×
smbdoor.jpg
En säkerhetsforskare har skapat en proof-of-concept bakdörr inspirerad av NSA skadlig kod som läckt ut på nätet våren 2017.
Denna nya malware är uppkallad SMBdoor och är ett verk av RiskSence säkerhet forskare Sean Dillon (@zerosum0x0).
Dillon utformad SMBdoor som en Windows kernel-drivrutinen när du har installerat på en DATOR kommer övergrepp papperslösa Api: er i srvnet.sys processen att registrera sig som en giltig hanteraren för SMB (Server Message Block) anslutningar.
Malware är mycket smygande, så det spelar inte binda sig till någon lokal uttag, öppna portar eller krokar i befintliga funktioner, och genom att göra så för att undvika att utlösa larm för vissa antivirus system.
Dess design var inspirerad av liknande beteende som Dillon har sett i DoublePulsar och DarkPulsar, två malware implantat designad av NSA som har läckt ut på nätet av en ondsinte hacking grupp som kallas Skuggan Mäklare.
Inte weaponized
Men vissa användare kan fråga sig, varför en säkerhetsforskare skapa skadlig kod, i första hand?
I en intervju med ZDNet idag, Dillon berättade för oss att SMBdoor kod är inte weaponized, och att cyberbrottslingar inte kan ladda ner det från GitHub och infektera användarna på samma sätt som de kan hämta och distribuera versioner av NSA: s DoublePulsar ur lådan.
“[SMBdoor] kommer med praktiska begränsningar som gör det mestadels en akademisk undersökning, men jag tänkte att det kunde vara intressant att dela, och är möjligen något [endpoint detection och svar, aka antivirus] produkter skall övervaka,” Dillon sagt.
“Det finns begränsningar i proof-of-concept som en angripare skulle ha att övervinna,” tillade han. “Viktigast av allt, moderna Windows försök att blockera osignerad kod i kärnan.
“Det finns också sekundära komplikationer bakdörr skulle behöva stå till svars för, under processen för lastning sekundära nyttolast, för att använda växlingsbart minne och inte dödläge systemet,” Dillon sagt.
“Båda dessa frågor har flera kända förbi, men de blir ännu svårare när modern begränsande faktorer såsom Hyper-V Kod Integritet är aktiverade.”
Dillon sagt att om en angripare värden stealth mer arbete än vad som behövs för att ändra SMBdoor, då denna experimentella malware är inte mycket till nytta för någon.
Smygande genom design
Dillon arbete på SMBdoor har uppmärksammats av många säkerhetsforskare på grund av dess smygande design och användning av papperslösa API-funktioner.
Här ser bra ut, öppen källkod implantat piggy stöd för SMB (så att inga nya portar öppnas) en la Doublepulsar. https://t.co/yaxWBNLu4D
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) April 14, 2019
Detta är ganska intressant: https://t.co/0jcboffksK
— Joe Slowik (@jfslowik) April 24, 2019
“Som DOUBLEPULSAR, detta implantat gömmer sig i en esoterisk område av systemet,” Dillon berättade ZDNet.
“Lyssna på nätverkstrafik över en redan bundna port, utan att röra några uttag, är inte väl etablerade i det aktuella metoder och är en del av ett växande forskningsområde.
Relaterade Ämnen:
Windows
Säkerhet-TV
Hantering Av Data
CXO
Datacenter