Video: Kernel Mode Threats and Practical Defenses (Marraskuu 2024)
Vuotta sitten Windows XP: n ja Windows Server 2003: n 64-bittisille versioille tuotu Microsoftin Kernel Patch Protection tai PatchGuard on suunniteltu estämään haittaohjelmahyökkäykset, jotka toimivat muuttamalla Windows-ytimen olennaisia osia. Jos juurihakemisto tai muu haittaohjelma onnistuu säätämään ytimen, PatchGuard kaataa järjestelmän tarkoituksella. Sama ominaisuus teki elämästä vaikean viruksentorjuntatoimittajille, koska monet heistä luottavat ytimen hyvänlaatuiseen korjaamiseen turvallisuuden parantamiseksi; he ovat sittemmin sopeutuneet. G Data -raportissa todetaan kuitenkin, että Uroburos-niminen uhka voi ohittaa PatchGuardin.
Windowsin kytkeminen
Juurikomplektit piilottavat toimintansa kytkemällä useita Windowsin sisäisiä toimintoja. Kun ohjelma kehottaa Windowsia ilmoittamaan kansiossa olevat tiedostot tai rekisteriavaimeen tallennetut arvot, pyyntö menee ensin juurihakemistoon. Se puolestaan kutsuu todellista Windows-toimintoa, mutta poistaa kaikki viittaukset omiin komponentteihinsa ennen tiedon siirtämistä.
G Data -yrityksen uusin blogin viesti selittää, kuinka Uroburos kiertää PatchGuardia. Mahtava nimi KeBugCheckEx kaatuu tarkoituksella Windows, jos se havaitsee tällaisen ytimen koukutuksen (tai useita muita epäilyttäviä toimintoja). Joten Uroburos kiinnittää KeBugCheckExin luonnollisesti piilottaakseen muun toiminnan.
Hyvin yksityiskohtainen selitys tästä prosessista on saatavana codeproject-verkkosivustolla. Se on kuitenkin ehdottomasti vain asiantuntijoiden julkaisu. Johdannossa todetaan: "Tämä ei ole opetusohjelma, eikä aloittelijoiden pitäisi lukea sitä."
Hauskaa ei lopu KeBugCheckExin kumoamiseen. Uroburos tarvitsee edelleen ohjaimen lataamisen, ja 64-bittisessä Windows-ohjaimen allekirjoitussäännöt kieltävät kaikkien ajureiden lataamisen, joita ei ole luotettavan julkaisijan digitaalisesti allekirjoittamaa. Uroburosin luojat käyttivät tunnetun laillisen ohjaimen haavoittuvuutta tämän käytännön poistamiseen.
Cyber-Vakoilu
G Data -tutkijat kuvasivat aikaisemmassa viestissä Uroburosta "erittäin monimutkaisesta vakoiluohjelmasta, jolla on Venäjän juuret". Se perustaa tehokkaasti vakoilun etupostin uhrin tietokoneelle luomalla virtuaalisen tiedostojärjestelmän, jonka avulla työkalut ja varastetut tiedot voidaan pitää turvallisesti ja salassa.
Raportissa todetaan, että "arvioimme, että se oli tarkoitettu kohdistamaan julkishallinnon laitoksia, tutkimuslaitoksia tai yrityksiä, jotka käsittelevät arkaluontoisia tietoja ja vastaavia korkean profiilin kohteita", ja linkittää sen vuoden 2008 hyökkäykseen nimeltä Agent.BTZ, joka tunkeutui Department of Puolusta pahamaineisen "pysäköintialueella olevan USB: n" kautta. Heidän todisteensa ovat vakaat. Uroburos pidättyy jopa asentamisesta, jos se havaitsee, että Agent.BTZ on jo läsnä.
G Datan tutkijat päättelivät, että tämän monimutkaisuuden mukainen haittaohjelma on "liian kallis käyttääkseen sitä tavallisena vakoiluohjelmana". He huomauttavat, että sitä ei havaittu edes "monen vuoden kuluttua epäillystä ensimmäisestä tartunnasta". Ja he tarjoavat runsaasti todisteita siitä, että venäjänkieliset ryhmät ovat luoneet Uroburoksen.
Todellinen tavoite?
BAE Systems Applied Intelligence -yrityksen perusteellinen raportti mainitsee G Data -tutkimuksen ja tarjoaa lisätietoja tästä vakoilukampanjasta, jota he kutsuvat "Käärmeksi". Tutkijat keräsivät yli 100 käärmeeseen liittyvää ainutlaatuista tiedostoa ja kertoivat mielenkiintoisia tosiasioita. Esimerkiksi käytännössä kaikki tiedostot koottiin arkipäivänä, mikä viittaa siihen, että "haittaohjelmien luojat käyttävät työviikkoa, kuten kaikki muutkin ammattilaiset."
Monissa tapauksissa tutkijat pystyivät selvittämään haittaohjelmien lähettämisen alkuperämaan. Vuoden 2010 ja tämän päivän välisenä aikana 32 käärmeeseen liittyvää näytettä tuli Ukrainasta, 11 Liettuasta ja vain kaksi Yhdysvalloista. Raportin päätelmässä käärme on "maiseman pysyvä ominaisuus", ja se tarjoaa turvallisuusasiantuntijoille yksityiskohtaisia suosituksia määrittääkseen onko heidän verkkoihinsa tunkeutunut. G Data tarjoaa myös apua; Jos epäilet, että sinulla on tartunta, voit ottaa yhteyttä [email protected].
Tämä ei todellakaan ole yllättävää. Olemme oppineet, että NSA on vakoittanut ulkomaisia valtionpäämiehiä. Muut maat kokeilevat luonnollisesti omia käsiään verkossa vakoilutyökalujen rakentamisessa. Ja parhaat niistä, kuten Uroburos, saattavat ajaa vuosia ennen kuin he löydetään.