Casa Vigilant de seguretat El programari maliciós d'Uroburos derrota el patchguard del microsoft

El programari maliciós d'Uroburos derrota el patchguard del microsoft

Vídeo: Què és el programari lliure? (De novembre 2024)

Vídeo: Què és el programari lliure? (De novembre 2024)
Anonim

Fa anys que es va presentar per a edicions de 64 bits de Windows XP i Windows Server 2003, el sistema de protecció per al nucli de Microsoft, o PatchGuard, està dissenyat per evitar atacs de programari maliciós que funcionin modificant parts essencials del nucli de Windows. Si un rootkit o un altre programa maliciós aconsegueix modificar el nucli, PatchGuard bloqueja la intenció del sistema. Aquesta mateixa característica va dur la vida als venedors d’antivirus, ja que molts confiaven en pegar ben bé el nucli per millorar la seguretat; des d’aleshores s’han adaptat. Tot i això, un nou informe de G Data afirma que una amenaça anomenada Uroburos pot passar per alt PatchGuard.

Agafant Windows

Els rootoots amaguen les seves activitats enganxant diverses funcions internes de Windows. Quan un programa fa una crida a Windows per informar dels fitxers presents en una carpeta o dels valors emmagatzemats en una clau de registre, la sol·licitud es dirigeix ​​primer al rootkit. Al seu torn, anomena la funció de Windows real, però elimina totes les referències als seus propis components abans de passar la informació.

La darrera publicació al blog de G Data explica com Uroburos es troba al voltant de PatchGuard. Una funció amb el voluminós nom KeBugCheckEx bloqueja de manera deliberada Windows si detecta aquest tipus d’activitat de enganxament del nucli (o diverses altres activitats sospitoses). Així, de manera natural, Uroburos enganxa KeBugCheckEx per ocultar les seves altres activitats.

Una explicació molt detallada d’aquest procés està disponible al lloc web de codeprojecte. Tot i això, és sens dubte una publicació exclusiva d'experts. La introducció diu: "No es tracta d'un tutorial i els principiants no haurien de llegir-lo".

La diversió no s’atura amb subvertir KeBugCheckEx. Uroburos encara necessita carregar-se el controlador i la política de signatura del controlador de Windows de 64 bits prohibeix carregar qualsevol controlador que no hagi signat digitalment un editor de confiança. Els creadors d’Uroburos van utilitzar una vulnerabilitat coneguda en un controlador legítim per desactivar aquesta política.

Ciber-espionatge

En un post anterior, els investigadors de G Data van descriure Uroburos com un "programari d'espionatge altament complex amb arrels russes". Estableix eficaçment un lloc d’espionatge al PC de la víctima, creant un sistema d’arxius virtual per contenir de forma segura les seves eines i dades robades.

L'informe afirma que "estimem que va ser dissenyat per dirigir-se a institucions governamentals, institucions de recerca o empreses que tinguin informació sensible, així com objectius d'alt perfil similar", i el vincula a un atac del 2008 anomenat Agent.BTZ que es va infiltrar en el departament de Defensa mitjançant la infamable trucada "USB a l'aparcament". Les seves evidències són sòlides. Fins i tot, Uroburos s’absté d’instal·lar si detecta que Agent.BTZ ja hi és present.

Els investigadors de G Data van concloure que un sistema maliciós d'aquesta complexitat és "massa car per ser utilitzat com a programari espia comú". Assenyalen que ni tan sols es va detectar fins a "molts anys després de la sospita primera infecció". I ofereixen una gran quantitat de proves que Uroburos va ser creada per un grup de parla russa.

L’objectiu real?

Un informe detallat de BAE Systems Applied Intelligence cita la investigació de G Data i ofereix una visió addicional sobre aquesta campanya d'espionatge, que anomenen "serp". Els investigadors van reunir més de 100 fitxers únics relacionats amb la serp, i van esbrinar alguns fets interessants. Per exemple, pràcticament tots els fitxers van ser compilats un dia entre setmana, cosa que suggereix que "Els creadors del programari maliciós funcionen una setmana de treball, igual que qualsevol altre professional."

En molts casos, els investigadors van poder determinar el país d’origen per a la tramesa d’un programari maliciós. Entre el 2010 i el present, 32 mostres relacionades amb la serp van venir d'Ucraïna, 11 de Lituània i només dues dels EUA. L'informe conclou que la serp és una "característica permanent del paisatge" i ofereix recomanacions detallades per als experts en seguretat per determinar. si les seves xarxes han estat penetrades G Data també ofereix ajuda; si creieu que heu patit una infecció, podeu contactar amb [email protected].

Realment, això no sorprèn. Hem sabut que l’ANS ha espiat els caps d’estats estrangers. Altres països tractaran, naturalment, les seves pròpies mans per construir eines d’espionatge. I el millor, com els uroburos, poden funcionar durant anys abans de ser descoberts.

El programari maliciós d'Uroburos derrota el patchguard del microsoft