بيت Securitywatch Uroburos البرمجيات الخبيثة يهزم patchguard مايكروسوفت

Uroburos البرمجيات الخبيثة يهزم patchguard مايكروسوفت

فيديو: What is Ransomware, How it Works and What You Can Do to Stay Protected (شهر نوفمبر 2024)

فيديو: What is Ransomware, How it Works and What You Can Do to Stay Protected (شهر نوفمبر 2024)
Anonim

منذ سنوات مضت لإصدارات 64 بت من Windows XP و Windows Server 2003 ، تم تصميم حماية تصحيح Kernel من Microsoft ، أو PatchGuard ، لمنع هجمات البرامج الضارة التي تعمل عن طريق تعديل الأجزاء الأساسية من Windows kernel. إذا تمكن برنامج الجذر (rootkit) أو أي برنامج ضار آخر من تعديل القرص ، فإن برنامج PatchGuard يعطل النظام عن عمد. هذه الميزة نفسها جعلت الحياة صعبة بالنسبة لبائعي برامج مكافحة الفيروسات ، حيث اعتمد الكثير منهم على ترميم النواة بشكل أفضل لتحسين الأمان ؛ لقد تكيفت منذ ذلك الحين. ومع ذلك ، ينص تقرير جديد من G Data على أن تهديدًا يسمى Uroburos يمكنه تجاوز PatchGuard.

تركيب ويندوز

تخفي الجذور الخفية أنشطتها عن طريق ربط وظائف ويندوز الداخلية المختلفة. عندما يقوم برنامج ما بالاتصال بنظام Windows للإبلاغ عن الملفات الموجودة في مجلد ، أو القيم المخزنة في مفتاح التسجيل ، ينتقل الطلب أولاً إلى برنامج الجذور الخفية. وهو بدوره يستدعي وظيفة Windows الفعلية ، لكنه يستبعد كل المراجع إلى مكوناته الخاصة قبل تمرير المعلومات.

تشرح أحدث تدوينة في مدونة G Data كيف يدور حول Uroburos حول PatchGuard. تعطل وظيفة باسم ضخم KeBugCheckEx Windows عن عمد إذا اكتشفت هذا النوع من نشاط تثبيت kernel (أو العديد من الأنشطة المشتبه بها الأخرى). لذلك ، بطبيعة الحال ، يربط Uroburos KeBugCheckEx لإخفاء أنشطتها الأخرى.

يتوفر شرح مفصل للغاية لهذه العملية على موقع codeproject. ومع ذلك ، فإنه بالتأكيد منشور للخبراء فقط. تنص المقدمة ، "هذا ليس بالبرنامج التعليمي ولا يجب على المبتدئين قراءته".

المرح لا يتوقف مع تخريب KeBugCheckEx. لا يزال يحتاج Uroburos إلى تحميل برنامج التشغيل الخاص به ، وتحظر سياسة توقيع برنامج التشغيل في Windows 64 بت تحميل أي برنامج تشغيل غير موقّع رقميًا من قبل ناشر موثوق. استخدم منشئو Uroburos ثغرة أمنية معروفة في برنامج تشغيل قانوني لإيقاف هذه السياسة.

سايبر التجسس

في منشور سابق ، وصف باحثو جي داتا Uroburos بأنه "برنامج تجسس شديد التعقيد له جذور روسية." يؤسس بفاعلية موقع تجسس على الكمبيوتر الضحية ، وإنشاء نظام ملفات افتراضي للاحتفاظ بأدواته وبياناته المسروقة بشكل آمن وسري.

يشير التقرير إلى "أننا نقدر أنه تم تصميمه لاستهداف المؤسسات الحكومية أو المؤسسات البحثية أو الشركات التي تتعامل مع معلومات حساسة بالإضافة إلى أهداف مماثلة رفيعة المستوى" ويربطها بهجوم في عام 2008 يسمى Agent.BTZ الذي تسلل إلى قسم الدفاع عن طريق خدعة "USB في موقف للسيارات" سيئة السمعة. أدلةهم قوية. يمتنع Uroburos عن التثبيت إذا اكتشف أن Agent.BTZ موجود بالفعل.

وخلص الباحثون في G Data إلى أن نظام البرمجيات الخبيثة بهذا التعقيد "مكلف للغاية بحيث لا يمكن استخدامه كبرنامج تجسس شائع". يشيرون إلى أنه لم يتم اكتشافه حتى "سنوات عديدة بعد الإصابة الأولى المشتبه فيها." ويقدمون ثروة من الأدلة على أن Uroburos تم إنشاؤه بواسطة مجموعة ناطقة بالروسية.

الهدف الحقيقي؟

يستشهد تقرير معمق صادر عن BAE Systems Applied Intelligence بأبحاث G Data ويوفر نظرة إضافية حول حملة التجسس هذه ، والتي يطلقون عليها "Snake". جمع الباحثون أكثر من 100 ملف فريد يتعلق بـ Snake ، واستخلصوا بعض الحقائق المثيرة للاهتمام. على سبيل المثال ، تم تجميع جميع الملفات تقريبًا في أحد أيام الأسبوع ، مما يشير إلى أن "منشئي البرامج الضارة يعملون أسبوع عمل ، تمامًا مثل أي محترف آخر."

في كثير من الحالات ، كان الباحثون قادرين على تحديد بلد المنشأ لتقديم البرامج الضارة. بين عام 2010 وحتى الوقت الحاضر ، تم تقديم 32 عينة متعلقة بالأفعى من أوكرانيا ، 11 من ليتوانيا ، واثنتان فقط من الولايات المتحدة. ويخلص التقرير إلى أن الأفعى هي "سمة دائمة للمشهد الطبيعي" ، ويقدم توصيات مفصلة لخبراء الأمن لتحديد ما إذا كانت شبكاتهم قد اخترقت. تقدم G Data أيضًا المساعدة ؛ إذا كنت تعتقد أن لديك عدوى ، فيمكنك الاتصال بـ [email protected].

حقا ، هذا ليس مستغربا. لقد تعلمنا أن وكالة الأمن القومي قد تجسست على رؤساء الدول الأجنبية. وبطبيعة الحال ستحاول بلدان أخرى أيديها في بناء أدوات التجسس الإلكتروني. وأفضلهم ، مثل Uroburos ، قد يركضون لسنوات قبل اكتشافهم.

Uroburos البرمجيات الخبيثة يهزم patchguard مايكروسوفت