Video: Kernel Mode Threats and Practical Defenses (Oktober 2024)
Introduceret for år siden til 64-bit udgaver af Windows XP og Windows Server 2003, Microsofts Kernel Patch Protection eller PatchGuard, er designet til at forhindre malware-angreb, der fungerer ved at ændre vigtige dele af Windows-kernen. Hvis et rootkit eller et andet ondsindet program formår at finpudse kernen, går PatchGuard med vilje ned på systemet. Denne samme funktion gjorde livet hårdt for antivirus-leverandører, da mange af dem stod på godartet at lappe kernen for at forbedre sikkerheden; de har siden tilpasset sig. I en ny rapport fra G Data hedder det imidlertid, at en trussel kaldet Uroburos kan omgå PatchGuard.
Tilslut Windows
Rootkits skjuler deres aktiviteter ved at tilslutte forskellige interne Windows-funktioner. Når et program opfordrer Windows til at rapportere de filer, der findes i en mappe, eller de værdier, der er gemt i en registreringsdatabase-nøgle, går anmodningen først til rootkit. Det kalder igen den faktiske Windows-funktion, men striber alle henvisninger til sine egne komponenter, før de går langs informationen.
G Datas seneste blogindlæg forklarer, hvordan Uroburos kommer omkring PatchGuard. En funktion med det omfangsrige navn KeBugCheckEx bryder bevidst Windows, hvis den registrerer denne type kernehakaktivitet (eller flere andre mistænkelige aktiviteter). Så naturligvis kobler Uroburos KeBugCheckEx til at skjule sine andre aktiviteter.
En meget detaljeret forklaring af denne proces er tilgængelig på codeproject-webstedet. Imidlertid er det bestemt en ekspert-kun publikation. Introduktionen siger, "Dette er ingen tutorial, og begyndere skal ikke læse den."
Det sjove stopper ikke med at subvertere KeBugCheckEx. Uroburos er stadig nødt til at få sin driver indlæst, og Driver Signing Policy i 64-bit Windows forbyder indlæsning af en driver, der ikke er digitalt underskrevet af en betroet udgiver. Opretterne af Uroburos brugte en kendt sårbarhed i en legitim driver til at slå denne politik fra.
Cyber-Spionage
I et tidligere indlæg beskrev forskere U Data Uroburos som "meget kompleks spionagesoftware med russiske rødder." Det opretter effektivt en spionageudpost på offer-pc'en og skaber et virtuelt filsystem til sikkert og hemmeligt at opbevare sine værktøjer og stjålne data.
Rapporten siger, "vi estimerer, at den var designet til at målrette offentlige institutioner, forskningsinstitutioner eller virksomheder, der beskæftiger sig med følsom information såvel som lignende højprofilerede mål, " og knytter det til et angreb fra 2008 kaldet Agent.BTZ, der infiltrerede departementet for Forsvar via det berygtede trick "USB på parkeringspladsen". Deres bevis er solidt. Uroburoer undgår endda at installere, hvis det registrerer, at Agent.BTZ allerede er til stede.
G Datas forskere konkluderede, at et malware-system med denne kompleksitet er "for dyrt til at blive brugt som almindelig spyware." De påpeger, at det ikke engang blev opdaget før "mange år efter den mistænkte første infektion." Og de tilbyder et væld af beviser for, at Uroburos blev skabt af en russisk-talende gruppe.
Det rigtige mål?
En dybdegående rapport fra BAE Systems Applied Intelligence citerer G Data-forskningen og giver yderligere indsigt i denne spionage-kampagne, som de kalder "Snake". Forskere samlet over 100 unikke filer relateret til Snake og drillede nogle interessante fakta. For eksempel blev næsten alle filerne samlet på en ugedag, hvilket antydede, at "Oprettelsen af malware opererer en arbejdsuge, ligesom enhver anden professionel."
I mange tilfælde kunne forskere bestemme oprindelseslandet for indsendelse af malware. Mellem 2010 og i dag kom 32 slange-relaterede prøver ind fra Ukraine, 11 fra Litauen og kun to fra USA Rapporten konkluderer, at Snake er et "permanent træk i landskabet", og tilbyder detaljerede anbefalinger til sikkerhedseksperter til at bestemme om deres netværk er blevet gennemtrængt. G Data tilbyder også hjælp; hvis du tror, du har fået en infektion, kan du kontakte [email protected].
Dette er virkelig ikke overraskende. Vi har lært, at NSA har spioneret på udenlandske statschefer. Andre lande vil naturligvis prøve deres egne hænder på at bygge cyber-spionage-værktøjer. Og det bedste af dem, ligesom Uroburos, kan løbe i årevis, før de opdages.
