χαρακτηριστικά του καθενός για τον εντοπισμό δεικτών κακόβουλης πρόθεσης. Εάν εντοπιστεί κακόβουλο λογισμικό, το αρχείο αποκλείεται πριν εκτελεστεί. Ορατότητα στο Cloud: Με τις επιθέ- σεις rootkit, είναι σημαντικό να υπάρχει πλήρης ορατότητα στο δίκτυο για την ανάλυση ανωμαλιών. Αυτό επιτρέπει την εις βάθος εξερεύνηση σύμφωνα με τις λεπτομερείς πληροφορίες στις αναφορές που δημιουργούνται από την πλατφόρμα. Οι εγκληματίες του κυβερνοχώρου μπορεί να είναι εξαιρετικά επινοητικοί όταν πρόκειται για την πραγματοποί- ηση επαγγελματικών απειλών, αλλά μπορούν ακόμα να αποτραπούν. Το κλειδί, σύμφωνα με τη ν Data Ally , ε ίναι η προστασία των εταιρικών δικτύων με κατάλληλες λύσεις που μπορούν να σταματήσουν τις επιθέσεις rootkit πριν να είναι πολύ αργά.