Rumah Jam keamanan Malware Uroburos mengalahkan patchguard microsoft

Malware Uroburos mengalahkan patchguard microsoft

Video: Вирус в Microsoft Office | Как заражают компы через Mediaget (Desember 2024)

Video: Вирус в Microsoft Office | Как заражают компы через Mediaget (Desember 2024)
Anonim

Diperkenalkan tahun lalu untuk edisi 64-bit Windows XP dan Windows Server 2003, Microsoft's Kernel Patch Protection, atau PatchGuard, dirancang untuk mencegah serangan malware yang bekerja dengan memodifikasi bagian-bagian penting dari kernel Windows. Jika rootkit atau program jahat lainnya berhasil mengubah kernel, PatchGuard sengaja membuat crash sistem. Fitur yang sama ini membuat hidup lebih sulit bagi vendor antivirus, karena banyak dari mereka yang mengandalkan patch kernel untuk meningkatkan keamanan; mereka sudah beradaptasi. Namun, laporan baru dari G Data menyatakan bahwa ancaman yang disebut Uroburos dapat mem-bypass PatchGuard.

Menghubungkan Windows

Rootkit menyembunyikan aktivitas mereka dengan mengaitkan berbagai fungsi internal Windows. Ketika sebuah program memanggil Windows untuk melaporkan file yang ada dalam folder, atau nilai-nilai yang disimpan dalam kunci Registry, permintaan masuk terlebih dahulu ke rootkit. Ini pada gilirannya memanggil fungsi Windows yang sebenarnya, tetapi menghapus semua referensi ke komponennya sendiri sebelum meneruskan informasi.

Posting blog terbaru G Data menjelaskan bagaimana Uroburos menjelajahi PatchGuard. Sebuah fungsi dengan nama besar KeBugCheckEx sengaja membuat crash Windows jika mendeteksi jenis aktivitas pengait kernel (atau beberapa aktivitas mencurigakan lainnya). Jadi, secara alami, Uroburos mengaitkan KeBugCheckEx untuk menyembunyikan aktivitas lainnya.

Penjelasan yang sangat rinci tentang proses ini tersedia di situs proyek codep. Namun, ini jelas merupakan publikasi khusus para ahli. Pendahuluan menyatakan, "Ini bukan tutorial dan pemula tidak boleh membacanya."

Kegembiraan tidak berhenti dengan menumbangkan KeBugCheckEx. Uroburos masih perlu memuat drivernya, dan Kebijakan Penandatanganan Driver di Windows 64-bit melarang memuat driver apa pun yang tidak ditandatangani secara digital oleh penerbit tepercaya. Pembuat Uroburos menggunakan kerentanan yang diketahui dalam driver sah untuk mematikan kebijakan ini.

Cyber-Spionage

Dalam posting sebelumnya, para peneliti Data G menggambarkan Uroburos sebagai "perangkat lunak spionase yang sangat kompleks dengan akar Rusia." Ini secara efektif membangun pos spionase pada PC korban, menciptakan sistem file virtual untuk secara aman dan diam-diam memegang alat-alatnya dan mencuri data.

Laporan itu menyatakan, "kami memperkirakan bahwa itu dirancang untuk menargetkan institusi pemerintah, lembaga penelitian atau perusahaan yang berurusan dengan informasi sensitif serta target profil tinggi yang serupa, " dan menghubungkannya dengan serangan 2008 yang disebut Agent.BTZ yang menyusup ke Departemen Pertahanan melalui trik terkenal "USB di tempat parkir". Bukti mereka solid. Uroburos bahkan menahan diri untuk menginstal jika mendeteksi bahwa Agent.BTZ sudah ada.

Peneliti G Data menyimpulkan bahwa sistem malware dengan kompleksitas ini "terlalu mahal untuk digunakan sebagai spyware umum." Mereka menunjukkan bahwa itu bahkan tidak terdeteksi sampai "bertahun-tahun setelah infeksi pertama yang dicurigai." Dan mereka menawarkan banyak bukti bahwa Uroburos diciptakan oleh kelompok berbahasa Rusia.

Target Nyata?

Laporan mendalam oleh BAE Systems Applied Intelligence mengutip penelitian G Data dan menawarkan wawasan tambahan tentang kampanye spionase ini, yang mereka sebut "Ular." Para peneliti mengumpulkan lebih dari 100 file unik terkait dengan Snake, dan menemukan beberapa fakta menarik. Misalnya, hampir semua file dikompilasi pada hari kerja, menunjukkan bahwa "Pembuat malware mengoperasikan minggu kerja, sama seperti profesional lainnya."

Dalam banyak kasus, para peneliti dapat menentukan negara asal untuk pengiriman malware. Antara 2010 dan saat ini, 32 sampel terkait-Ular datang dari Ukraina, 11 dari Lithuania, dan hanya dua dari AS. Laporan ini menyimpulkan bahwa Snake adalah "fitur permanen lanskap, " dan menawarkan rekomendasi terperinci bagi para pakar keamanan untuk menentukan apakah jaringan mereka telah ditembus. G Data juga menawarkan bantuan; Jika Anda merasa telah terinfeksi, Anda dapat menghubungi [email protected].

Sungguh, ini tidak mengejutkan. Kami telah belajar bahwa NSA telah memata-matai kepala negara asing. Negara-negara lain secara alami akan mencoba tangan mereka sendiri dalam membangun alat spionase cyber. Dan yang terbaik dari mereka, seperti Uroburos, dapat berjalan selama bertahun-tahun sebelum mereka ditemukan.

Malware Uroburos mengalahkan patchguard microsoft