Video: COVID-19 | Boot Sector Overwriting Malware (September 2024)
Introducerat för år sedan för 64-bitarsutgåvor av Windows XP och Windows Server 2003, Microsofts Kernel Patch Protection eller PatchGuard, är utformad för att förhindra skadliga attacker som fungerar genom att modifiera väsentliga delar av Windows-kärnan. Om ett rootkit eller annat skadligt program lyckas finjustera kärnan, kraschar PatchGuard medvetet systemet. Samma funktion gjorde livet svårt för antivirusförsäljare, eftersom många av dem förlitade sig på godartad patchning av kärnan för att förbättra säkerheten. de har sedan anpassat sig. En ny rapport från G Data säger dock att ett hot som kallas Uroburos kan kringgå PatchGuard.
Ansluter Windows
Rootkits döljer sina aktiviteter genom att ansluta olika Windows-interna funktioner. När ett program uppmanar Windows att rapportera filerna som finns i en mapp, eller värdena lagrade i en registernyckel, går förfrågan först till rootkit. Den kallar i sin tur den faktiska Windows-funktionen, men raderar alla referenser till sina egna komponenter innan den går längs med informationen.
G Datas senaste blogginlägg förklarar hur Uroburos tar sig runt PatchGuard. En funktion med det skrymmande namnet KeBugCheckEx kraschar medvetet Windows om den upptäcker denna typ av kärnkrokaktivitet (eller flera andra misstänkta aktiviteter). Så, naturligtvis, krokar Uroburos KeBugCheckEx för att dölja sina andra aktiviteter.
En mycket detaljerad förklaring av denna process finns på kodprojektets webbplats. Men det är definitivt en publikation som bara är experter. Inledningen säger "Detta är ingen självstudie och nybörjare ska inte läsa den."
Rolan slutar inte med att subvertera KeBugCheckEx. Uroburos behöver fortfarande ladda sin drivrutin, och Driver Signing Policy i 64-bitars Windows förbjuder att ladda alla drivrutiner som inte är digitalt signerade av en betrodd utgivare. Skaparna av Uroburos använde en känd sårbarhet i en legitim drivrutin för att stänga av denna policy.
Cyber-Espionage
I ett tidigare inlägg beskrev G Data-forskare Uroburos som "mycket komplex spionprogramvara med ryska rötter." Det skapar effektivt en spionageutpost på offerdatoren och skapar ett virtuellt filsystem för att säkert och hemligt kan hålla sina verktyg och stulna data.
Rapporten säger "vi uppskattar att den var utformad för att rikta in sig på statliga institutioner, forskningsinstitutioner eller företag som hanterar känslig information samt liknande högprofilerade mål" och länkar den till en attack från 2008 som heter Agent.BTZ som infiltrerade departementet för Försvar via det ökända "USB på parkeringsplatsen" trick. Deras bevis är fast. Uroburos avstår till och med att installera om det upptäcker att Agent.BTZ redan finns.
G Datas forskare drog slutsatsen att ett malwareprogram av denna komplexitet är "för dyrt för att användas som vanligt spionprogram." De påpekar att det inte ens upptäcktes förrän "många år efter den misstänkta första infektionen." Och de erbjuder en mängd bevis på att Uroburos skapades av en rysktalande grupp.
Det riktiga målet?
En fördjupad rapport från BAE Systems Applied Intelligence citerar G Data-forskningen och erbjuder ytterligare inblick i denna spionage-kampanj, som de kallar "Snake". Forskare samlade över 100 unika filer relaterade till Snake och retade ut några intressanta fakta. Till exempel kompilerades praktiskt taget alla filerna på en veckodag, vilket tyder på att "Skaparna av skadlig programvara fungerar en arbetsvecka, precis som alla andra proffs."
I många fall kunde forskare fastställa ursprungslandet för inlämning av skadlig programvara. Mellan 2010 och i dag kom 32 ormrelaterade prover från Ukraina, 11 från Litauen och bara två från USA. Rapporten drar slutsatsen att Snake är en "permanent funktion i landskapet" och erbjuder detaljerade rekommendationer för säkerhetsexperter för att fastställa om deras nätverk har penetrerats. G Data erbjuder också hjälp; om du tror att du har fått en infektion kan du kontakta [email protected].
Det är verkligen inte förvånande. Vi har lärt oss att NSA har spionerat på utländska statschefer. Andra länder kommer naturligtvis att prova sina egna händer på att bygga verktyg för cyber-spionage. Och det bästa av dem, som Uroburos, kan köra i flera år innan de upptäcks.
