Будинки Securitywatch Зловмисне програмне забезпечення Uroburos перемагає патчгард Microsoft

Зловмисне програмне забезпечення Uroburos перемагає патчгард Microsoft

Відео: 🚩 Цитаты Стива Джобса: Опорожнение (Листопад 2024)

Відео: 🚩 Цитаты Стива Джобса: Опорожнение (Листопад 2024)
Anonim

Запропонований років тому для 64-розрядних видань Windows XP та Windows Server 2003, захист від патчів ядра Microsoft або PatchGuard призначена для запобігання атакам від зловмисного програмного забезпечення, змінюючи основні частини ядра Windows. Якщо руткіт або інша шкідлива програма вдається виправити ядро, PatchGuard навмисно вибиває систему. Ця ж функція зробила життя складним для антивірусних постачальників, оскільки багато з них покладалися на доброякісне виправлення ядра для підвищення безпеки; вони з тих пір адаптувалися. Однак у новому звіті G Data зазначається, що загроза під назвою Uroburos може обійти PatchGuard.

Підключення Windows

Rootkits приховують свою діяльність, підключаючи різні внутрішні функції Windows. Коли програма закликає Windows повідомити про файли, наявні в папці, або про значення, що зберігаються в ключі реєстру, запит переходить спочатку до rootkit. Він у свою чергу викликає фактичну функцію Windows, але позбавляє всіх посилань на власні компоненти перед тим, як передавати інформацію.

Остання публікація в блозі G Data пояснює, як Uroburos обходить PatchGuard. Функція з громіздкою назвою KeBugCheckEx навмисно виходить з ладу Windows, якщо вона виявляє такий вид підключення ядра (або кілька інших підозрюваних дій). Тож, природно, Uroburos підключає KeBugCheckEx, щоб приховати свою іншу діяльність.

Дуже детальне пояснення цього процесу розміщено на веб-сайті codeproject. Однак це, безумовно, лише видання для експертів. У вступі сказано: "Це не підручник, і новачки не повинні його читати".

Весело не припиняється з підривом KeBugCheckEx. Uroburos все ще потребує завантаження драйвера, і Політика підписання драйверів у 64-розрядної Windows забороняє завантажувати будь-який драйвер, який не підписується цифровим способом надійним видавцем. Творці Uroburos використовували відому вразливість у законному драйвері, щоб вимкнути цю політику.

Кібер-шпигунство

У попередньому дописі дослідники G Data описували Uroburos як "дуже складне програмне забезпечення шпигунства з російськими коренями". Він ефективно встановлює шпигунську заставу на ПК жертви, створюючи віртуальну файлову систему для надійного та таємного зберігання своїх інструментів та викрадених даних.

У доповіді зазначається, "ми вважаємо, що він був розроблений для націлення на державні установи, науково-дослідні установи або компанії, що займаються конфіденційною інформацією, а також подібними гучними цілями", і пов'язує це з атакою 2008 року під назвою Agent.BTZ, яка проникла в Департамент Захист через сумнозвісний трюк "USB на стоянці". Їх докази є надійними. Uroburos навіть утримується від встановлення, якщо виявить, що агент.BTZ вже присутній.

Дослідники G Data зробили висновок, що система зловмисного програмного забезпечення такої складності "занадто дорога, щоб її використовувати як звичайну шпигунську програму". Вони зазначають, що його навіть не було виявлено до "багато років після підозри на першу інфекцію". І вони пропонують безліч доказів того, що Uroburos був створений російськомовною групою.

Справжня мета?

У поглибленому звіті BAE Systems Applied Intelligence наводиться дослідження G Data та пропонує додаткове розуміння цієї шпигунської кампанії, яку вони називають "Змія". Дослідники зібрали понад 100 унікальних файлів, пов’язаних зі Змією, та вилучили деякі цікаві факти. Наприклад, практично всі файли були зібрані в будній день, що говорить про те, що "Творці шкідливих програм працюють робочий тиждень, як і будь-який інший професіонал".

У багатьох випадках дослідникам вдалося визначити країну походження для подання зловмисного програмного забезпечення. У період з 2010 року по теперішній час 32 зразки, пов’язані зі зміями, надійшли з України, 11 - з Литви, і лише два - з США. У звіті робиться висновок, що Змія є "постійною особливістю ландшафту", і пропонує детальні рекомендації експертам з питань безпеки для визначення чи проникли їхні мережі. G Дані також пропонують допомогу; якщо ви думаєте, що у вас інфекція, ви можете зв’язатись зі службою розвідки@gdata.de.

Дійсно, це не дивно. Ми дізналися, що АНБ шпигували за главами закордонних держав. Інші країни, природно, спробують власноруч створити інструменти для кібер-шпигунства. І найкращий з них, як Uroburos, може працювати протягом років, перш ніж їх виявлять.

Зловмисне програмне забезпечення Uroburos перемагає патчгард Microsoft