如何挖掘通过Rootkit进行犯罪活动的证据？ 深信服蓝军攻防专家在CCS 2021中给出了答案

9月26-27日，CCS 2021成都网络安全大会（以下简称“CCS 2021”）在成都市 “中国-欧洲中心”举行，本次大会由四川省互联网信息办公室指导，成都市互联网信息办公室、成都高新区管委会联合主办，该大会是行业知名安全企业共同打造的成都网络安全大会新品牌、新名片，深信服身为国内主要的安全厂商，受邀参与CCS 2021，值得一提的是，深信服蓝军高级威胁攻防研究专家肖秋平和马柔忍还在CCS 2021新型网络违法犯罪打击防范分论坛中，进行了主题为《Rootkit攻防原理与取证技术》的分享，分析了Rootkit的技术原理和取证的方法思路。

为隐藏攻击“线索”而生的Rootkit有多强大？

什么是Rootkit？在情节跌宕起伏的谍战片里，总有一个角色牵动着大家的心弦，你可以叫他间谍，也可以叫他卧底，他必须很好地伪装自己，避免过早暴露，才能获取重要情报并回传信息。从某种意义上来说，Rootkit就是“间谍”隐藏自己时使用的技术，犹如一件隐身衣，其可以帮助“间谍”持久且无法被察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据。

深信服蓝军高级威胁攻防研究专家马柔忍

马柔忍在《Rootkit攻防原理与取证技术》的分享中提到，Rootkit攻击的技术栈主要分为用户层、内核层等，相对而言，用户层的Rootkit 编写更加简单，受版本的限制会更小，不会因为版本不兼容或者其它错误导致系统崩溃，但它所能达到的效果也更弱，检测起来相对简单，比如通过完整性校验或基于签名的解决方案能有效地检测出文件替换或修改，通过环境变量和配置文件可检测对动态链接库的利用；而内核层的Rootkit处于系统更底层，且拥有更多的技巧来隐藏其攻击痕迹，所以更难以被发现。

由于Rootkit是业内公认的最难检测的隐藏手段，因此其经常被攻击者使用在高质量的APT攻击中。APT攻击往往具有较强的持续性，这需要建立在不被发现的基础之上，攻击者可以通过Rootkit在目标网络中潜伏几个月甚至几年之久，长期监控窃取庞大的情报数据。

攻击者成功侵入某系统后，往往需要植入一个持久化的后门，如果目标是一个企业，其组织架构、人员信息、薪资结构，客户资料以及战略规划等信息可能会被攻击者获取，这些信息的泄露可能会对企业造成毁灭性的打击；如果目标是医疗机构、教育机构等，攻击者可以通过窃取到的敏感信息进行数据倒卖和精准诈骗；更严重的是，如果恶意程序长期潜伏在某些关键基础设施当中，并在某个特定的时间被启动，将会造成电力、交通、能源、金融系统设施的瘫痪……

攻击者的这些行为给国家关键基础设施和人民的信息财产安全造成了非常严重的安全威胁，越晚发现这些被植入的后门，攻击者可以获得的数据就越庞大，而Rootkit又专为隐藏“后门”而生，这对网络安全提出了巨大的挑战。

由于攻击者经常利用Rootkit秘密地实施入侵，窃取敏感信息，因此Rootkit在业内经常会被当成恶意软件，但马柔忍认为，从技术视角，Rootkit并无正邪之分，攻击者可以利用Rootkit秘密地实施入侵，窃取敏感信息，防御者也可以利用Rootkit进行实时监控，搜集证据。

如何挖掘通过Rootkit进行犯罪活动的证据？

武器不分好坏，只是看被谁利用，在攻击者利用Rootkit谋坏事之际，防守方也可以利用Rootkit发现攻击者的蛛丝马迹。

深信服蓝军高级威胁攻防研究专家肖秋平

肖秋平表示，从防守方的角度出发，主要可以通过内存、网络流量和磁盘文件三个维度对Rootkit进行取证。

内存取证：内存取证的对象是系统在运行时保存在内存中的数据，将运行系统的物理内存中的数据保存到固定的存储介质上，从而达到把易失性的内存数据转化成非易失性的文件。

网络流量取证：网络流量取证是抓取、记录和分析网络流量以发现安全攻击或其他的问题事件的来源，通过流量取证可以获取攻击者的流量特征及其使用的网络基础设施。

磁盘文件取证：磁盘文件取证的对象是保存在存储介质(硬盘)中的数据，通过分析硬盘中的文件，以发现与安全事件相关的异常文件。

此外，肖秋平在演讲中提到，攻击者使用Rootkit最关键的地方在于实现其所需功能的前提条件下，尽可能隐藏自身，实现所需功能意味着Rootkit必须要与系统进行交互，这也就说明Rootkit运行过程中的数据必然是符合操作系统需求的数据结构。此外，由于隐藏是相对用户而言，因此可以通过对比用户态数据来源列表和内核态中更底层的能够表示隐藏内容的数据结构，来确定是否发生未知异常数据的隐藏行为。

CCS 2021新型网络违法犯罪打击防范分论坛，从新型网络犯罪产业链研究、预警防范、侦查打击、反制策略、取证技术等层面，邀请全国警企相关专家进行分享与交流，共同探讨网络犯罪打击治理工作，为有效打击防范各类新型网络违法犯罪贡献力量，更好地维护人民群众财产安全与合法权益。深信服一直注重网络安全攻防技术研究，通过攻击和防御双方的视角，从多维度分析和解决网络安全问题是深信服蓝军主要的研究方向之一，未来，深信服将不断提高专业技术造诣，深度洞察网络安全威胁，持续为网络安全赋能。