ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

6 Δεκεμβρίου 2022 06:43

Data Ally: Τι είναι και πώς να προστατευτείτε από το rootkit

Το rootkit αποτελεί ένα κακόβουλο λογισμικό, που επιτρέπει στους εγκληματίες του κυβερνοχώρου να διεισδύσουν σε ένα σύστημα και να το «καταλάβουν». Οι hackers χρησιμοποιούν rootkits για να πραγματοποιήσουν κατασκοπεία, κλοπή δεδομένων, να αναπτύξουν άλλο κακόβουλο λογισμικό, όπως ransomware και όλα αυτά χωρίς να αφήσουν ίχνη. Μόλις εγκατασταθεί ένα rootkit σε μια συσκευή, μπορεί να υποκλέψει κλήσεις συστήματος, να αντικαταστήσει λογισμικό και διαδικασίες και να αποτελέσει μέρος ενός μεγαλύτερου κιτ εκμετάλλευσης που περιέχει άλλες ενότητες, όπως keyloggers, κακόβουλο λογισμικό κλοπής δεδομένων ή ακόμα και κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων.

Ωστόσο, αυτού του είδους τα προγράμματα είναι δύσκολο να αναπτυχθούν, καθώς απαιτούν χρόνο και χρήμα για τη δημιουργία τους. Ως εκ τούτου, οι περισσότερες επιθέσεις που βασίζονται σε rootkit σχετίζονται με ομάδες προηγμένων απειλών (APT), καθώς δύναται να αναπτύξουν αυτήν τη μορφή κακόβουλου λογισμικού. Ως αποτέλεσμα, τείνουν να επιλέγουν στόχους υψηλής αξίας τόσο για επιθέσεις με οικονομικά κίνητρα, όσο και για επιθέσεις που βασίζονται σε κατασκοπεία.

Μελέτη που αναλύει την εξέλιξη και τη χρήση των rootkit για την πραγματοποίηση επιθέσεων στον κυβερνοχώρο αποκάλυψε ότι στο 56% των περιπτώσεων, κυβερνοεγκληματίες χρησιμοποιούν αυτό το λογισμικό για να επιτεθούν σε άτομα υψηλού προφίλ, όπως ανώτερους αξιωματούχους, διπλωμάτες ή υψηλόβαθμους υπαλλήλους οργανισμών. Όσον αφορά στους τομείς που στοχεύουν περισσότερο αυτές οι απειλές, τα κυβερνητικά ιδρύματα κατατάσσονται στην πρώτη θέση (44%) και ακολουθούν τα ερευνητικά ιδρύματα (38%), οι τηλεπικοινωνιακοί φορείς (25%), οι βιομηχανικές εταιρείες (19%) και οι χρηματοπιστωτικοί οργανισμοί (19%). Η μελέτη έδειξε επίσης ότι τα rootkits διαδίδονται συχνά μέσω τακτικών κοινωνικής μηχανικής, ιδιαίτερα μέσω της χρήσης phishing (69%) και της εκμετάλλευσης τρωτών σημείων (62%).

Υπάρχουν τρεις τύποι rootkit που ταξινομούνται ανάλογα με το επίπεδο των προνομίων που αποκτήθηκαν και είναι οι εξής:

Rootkits kernel-mode: Αυτός ο τύπος rootkit λειτουργεί σε επίπεδο πυρήνα, επομένως έχει τα ίδια χαρακτηριστικά με το λειτουργικό σύστημα. Έχουν σχεδιαστεί ως προγράμματα οδήγησης συσκευών ή μονάδες με δυνατότητα φόρτωσης. Η ανάπτυξή τους είναι περίπλοκη, καθώς ένα σφάλμα στον πηγαίο κώδικα μπορεί να επηρεάσει τη σταθερότητα του συστήματος, καθιστώντας το κακόβουλο λογισμικό εμφανές.

Rootkits user-mode: Αυτός ο τύπος είναι πιο απλός στην ανάπτυξη από την προηγούμενη κατηγορία, καθώς απαιτείται λιγότερη ακρίβεια και γνώση για τη σχεδίασή τους, επομένως χρησιμοποιείται συνήθως σε μαζικές επιθέσεις.

Συνδυασμένα rootkits: Αυτός ο τύπος rootkit έχει σχεδιαστεί, ώστε να συνδυάζει και τους δύο τρόπους λειτουργίας και να ενεργεί και στα δύο επίπεδα.

Παρόλο που αυτός ο τύπος απειλής έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό, υπάρχουν λύσεις ικανές όχι μόνο να την ανιχνεύσουν, αλλά και να την περιορίσουν και να την αποκλείσουν:

APT Blocker: Αυτή η τεχνολογία sandbox μπορεί να ανιχνεύσει το rootkit ακόμη και πριν αποκτήσει πρόσβαση στο σύστημα. Αναλύει τη συμπεριφορά για να προσδιορίσει εάν ένα αρχείο είναι κακόβουλο, εντοπίζοντας και στέλνοντας ύποπτα αρχεία σε ένα sandbox που βασίζεται σε Cloud που μιμείται την εκτέλεση και αναλύει τον κώδικα του αρχείου. Εάν το αρχείο είναι κακόβουλο, η APT αναλαμβάνει δράση και το αποκλείει για την ασφάλεια του δικτύου.

Άμυνα από κακόβουλο λογισμικό με τεχνητή νοημοσύνη: Έχει σχεδιαστεί για να εντοπίζει απειλές αναλύοντας εκατομμύρια αρχεία στα θεμελιώδη στοιχεία τους και, στη συνέχεια, αναλύοντας τα χαρακτηριστικά του καθενός για τον εντοπισμό δεικτών κακόβουλης πρόθεσης. Εάν εντοπιστεί κακόβουλο λογισμικό, το αρχείο αποκλείεται πριν εκτελεστεί.

Ορατότητα στο Cloud: Με τις επιθέσεις rootkit, είναι σημαντικό να υπάρχει πλήρης ορατότητα στο δίκτυο για την ανάλυση ανωμαλιών. Αυτό επιτρέπει την εις βάθος εξερεύνηση σύμφωνα με τις λεπτομερείς πληροφορίες στις αναφορές που δημιουργούνται από την πλατφόρμα.

Οι εγκληματίες του κυβερνοχώρου μπορεί να είναι εξαιρετικά επινοητικοί όταν πρόκειται για την πραγματοποίηση επαγγελματικών απειλών, αλλά μπορούν ακόμα να αποτραπούν. Το κλειδί, σύμφωνα με την Data Ally, είναι η προστασία των εταιρικών δικτύων με κατάλληλες λύσεις που μπορούν να σταματήσουν τις επιθέσεις rootkit πριν να είναι πολύ αργά.

Τεύχος 187

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

Το TΕCHmail είναι το πρώτο διαδραστικό καθημερινό περιοδικό της LIBRA PRESS, που έρχεται να καλύψει δημοσιογραφικά με ειδήσεις, νέα και ρεπορτάζ τον κλάδο της επιχειρηματικότητας, που αφορά κατά βάση εταιρείες υψηλής τεχνολογίας.

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER


TechMail
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design