Видео: Я БАКТЕРИЯ!!!{}Pony{} NaStya (Ноември 2024)
Представена преди години за 64-битови издания на Windows XP и Windows Server 2003, защитата на ядрото на Patch или явлението PatchGuard на Microsoft е предназначена за предотвратяване на атаки от злонамерен софтуер, които променят съществените части на ядрото на Windows. Ако rootkit или друга злонамерена програма успее да ощипне ядрото, PatchGuard умишлено срива системата. Същата тази функция направи живота труден за антивирусните доставчици, тъй като много от тях разчитаха на доброкачественото потупване на ядрото, за да подобрят сигурността; оттогава се адаптират. Нов доклад на G Data обаче гласи, че заплаха, наречена Uroburos, може да заобиколи PatchGuard.
Кукиране на Windows
Rootkits крият своята дейност, като закачат различни вътрешни функции на Windows. Когато програма се обажда на Windows да докладва за наличните файлове в папка или стойностите, съхранени в ключ на системния регистър, заявката първо преминава към rootkit. Той от своя страна извиква действителната функция на Windows, но премахва всички препратки към собствените си компоненти, преди да предаде информацията.
Последната публикация в блога на G Data обяснява как Uroburos обикаля PatchGuard. Функция с обемистото име KeBugCheckEx умишлено срива Windows, ако открие този вид активност на свързване на ядрото (или няколко други заподозрени дейности). Така че, естествено, Uroburos закача KeBugCheckEx, за да скрие останалите си дейности.
Много подробно обяснение на този процес е достъпно на уебсайта на codeproject. Определено обаче това е публикация само за експерти. Въвеждането гласи: „Това не е урок и начинаещите не трябва да го четат“.
Забавлението не спира с подриване на KeBugCheckEx. Uroburos все още трябва да зареди драйвера си и политиката за подписване на драйвери в 64-битов Windows забранява зареждането на всеки драйвер, който не е подписан цифрово от надежден издател. Създателите на Uroburos използваха известна уязвимост в законния драйвер, за да изключат тази политика.
Cyber-Шпионаж
В по-ранен пост изследователите на G Data описваха Uroburos като "изключително сложен софтуер за шпионаж с руски корени." Той ефективно създава място за шпионаж на компютъра на жертвата, създавайки виртуална файлова система за сигурно и тайно държане на своите инструменти и откраднати данни.
Докладът гласи, „ние смятаме, че той е предназначен да се насочи към правителствени институции, изследователски институции или компании, занимаващи се с чувствителна информация, както и сходни високопоставени цели“ и го свързва с атака от 2008 г., наречена Agent.BTZ, която проникна в отдела на Защита чрез скандалния трик „USB на паркинга“. Техните доказателства са солидни. Uroburos дори се въздържа от инсталиране, ако установи, че Agent.BTZ вече присъства.
Изследователите на G Data заключиха, че система за злонамерен софтуер с такава сложност е "твърде скъпа, за да се използва като обикновен шпионски софтуер". Те изтъкват, че тя дори не е била открита до "много години след заподозрената първа инфекция". И предлагат множество доказателства, че Uroburos е създаден от рускоезична група.
Истинската цел?
В задълбочен доклад на BAE Systems Applied Intelligence се цитира изследването на G Data и предлага допълнителен поглед върху тази шпионажна кампания, която те наричат „Змия“. Изследователите събраха над 100 уникални файла, свързани със Змия, и излъгаха някои интересни факти. Например, почти всички файлове са били компилирани в делничен ден, което предполага, че „Създателите на злонамерения софтуер работят работна седмица, подобно на всеки друг професионалист“.
В много случаи изследователите успяха да определят държавата на произход за подаване на зловреден софтуер. Между 2010 г. и до момента 32 проби, свързани със змии, са дошли от Украйна, 11 от Литва и само две от САЩ. Докладът заключава, че Змията е "постоянна характеристика на пейзажа" и предлага подробни препоръки за експерти по сигурността, за да определят дали мрежите им са проникнали. G Data също предлага помощ; ако смятате, че имате инфекция, можете да се свържете с[email protected].
Наистина, това не е изненадващо. Научихме, че НСА е шпионирала чужди държавни глави. Други страни естествено ще се опитат със собствени ръце в изграждането на инструменти за кибер шпионаж. И най-доброто от тях, като Уробурос, може да работи години, преди да бъдат открити.