Chap 1. Empty Cup Mind

1.2 Distilling a More Precise Definition

1.2.3 Single-Stage Versus Multistage Droppers

Single-Stage Dropper

• 安裝rootkit方式很多，有時透過漏洞利用，由Exploit傳遞的Payload，而這個Payload有個特殊的program叫做Dropper，就是在執行安裝rookit。
• Dropper作用很多，例如幫助rootkit通過網路安全掃描、對rootkit進行壓縮、編碼或加密，然後把rootkit封裝成internal data structure。當執行完dropper後，它會釋放(解壓縮、解碼、解密和安裝)rootkit。最後，正常運作的dropper會將自身刪除。

Multistage Droppers

• Multistage dropper不會將rootkit包含在它的byte stream裡，而是藉由像custom FTP client、browser add-on、或stub program來遠端下載rootkit。或者stub program再下載另個stub program來下載rootkit。
• Multistage dropper的主要理念是最小化dropper所留下的證據，例如有人發現未將自身刪除的dropper，在沙箱測試時，因為stub program無法下載rootkit，因此什麼也不做。這完全符合The Grugq的data contraception策略。

• Data Contraception (資料節育): 操作系統時，重點遵循兩條原則：
  1. 完全在記憶體中操作，以避免在硬碟上產生資料
  2. 使用普通工具而非自定制的工具
• 從資料駐留硬碟的角度來看，由於在硬碟上沒有產生額外的資料，確實達到了「節育」的目的。

1.2.5 確切的學術性定義

• Software that hides itself or other objects, such as files, processes, and Registry keys, from view of standard diagnostic, administrative, and security software.
• A rootkit is a tool that is designed to hide itself and other processes, data, and/or activity on a system.
• A rootkit establishes a remote interface on a machine that allows the system to be manipulated (e.g., C2) and data to be collected (e.g., surveillance) in a manner that is difficult to observe (e.g., concealment).
• rootkit提供以下三種服務：
  1. Concealment (隱藏)
  2. Command and control (指揮與控制)
  3. Surveillance (偵察)

1.2.9 為何使用隱身技術? rootkit不能被發現嗎?

• The defender only needs to detect one of the indicators of the intruder's presence in order to initiate incident response within the enterprise. (https://taosecurity.blogspot.tw/2009/05/defenders-dilemma-and-intruders-dilemma.html)