Rootkity to złośliwe oprogramowanie specjalnie zaprojektowane do uzyskania nieautoryzowanego dostępu do systemu i uzyskania wysokich uprawnień. Rootkity mogą działać na warstwie jądra systemu, co daje im głęboki dostęp i kontrolę, w tym zdolność do modyfikacji krytycznych struktur jądra. Może to umożliwić innemu malware manipulowanie zachowaniem systemu i unikanie wykrycia.
Trend aktywności rootkitów pozostaje stabilny od początku roku. Możemy również stwierdzić, że nadal obserwujemy długoterminowy trend spadkowy. Poniższy wykres pokazuje aktywność rootkitów w poprzednich trzech kwartałach.
Wskaźnik ryzyka rootkitów w Q1/2023 – Q3/2023
Przy analizie wskaźnika ryzyka dla poszczególnych krajów, Chiny utrzymują swoją czołową pozycję pod względem zakresu aktywności rootkitów. Chociaż globalnie obserwujemy spadek aktywności, widzieliśmy konkretny wzrost na Ukrainie (62%) i w Federacji Rosyjskiej (62%), szczególnie zwiększoną aktywność rootkita R77RK.
Globalny wskaźnik ryzyka dla rootkitów w Q2 i Q3 2023
We wrześniu 2023 roku została wydana zaktualizowana wersja R77Rootkit (1.5.0), ułatwiająca jego wdrożenie na maszynach ofiar. Jednak nie zaobserwowano wzrostu aktywności tego rootkita pomimo ulepszeń. Tak więc R77RK wciąż jest liderem rynku malware z takim samym udziałem (18%) jak w poprzednim kwartale.
Około 17% nierozpoznanych szczepów rootkitów również jest obecnych na rynku, służąc jako jądro proxy dla różnych działań związanych z podwyższonymi uprawnieniami systemowymi, takich jak zamykanie procesów, zmiana komunikacji sieciowej i operacje na rejestrze, wśród innych. W porównaniu do poprzedniego kwartału, ciekawą cechą jest zwiększone wykorzystanie VMProtect do ukrywania funkcji sterownika.
Trzeci rootkit z trzecim największym udziałem rynkowym to Pucmeloun, którego główną funkcjonalnością jest modyfikacja ruchu sieciowego w celu przekierowania na inne strony. Jest częścią innego adware kontrolującego żądania sieciowe na warstwie jądra. Strony adware mają głównie chińskie treści.
Poniżej znajduje się kompleksowa lista wyraźnie rozpoznanych szczepów Windows rootkitów wraz z ich odpowiednimi udziałami rynkowymi:
- R77Rootkit (18%)
- Pucmeloun (13%)
- Alureon (7%)
- Cerbu (6%)
- Perkesh (6%)
Jeśli chodzi o rootkity jądra Linuxa, inspirowane przez Syslogk, cyberprzestępcy nadal ukrywają wiersz poleceń backdoors (lub boty, w zależności od tego, jak atakujący kontrolują zainfekowane komputery) z rootkitami jądra, które wykonują te za pomocą magicznych pakietów (np. AntiUnhide rootkit). Nadal monitorujemy rootkity jądra Linuxa, które wykorzystują kod projektów open-source. Na przykład, Rocke wykorzystuje kod Reptile Reptile i ukrywa tajne chronione powłoki, które mogą być uruchamiane za pomocą magicznych pakietów.
Martin Chlumecký, Badacz Malware
David Álvarez, Analityk Malware
