Videó: Virus.MSWord.Beauty (November 2024)
A Microsoft Kernel Patch Protection, vagy a PatchGuard évekkel ezelőtt a Windows XP és a Windows Server 2003 64 bites kiadásaira vezetett be, hogy megakadályozza a rosszindulatú programok támadásait, amelyek a Windows kernel lényeges részeinek módosításával működnek. Ha egy gyökérkészlet vagy más rosszindulatú program képes a kernel finomítására, a PatchGuard szándékosan összeomlik a rendszerrel. Ugyanez a szolgáltatás megnehezítette az antivírus forgalmazóit, mivel sokan a biztonság javítása érdekében jóindulatú javításra támaszkodtak; azóta alkalmazkodtak. A G Data új jelentése szerint azonban az Uroburos nevű fenyegetés megkerüli a PatchGuardot.
Akasztó Windows
A gyökérkészletek elrejtik tevékenységüket a Windows különféle belső funkcióinak bekapcsolásával. Amikor egy program felhívja a Windows-ot, hogy jelentsen egy mappában lévő fájlokat vagy a rendszerleíró kulcsban tárolt értékeket, a kérés először a gyökérkészlethez kerül. Ez viszont meghívja a tényleges Windows funkciót, de az összes információ elhagyása előtt eltávolítja az összes hivatkozást a saját összetevőire.
A G Data legújabb blogbejegyzése elmagyarázza, hogy az Uroburos hogyan kerül körül a PatchGuard környékén. A KeBugCheckEx terjedelmes nevű funkció szándékosan összeomlik a Windows-kal, ha észleli az ilyen kernel-összekapcsolási tevékenységet (vagy több más gyanús tevékenységet). Tehát természetesen az Uroburos bekapcsolja a KeBugCheckEx-et, hogy elrejtse egyéb tevékenységeit.
Ennek a folyamatnak a részletes ismertetése elérhető a codeproject webhelyén. Ez azonban határozottan csak szakértők számára készült kiadvány. A bevezető kijelenti: "Ez nem oktatóprogram, és a kezdőknek nem szabad elolvasni."
A szórakozás nem ér véget a KeBugCheckEx felborításával. Az Uroburosnak még mindig meg kell töltenie az illesztőprogramját, és a 64 bites Windows illesztőprogram-aláírási házirendje megtiltja minden olyan illesztőprogram betöltését, amelyet digitálisan nem ír alá egy megbízható kiadó. Az Uroburos alkotói ismert biztonsági rést használtak fel egy illesztőprogramban, hogy kikapcsolják ezt az irányelvet.
Cyber-Kémkedés
Egy korábbi bejegyzésben a G Data kutatói az Uroburost "rendkívül bonyolult, orosz gyökerekkel rendelkező kémprogram-szoftvernek" írták le. Ez hatékonyan létrehoz egy kémkedés előpostát az áldozat PC-jén, létrehozva egy virtuális fájlrendszert az eszközök és lopott adatok biztonságos és titkos tárolására.
A jelentés kimondja, hogy "becsléseink szerint a kormányzati intézményeket, kutatóintézeteket vagy cégeket célozták meg, amelyek érzékeny információkkal, valamint hasonló magas szintű célokkal foglalkoznak", és összekapcsolja azt egy Agent.BTZ nevű, 2008-as támadással, amely beszivárogott a Védelem a hírhedt "USB-vel a parkolóban" trükk révén. Bizonyításuk szilárd. Az Uroburos még a telepítéstől is tartózkodik, ha észleli, hogy az Agent.BTZ már jelen van.
A G Data kutatói arra a következtetésre jutottak, hogy egy ilyen bonyolult rosszindulatú program "túl drága ahhoz, hogy közönséges kémprogramként lehessen használni". Hangsúlyozzák, hogy csak akkor fedezték fel, amikor "sok évvel a feltételezett első fertőzés után". És rengeteg bizonyítékot kínálnak arra, hogy az Uroburost egy oroszul beszélő csoport hozta létre.
Az igazi cél?
A BAE Systems Applied Intelligence mélyreható jelentése idézi a G Data kutatást és további betekintést nyújt e kémkedés kampányába, amelyet "Kígyónak" hívnak. A kutatók több mint 100 egyedi fájlt gyűjtöttek össze a Kígyóval kapcsolatban, és érdekes tényeket ismertettek. Például szinte az összes fájlt egy hétköznap állították össze, ami azt sugallja, hogy "a rosszindulatú programok alkotói munkanapon dolgoznak, akárcsak minden más szakember".
Sok esetben a kutatók meg tudták határozni a malware benyújtásának származási országát. 2010 és a jelenlegi időszak között 32 Kígyóval kapcsolatos minta érkezett Ukrajnából, 11 Litvániából és mindössze kettő az Egyesült Államokból. A jelentés arra a következtetésre jut, hogy a Kígyó "a táj állandó tulajdonsága", és részletes ajánlásokat kínál a biztonsági szakértők számára a meghatározták-e hálózataikat. A G Data szintén segítséget nyújt; Ha úgy gondolja, hogy fertőzése van, vegye fel a kapcsolatot az [email protected] címen.
Valójában ez nem meglepő. Megtudtuk, hogy az NSA kémkedésre hívta fel a külföldi államfőket. Más országok természetesen megpróbálják majd saját kezüket a számítógépes kémkedés eszközeinek felépítésében. És a legjobb közülük, mint például az Uroburos, évekig futhat, mielőtt felfedezik őket.
