Video: Вирус в Microsoft Office | Как заражают компы через Mediaget (Nobyembre 2024)
Ipinakilala taon na ang nakaraan para sa 64-bit na mga edisyon ng Windows XP at Windows Server 2003, ang Kernel Patch Protection ng Microsoft, o PatchGuard, ay dinisenyo upang maiwasan ang mga pag-atake ng malware na gumagana sa pamamagitan ng pagbabago ng mga mahahalagang bahagi ng Windows kernel. Kung ang isang rootkit o iba pang mga nakakahamak na programa ay namamahala sa pag-tweak ng kernel, sinasadya ng PatchGuard ang system. Ang kaparehong tampok na ito ay naging matigas ang buhay para sa mga vendor ng antivirus, dahil marami sa kanila ang umasa sa benignly na pag-patching ng kernel upang mapabuti ang seguridad; mula nang sila ay umaangkop. Gayunpaman, ang isang bagong ulat mula sa G Data ay nagsasaad na ang isang banta na tinawag na Uroburos ay maaaring lumampas sa PatchGuard.
Hooking Windows
Itinago ng mga Rootkits ang kanilang mga aktibidad sa pamamagitan ng pag-hook ng iba't ibang mga panloob na function ng Windows. Kapag tumawag ang isang programa sa Windows upang maiulat ang mga file na naroroon sa isang folder, o ang mga halaga na nakaimbak sa isang key ng Registry, ang kahilingan ay pupunta muna sa rootkit. Tinawagan nito ang aktwal na pag-andar ng Windows, ngunit inilalabas ang lahat ng mga sanggunian sa sarili nitong mga sangkap bago ipasa ang impormasyon.
Ang pinakabagong post sa blog ng G Data ay nagpapaliwanag kung paano nakakakuha ang Uroburos sa paligid ng PatchGuard. Ang isang pag-andar na may napakalaking pangalan na KeBugCheckEx ay sadyang nag-crash sa Windows kung nakita nito ang ganitong uri ng kernel hooking activity (o maraming iba pang mga hinihinalang aktibidad). Kaya, natural, itinatali ng Uroburos ang KeBugCheckEx upang itago ang iba pang mga aktibidad.
Ang isang napaka detalyadong paliwanag ng prosesong ito ay magagamit sa website ng codeproject. Gayunpaman, tiyak na isang publication lamang ang publication. Ang panimula ay nagsasaad, "Ito ay hindi isang tutorial at hindi dapat basahin ito ng mga nagsisimula."
Ang kasiyahan ay hindi hihinto sa pag-subverting ng KeBugCheckEx. Kinakailangan pa ng Uroburos na ma-load ang driver nito, at ang Patakaran sa Pag-sign ng Pagmarkir sa 64-bit na Windows forbids na naglo-load ng anumang driver na hindi awtomatikong nilagdaan ng isang pinagkakatiwalaang publisher. Ang mga tagalikha ng Uroburos ay gumagamit ng isang kilalang kahinaan sa isang lehitimong driver upang patayin ang patakarang ito.
Cyber-Espionage
Sa isang mas maagang post G Data ng mga mananaliksik na inilarawan ang Uroburos bilang "lubos na kumplikadong software ng espionage na may mga ugat ng Russia." Epektibong itinatag nito ang isang spionage outpost sa biktima ng PC, na lumilikha ng isang virtual file system upang ligtas at lihim na hawakan ang mga tool at ninakaw na data.
Ang ulat ay nagsasaad, "tinantya namin na dinisenyo ito upang i-target ang mga institusyon ng gobyerno, mga institusyon ng pananaliksik o kumpanya na nakikitungo sa sensitibong impormasyon pati na rin ang mga katulad na target na high-profile, " at iniugnay ito sa isang pag-atake sa 2008 na tinatawag na Agent.BTZ na nagpasok sa Kagawaran ng Depensa sa pamamagitan ng nakakamanghang "USB sa parking lot" trick. Ang kanilang katibayan ay matatag. Ang Uroburos ay kahit na pinipigilan ang pag-install kung nakita na ang Agent.BTZ ay naroroon.
Napagpasyahan ng mga mananaliksik ng G Data na ang isang sistema ng malware ng pagiging kumplikado na ito ay "masyadong mahal upang magamit bilang karaniwang spyware." Sinabi nila na hindi pa ito napansin hanggang sa "maraming taon pagkatapos ng hinihinalang unang impeksyon." At nag-aalok sila ng isang kayamanan ng katibayan na ang Uroburos ay nilikha ng isang pangkat na nagsasalita ng Ruso.
Ang Tunay na Target?
Ang isang malalim na ulat ng BAE Systems Inilapat na Intelligence ay nagbabanggit ng G Data na pananaliksik at nag-aalok ng karagdagang pananaw sa kampanya na ito ng espionage, na tinawag nilang "Snake." Ang mga mananaliksik ay nagtipon ng higit sa 100 natatanging mga file na may kaugnayan sa Snake, at tinukso ang ilang mga kagiliw-giliw na katotohanan. Halimbawa, halos lahat ng mga file ay naipon sa isang araw ng lingo, na nagmumungkahi na "Ang mga tagalikha ng malware ay nagpapatakbo ng isang nagtatrabaho na linggo, tulad ng anumang iba pang propesyonal."
Sa maraming mga kaso, natukoy ng mga mananaliksik ang bansang pinagmulan para sa pagsumite ng malware. Sa pagitan ng 2010 at kasalukuyan, 32 mga halimbawang may kaugnayan sa ahas ay nagmula sa Ukraine, 11 mula sa Lithuania, at dalawa lamang mula sa US Ang pagtatapos ng ulat na ang Snake ay isang "permanenteng tampok ng tanawin, " at nag-aalok ng detalyadong mga rekomendasyon para sa mga eksperto sa seguridad upang matukoy. kung ang kanilang mga network ay natagos. Nag-aalok din ang G Data ng tulong; kung sa palagay mo nakakuha ka ng impeksyon, maaari kang makipag-ugnay sa [email protected].
Talagang, hindi ito nakakagulat. Nalaman namin na ang NSA ay sumusi sa mga dayuhang pinuno ng estado. Ang ibang mga bansa ay natural na susubukan ang kanilang sariling mga kamay sa pagbuo ng mga tool sa spionage ng cyber. At ang pinakamahusay sa kanila, tulad ng Uroburos, ay maaaring tumakbo nang maraming taon bago sila natuklasan.
