2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號:
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請將#換成@)
一名安全研究人員創(chuàng)建了一個概念驗證后門,其靈感來自2017年春季在線泄露的NSA惡意軟件。10個危險的app漏洞需要注意(免費PDF)Dillon將SMBdoor設(shè)計為Windows內(nèi)核驅(qū)動程序,一旦安裝在PC上,就會濫用srvnet.sys進程中未記錄的API,將自身注冊為SMB(服務(wù)器消息塊)連接的有效處理程序。惡意軟件非常隱蔽,因為它不會綁定到任何本地套接字,打開端口或掛鉤到現(xiàn)有功能,并且這樣做可以避免觸發(fā)某些防病毒系統(tǒng)的警報。
它的設(shè)計靈感來自Dillon在DoublePulsar和DarkPulsar中看到的類似行為,這是由NSA設(shè)計的兩個惡意軟件植入物,被一個邪惡的黑客組織The Shadow Brokers在網(wǎng)上泄露。
沒有武器化
但有些用戶可能會問自己 - 為什么安全研究人員首先會制造惡意軟件?
在今天接受ZDNet采訪時,Dillon告訴我們,SMBdoor代碼沒有武器化,網(wǎng)絡(luò)犯罪分子無法從GitHub下載并感染用戶,就像他們可以下載和部署NSA的DoublePulsar版本一樣。
“[SMBdoor]具有實際限制,使其主要是學(xué)術(shù)探索,但我認為分享可能很有趣,并且可能是[端點檢測和響應(yīng),又稱防病毒]產(chǎn)品應(yīng)監(jiān)控的東西,”Dillon說。
“攻擊者必須克服的概念驗證存在局限性,”他補充說。“最重要的是,現(xiàn)代Windows試圖阻止未簽名的內(nèi)核代碼。
“在加載輔助有效載荷的過程中,后門必須考慮到后續(xù)問題,以便使用分頁存儲器而不會使系統(tǒng)死鎖,”Dillon說。
“這兩個問題都有幾個眾所周知的繞過,但是當(dāng)啟用Hyper-V Code Integrity等現(xiàn)代緩解措施時,它們確實變得更加困難。”
Dillon表示,除非攻擊者重視隱身而不是修改SMBdoor所需的努力,否則這種實驗性惡意軟件對任何人都沒有用。
隱蔽的設(shè)計
由于其隱身設(shè)計和未記錄的API功能的使用,Dillon在SMBdoor上的工作引起了許多安全研究人員的關(guān)注。
這看起來很好,開源植入式小豬支持SMB(所以沒有新的端口打開)
“像DOUBLEPULSAR一樣,這種植入物隱藏在系統(tǒng)的深奧區(qū)域,”Dillon告訴ZDNet。
“在一個已經(jīng)綁定的端口上收聽網(wǎng)絡(luò)流量,而不接觸任何套接字,在當(dāng)前的方法中并不完善,并且是不斷擴大的研究領(lǐng)域的一部分。
什么是惡意軟件?
您需要了解的有關(guān)病毒,特洛伊木馬和惡意軟件的所有信息
網(wǎng)絡(luò)攻擊和惡意軟件是互聯(lián)網(wǎng)上最大的威脅之一。了解不同類型的惡意軟件 - 以及如何避免成為攻擊的受害者。
“雖然系統(tǒng)中可能存在通用內(nèi)聯(lián)掛鉤可以實現(xiàn)類似效果,但這種方法很有意思,因為它隱藏了SMB的正常核心功能。
“這是一種異常,需要定制和特定的代碼來檢測,”狄龍說。
研究人員希望他在SMBdoor上的工作能夠推動安全軟件提供商改進他們的檢測,并在此過程中,為Windows用戶提供更好的保護,防范SMBdoor,DoublePulsar和DarkPulsar威脅。
Dillon在分析泄露的NSA惡意軟件方面的工作在他的同行中是眾所周知的。在此之前,他將EternalChampion,EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上,回到Windows 2000;他將DoublePulsar惡意軟件植入物移植到基于Windows的物聯(lián)網(wǎng)設(shè)備上;并且還將EternalBlue SMB漏洞(WannaCry和NotPetya勒索軟件使用的漏洞利用)移植到現(xiàn)代版本的Windows 10上。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號:
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請將#換成@)