Domov Securitywatch Malvér Uroburos porazil patchguard spoločnosti Microsoft

Malvér Uroburos porazil patchguard spoločnosti Microsoft

Video: How to Disable UEFI Secure Boot in Windows 10 64 bit and 32 bit (November 2024)

Video: How to Disable UEFI Secure Boot in Windows 10 64 bit and 32 bit (November 2024)
Anonim

Kernel Patch Protection alebo PatchGuard od spoločnosti Microsoft, ktorý bol predstavený pred 64 rokmi v 64-bitových vydaniach systému Windows XP a Windows Server 2003, je navrhnutý tak, aby zabránil útokom škodlivého softvéru, ktoré fungujú úpravou podstatných častí jadra systému Windows. Ak rootkit alebo iný škodlivý program dokáže vylepšiť jadro, PatchGuard úmyselne havaruje systém. Táto rovnaká vlastnosť sťažila život predajcom antivírusových programov, pretože mnohí sa spoliehali na neškodné oprava jadra, aby sa zvýšila bezpečnosť; odvtedy sa prispôsobili. Nová správa spoločnosti G Data však uvádza, že hrozba zvaná Uroburos môže obísť PatchGuard.

Pripojenie systému Windows

Rootkity skryjú svoje aktivity pripojením rôznych vnútorných funkcií Windows. Keď program v systéme Windows žiada, aby nahlásil súbory nachádzajúce sa v priečinku alebo hodnoty uložené v kľúči databázy Registry, požiadavka prechádza najskôr do rootkitu. Na druhej strane volá skutočnú funkciu systému Windows, ale pred odovzdaním informácií odstráni všetky odkazy na svoje vlastné komponenty.

Posledný blogový príspevok spoločnosti G Data vysvetľuje, ako sa Uroburos obchádza okolo PatchGuard. Funkcia s objemným názvom KeBugCheckEx úmyselne havaruje Windows, ak zistí tento druh aktivity zaháknutia jadra (alebo niekoľkých ďalších podozrivých aktivít). Takže, samozrejme, Uroburos zahákne KeBugCheckEx, aby skryl svoje ďalšie aktivity.

Veľmi podrobné vysvetlenie tohto postupu je k dispozícii na webovej stránke projektu codeproject. Je to však určite publikácia iba pre odborníkov. V úvode sa uvádza: „Toto nie je žiadny návod a začiatočníci by si ho nemali prečítať.“

Zábava sa nezastaví podvrhnutím KeBugCheckEx. Spoločnosť Uroburos stále potrebuje načítať svoj ovládač a pravidlá pre podpisovanie ovládačov v 64-bitovom systéme Windows zakazujú načítanie akéhokoľvek ovládača, ktorý nie je digitálne podpísaný dôveryhodným vydavateľom. Tvorcovia spoločnosti Uroburos použili známu zraniteľnosť v legitímnom ovládači na vypnutie tejto politiky.

Cyber-špionáž

V skoršom príspevku vedci spoločnosti G Data opísali Uroburos ako „vysoko komplexný špionážny softvér s ruskými koreňmi“. Účinne vytvára špionážne pracovisko na počítači obete, vytvára virtuálny systém súborov, ktorý bezpečne a tajne drží jeho nástroje a ukradnuté údaje.

V správe sa uvádza, že „odhadujeme, že bol navrhnutý tak, aby bol zameraný na vládne inštitúcie, výskumné inštitúcie alebo spoločnosti zaoberajúce sa citlivými informáciami, ako aj podobnými vysokoprofilovými cieľmi“, a spája ho s útokom z roku 2008 s názvom Agent.BTZ, ktorý prenikol do ministerstva Obrana prostredníctvom neslávneho triku „USB na parkovisku“. Ich dôkazy sú spoľahlivé. Inštalácia programu Uroburos dokonca upustí, ak zistí, že agent.BTZ už existuje.

Vedci spoločnosti G Data dospeli k záveru, že systém škodlivého softvéru tejto komplexnosti je „príliš drahý na to, aby sa mohol používať ako bežný spyware“. Poukazujú na to, že to nebolo odhalené až „mnoho rokov po podozrení na prvú infekciu“. A ponúkajú množstvo dôkazov o tom, že Uroburos bol vytvorený rusky hovoriacou skupinou.

Skutočný cieľ?

Hĺbková správa spoločnosti BAE Systems Applied Intelligence cituje prieskum spoločnosti G Data a ponúka ďalšie informácie o tejto špionážnej kampani, ktorú nazývajú „had“. Vedci zhromaždili viac ako 100 jedinečných súborov týkajúcich sa Snake a vyzbierali niekoľko zaujímavých faktov. Napríklad prakticky všetky súbory boli zostavené v pracovný deň, čo naznačuje, že „Tvorcovia škodlivého softvéru pracujú pracovný týždeň, rovnako ako každý iný profesionál.“

V mnohých prípadoch vedci dokázali určiť krajinu pôvodu pre odosielanie škodlivého softvéru. V období od roku 2010 do súčasnosti prišlo 32 vzoriek týkajúcich sa hada z Ukrajiny, 11 z Litvy a iba dve z USA. V správe sa dospelo k záveru, že had je „stálym prvkom krajiny“ a ponúka podrobné odporúčania bezpečnostným expertom na určenie, či boli ich siete preniknuté. G Data tiež ponúka pomoc; Ak si myslíte, že ste dostali infekciu, môžete kontaktovať [email protected].

Naozaj to nie je prekvapujúce. Dozvedeli sme sa, že NSA špehovala zahraničné hlavy štátov. Iné krajiny si prirodzene vyskúšajú svoje vlastné ruky pri vytváraní nástrojov počítačovej špionáže. A tí najlepší z nich, ako Uroburos, môžu trvať roky, kým sa objavia.

Malvér Uroburos porazil patchguard spoločnosti Microsoft