×
smbdoor.jpg
Un ricercatore di sicurezza ha creato un proof-of-concept backdoor ispirato dalla NSA malware che trapelato online nella primavera del 2017.
Questo nuovo malware è chiamato SMBdoor e l’opera di RiskSence ricercatore di sicurezza Sean Dillon (@zerosum0x0).
Dillon progettato SMBdoor come kernel di Windows driver che una volta installato sul PC di abuso privi di documenti Api nel srvnet.sys processo di registrarsi come un valido gestore per SMB (Server Message Block) e le connessioni.
Il malware è molto furtivo, come non associare a qualsiasi locale prese, aprire le porte, o ganci in funzioni esistenti e, in tal modo evitando di attivare avvisi per alcuni sistemi antivirus.
Il suo design è stato ispirato da un comportamento simile che Dillon ha visto in DoublePulsar e DarkPulsar, due malware impianti progettati dalla NSA che erano trapelate online da un nefasto gruppo di hacker conosciuto come The Shadow Broker.
Non un’arma
Ma alcuni utenti potrebbero chiedersi –perché un ricercatore di sicurezza di creare malware, in primo luogo?
In un’intervista a ZDNet oggi, Dillon ci ha detto che il SMBdoor codice non è un’arma, e che i criminali informatici possono scaricare da GitHub e infettare gli utenti allo stesso modo sono in grado di scaricare e distribuire versioni della NSA DoublePulsar out of the box.
“[SMBdoor] arriva con limitazioni pratiche che rendono per lo più accademico, esplorazione, ma ho pensato che potrebbe essere interessante da condividere, ed è forse qualcosa di [endpoint di rilevamento e risposta, aka antivirus] prodotti devono monitorare,” Dillon ha detto.
“Ci sono delle limitazioni nella proof-of-concept che un utente malintenzionato deve superare”, ha aggiunto. “Ancora più importante, moderno, Windows tenta di bloccare unsigned codice del kernel.
“Ci sono anche le complicanze secondarie backdoor avrebbe dovuto conto, durante il processo di caricamento di payload secondario, al fine di utilizzare la memoria di paging e non di stallo il sistema,” Dillon ha detto.
“Entrambi i problemi sono numerosi e ben noti ignora, ma diventano ancora più difficile quando le moderne strategie di riduzione del rischio, come Hyper-V Codice di Integrità sono abilitati.”
Dillon ha detto che a meno che un attaccante valori stealth più che lo sforzo necessario per modificare SMBdoor, quindi questo sperimentali malware non è molto utile a chiunque.
Furtivo dal design
Dillon lavoro su SMBdoor ha catturato l’attenzione di molti ricercatori di sicurezza a causa della sua furtivo e privi di documenti di funzioni API.
Questo sembra buono, open source impianto piggy supporto SMB (quindi nessun nuovo porte aperte) la Doublepulsar. https://t.co/yaxWBNLu4D
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) 14 Aprile, 2019
Questo è piuttosto interessante: https://t.co/0jcboffksK
— Joe Slowik (@jfslowik) 24 aprile 2019
“Come DOUBLEPULSAR, questo impianto si nasconde un esoterico area del sistema,” Dillon detto a ZDNet.
“Ascolto il traffico di rete su un già vincolato porta, senza toccare le prese, non è ben definito nelle attuali metodologie e fa parte di una vasta area di ricerca.
Argomenti Correlati:
Windows
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati