Video: Очистка ПК от Adware/Malware (Noiembrie 2024)
Introducere în urmă cu ani pentru ediții pe 64 de biți ale Windows XP și Windows Server 2003, Kernel Patch Protection, sau PatchGuard, este proiectat pentru a preveni atacurile malware care funcționează modificând părți esențiale ale kernel-ului Windows. Dacă un rootkit sau un alt program dăunător reușește să modifice kernel-ul, PatchGuard blocează în mod deliberat sistemul. Aceeași caracteristică a făcut viața dificilă pentru furnizorii de antivirus, deoarece mulți dintre ei s-au bazat pe patch-ul benign al kernelului pentru a îmbunătăți securitatea; de atunci s-au adaptat. Cu toate acestea, un nou raport al G Data afirmă că o amenințare numită Uroburos poate ocoli PatchGuard.
Agatând Windows
Rootkit-urile își ascund activitățile prin conectarea diferitelor funcții interne ale Windows. Atunci când un program apelează la Windows pentru a raporta fișierele prezente într-un folder sau valorile stocate într-o cheie de înregistrare, cererea merge mai întâi la rootkit. La rândul său, apelează funcția Windows reală, dar elimină toate referințele la propriile componente înainte de a transmite informațiile.
Cea mai recentă postare pe blog a lui G Data explică modul în care Uroburos se apropie de PatchGuard. O funcție cu numele voluminos KeBugCheckEx se prăbușește în mod deliberat pe Windows dacă detectează acest tip de activitate de agățare a kernelului (sau a mai multor alte activități suspecte). Deci, în mod natural, Uroburos cârligă KeBugCheckEx pentru a-și ascunde celelalte activități.
O explicație foarte detaliată a acestui proces este disponibilă pe site-ul codeproject. Cu toate acestea, este cu siguranță o publicație dedicată exclusiv experților. Introducerea spune: "Acesta nu este un tutorial și începătorii nu ar trebui să-l citească."
Distracția nu se oprește cu subvertirea KeBugCheckEx. Uroburos trebuie să-și încarce șoferul, iar politica de semnare a driverului în Windows pe 64 de biți interzice încărcarea oricărui driver care nu este semnat digital de către un editor de încredere. Creatorii Uroburos au folosit o vulnerabilitate cunoscută într-un driver legitim pentru a opri această politică.
Cyber-Spionaj
Într-o postare anterioară, cercetătorii G Data au descris Uroburos drept „software de spionaj extrem de complex cu rădăcini rusești”. Stabilește eficient un avanpost de spionaj pe computerul victimei, creând un sistem virtual de fișiere pentru a ține în siguranță instrumentele și datele furate.
Raportul afirmă: „estimăm că a fost conceput să vizeze instituțiile guvernamentale, instituțiile de cercetare sau companiile care se ocupă de informații sensibile, precum și ținte similare cu profil înalt”, și le leagă de un atac din 2008 numit Agent.BTZ care s-a infiltrat în Departamentul din Apărare prin infamul truc „USB în parcare”. Dovada lor este solidă. Uroburos chiar se abține de la instalare dacă detectează că Agent.BTZ este deja prezent.
Cercetătorii lui G Data au concluzionat că un sistem malware de această complexitate este „prea scump pentru a fi folosit ca spyware comun”. Ei subliniază că nici măcar nu a fost detectat până la „mulți ani după suspectarea primei infecții”. Și oferă o mulțime de dovezi că Uroburos a fost creat de un grup de limbă rusă.
Tinta reala?
Un raport aprofundat al BAE Systems Applied Intelligence citează cercetările privind datele G și oferă o perspectivă suplimentară asupra acestei campanii de spionaj, pe care o numesc „șarpe”. Cercetătorii au strâns peste 100 de fișiere unice legate de șarpe și au înțeles câteva fapte interesante. De exemplu, aproape toate fișierele au fost compilate într-o zi săptămânală, ceea ce sugerează că „Creatorii programului malware operează o săptămână de lucru, la fel ca orice alt profesionist”.
În multe cazuri, cercetătorii au putut să stabilească țara de origine pentru depunerea unui malware. Între 2010 și prezent, 32 de probe legate de șarpe au venit din Ucraina, 11 din Lituania și doar două din SUA Raportul concluzionează că Șarpele este o „caracteristică permanentă a peisajului” și oferă recomandări detaliate pentru experții în securitate pentru a determina indiferent dacă rețelele lor au fost pătrundute De asemenea, G Data oferă ajutor; dacă credeți că ați avut o infecție, puteți contacta [email protected].
Într-adevăr, acest lucru nu este surprinzător. Am aflat că ANS a spionat pe șefii de stat străini. Alte țări vor încerca, în mod natural, propriile mâini la construirea instrumentelor de spionaj cibernetic. Iar cei mai buni dintre ei, precum Uroburos, pot alerga ani întregi înainte de a fi descoperiți.