Video: How to turn on malware detection for your Microsoft 365 for business (Oktober 2024)
Predstavljena pred leti za 64-bitne izdaje operacijskega sistema Windows XP in Windows Server 2003 je Microsoftova zaščita pred popravili kernel ali PatchGuard zasnovana tako, da preprečuje napade zlonamerne programske opreme, ki delujejo s spreminjanjem bistvenih delov jedra Windows. Če rootkitu ali drugemu zlonamernemu programu uspe prilagoditi jedro, PatchGuard namerno zruši sistem. Ta lastnost je za prodajalce protivirusnih programov otežila življenje, saj so se mnogi za izboljšanje varnosti zanašali na benigne popravke jedra; od takrat so se prilagodili. Vendar novo poročilo družbe G Data navaja, da lahko grožnja z imenom Uroburos obide PatchGuard.
Priključevanje Windows
Rootkiti skrivajo svoje dejavnosti s priklopom različnih notranjih funkcij Windows. Ko program pokliče Windows, da poroča o datotekah, ki so v mapi ali vrednosti, ki so shranjene v registrskem ključu, gre najprej za rootkit. Potem pokliče dejansko Windows funkcijo, vendar odstrani vsa sklicevanja na svoje komponente, preden posreduje informacije.
Najnovejša objava v dnevniku G Data pojasnjuje, kako Uroburos obide PatchGuard. Funkcija z glomaznim imenom KeBugCheckEx namerno zruši Windows, če zazna tovrstno aktivnost priklopa jedra (ali več drugih sumljivih dejavnosti). Tako Uroburos seveda kljuka KeBugCheckEx, da skrije svoje druge dejavnosti.
Zelo podrobna razlaga tega postopka je na voljo na spletnem mestu codeproject. Vsekakor gre za publikacijo, ki je samo za strokovnjake. V uvodu je zapisano: "To ni vadnica in začetniki je ne bi smeli brati."
Zabava ne preneha s podrejanjem KeBugCheckEx-a. Uroburos mora še vedno naložiti gonilnik in politika podpisovanja gonilnikov v 64-bitnem sistemu Windows prepoveduje nalaganje gonilnikov, ki jih digitalni podpisnik ne zaupa zaupnemu založniku. Ustvarjalci Uroburosa so uporabili znano ranljivost v zakonitem gonilniku, da so izklopili to politiko.
Cyber-vohunjenje
V prejšnjem postu so raziskovalci G Data Uroburos opisali kot "zelo zapleteno programsko opremo za vohunjenje z ruskimi koreninami." Na PC-ju žrtev učinkovito vzpostavi vohunsko pošiljko in ustvari virtualni datotečni sistem za varno in tajno hrambo svojih orodij in ukradenih podatkov.
Poročilo navaja, "ocenjujemo, da je bilo zasnovano za ciljanje na vladne institucije, raziskovalne ustanove ali podjetja, ki se ukvarjajo z občutljivimi informacijami in podobnimi odmevnimi cilji", in ga povezuje z napadom iz leta 2008 z imenom Agent.BTZ, ki je prodrl v oddelek za Obramba prek zloglasnega trika "USB na parkirišču". Njihovi dokazi so trdni. Uroburos se celo vzdrži namestitve, če zazna, da je Agent.BTZ že prisoten.
Raziskovalci G Data so ugotovili, da je sistem zlonamerne programske opreme te zapletenosti "predrag, da bi ga lahko uporabljali kot običajno vohunsko programsko opremo." Opozarjajo, da ga niso odkrili šele "mnogo let po sumu prve okužbe." In ponujajo bogat dokaz, da je Uroburos ustvarila rusko govoreča skupina.
Prava tarča?
Poglobljeno poročilo družbe BAE Systems Applied Intelligence navaja raziskavo G Data in ponuja dodaten vpogled v to kampanjo vohunjenja, ki ji pravijo "kača". Raziskovalci so zbrali več kot 100 edinstvenih datotek, povezanih s kačo, in izmučili nekaj zanimivih dejstev. Na primer, skoraj vse datoteke so bile sestavljene v tednu dni, kar kaže, da "Ustvarjalci zlonamerne programske opreme upravljajo delovni teden, tako kot kateri koli drug strokovnjak."
V mnogih primerih so raziskovalci lahko določili državo izvora za oddajo zlonamerne programske opreme. Med letoma 2010 in danes je iz Ukrajine prispelo 32 vzorcev, povezanih s kačo, 11 iz Litve in le dva iz ZDA. Poročilo ugotavlja, da je Snake "stalna značilnost pokrajine" in nudi podrobna priporočila za varnostne strokovnjake, da določijo ali je bilo njihovo omrežje prodrto. G Podatki nudijo tudi pomoč; če mislite, da imate okužbo, se lahko obrnete [email protected].
Res, to ne preseneča. Izvedeli smo, da je NSA vohunila za tujimi voditelji držav. Druge države se bodo seveda preizkusile v izdelavi orodij za spletno vohunjenje. In najboljši od njih, kot je Uroburos, lahko tečejo še leta, preden jih odkrijejo.
