Casa Securitywatch Il malware Uroburos sconfigge il patchguard di Microsoft

Il malware Uroburos sconfigge il patchguard di Microsoft

Video: Вирус в Microsoft Office | Как заражают компы через Mediaget (Novembre 2024)

Video: Вирус в Microsoft Office | Как заражают компы через Mediaget (Novembre 2024)
Anonim

Introdotto anni fa per le edizioni a 64 bit di Windows XP e Windows Server 2003, Microsoft Kernel Patch Protection o PatchGuard, è progettato per prevenire attacchi di malware che funzionano modificando parti essenziali del kernel di Windows. Se un rootkit o un altro programma dannoso riesce a modificare il kernel, PatchGuard arresta deliberatamente il sistema. Questa stessa funzionalità ha reso la vita difficile ai venditori di antivirus, poiché molti di loro si sono affidati alla patch benigna del kernel per migliorare la sicurezza; da allora si sono adattati. Tuttavia, un nuovo rapporto di G Data afferma che una minaccia chiamata Uroburos può bypassare PatchGuard.

Collegamento di Windows

I rootkit nascondono le loro attività collegando varie funzioni interne di Windows. Quando un programma chiama Windows per segnalare i file presenti in una cartella o i valori memorizzati in una chiave del Registro di sistema, la richiesta passa prima al rootkit. A sua volta chiama l'effettiva funzione di Windows, ma rimuove tutti i riferimenti ai propri componenti prima di passare le informazioni.

L'ultimo post sul blog di G Data spiega come Uroburos aggira PatchGuard. Una funzione con il nome ingombrante KeBugCheckEx si arresta deliberatamente in crash di Windows se rileva questo tipo di attività di aggancio del kernel (o diverse altre attività sospette). Quindi, naturalmente, Uroburos aggancia KeBugCheckEx per nascondere le sue altre attività.

Una spiegazione molto dettagliata di questo processo è disponibile sul sito web codeproject. Tuttavia, è sicuramente una pubblicazione solo per esperti. L'introduzione afferma: "Questo non è un tutorial e i principianti non dovrebbero leggerlo".

Il divertimento non si ferma con sovvertire KeBugCheckEx. Uroburos deve ancora caricare il suo driver e la politica di firma del driver in Windows a 64 bit proibisce il caricamento di qualsiasi driver che non sia firmato digitalmente da un editore di fiducia. I creatori di Uroburos hanno utilizzato una vulnerabilità nota in un driver legittimo per disattivare questa politica.

Cyber-spionaggio

In un precedente post i ricercatori di G Data hanno descritto Uroburos come "un software di spionaggio altamente complesso con radici russe". Stabilisce efficacemente un avamposto di spionaggio sul PC della vittima, creando un file system virtuale per conservare in modo sicuro e segreto i suoi strumenti e rubare i dati.

Il rapporto afferma che "stimiamo che sia stato progettato per colpire istituzioni governative, istituti di ricerca o società che si occupano di informazioni sensibili e simili obiettivi di alto profilo" e li collega a un attacco del 2008 chiamato Agent.BTZ che si è infiltrato nel Dipartimento di Difesa tramite il famigerato trucco "USB nel parcheggio". La loro prova è solida. Uroburos si astiene persino dall'installare se rileva che Agent.BTZ è già presente.

I ricercatori di G Data hanno concluso che un sistema malware di questa complessità è "troppo costoso per essere utilizzato come spyware comune". Sottolineano che non è stato nemmeno rilevato fino a "molti anni dopo la sospetta prima infezione". E offrono molte prove del fatto che Uroburos è stato creato da un gruppo di lingua russa.

Il vero obiettivo?

Un rapporto approfondito di BAE Systems Applied Intelligence cita la ricerca di G Data e offre ulteriori informazioni su questa campagna di spionaggio, che chiamano "Snake". I ricercatori hanno raccolto oltre 100 file unici relativi a Snake e preso in giro alcuni fatti interessanti. Ad esempio, praticamente tutti i file sono stati compilati in un giorno feriale, suggerendo che "I creatori del malware operano una settimana lavorativa, proprio come qualsiasi altro professionista".

In molti casi, i ricercatori sono stati in grado di determinare il paese di origine per l'invio di malware. Tra il 2010 e oggi, 32 campioni relativi a Snake sono arrivati ​​dall'Ucraina, 11 dalla Lituania e solo due dagli Stati Uniti. Il rapporto conclude che Snake è una "caratteristica permanente del paesaggio" e offre raccomandazioni dettagliate per gli esperti di sicurezza per determinare se le loro reti sono state penetrate. G Data offre anche aiuto; se pensi di avere un'infezione, puoi contattare [email protected].

Davvero, questo non è sorprendente. Abbiamo imparato che l'NSA ha spiato capi di stato stranieri. Altri paesi si cimenteranno naturalmente nella costruzione di strumenti per lo spionaggio informatico. E i migliori, come Uroburos, potrebbero correre per anni prima di essere scoperti.

Il malware Uroburos sconfigge il patchguard di Microsoft