您的位置: 首頁 >精選綜合 >

安全研究人員根據(jù)泄露的NSA惡意軟件創(chuàng)建了新的后門

2019-04-29 13:51:20 編輯: 來源:
導(dǎo)讀 一名安全研究人員創(chuàng)建了一個概念驗證后門,其靈感來自2017年春季在線泄露的NSA惡意軟件。10個危險的app漏洞需要注意(免費PDF)Dillon將SMBdo

一名安全研究人員創(chuàng)建了一個概念驗證后門,其靈感來自2017年春季在線泄露的NSA惡意軟件。10個危險的app漏洞需要注意(免費PDF)Dillon將SMBdoor設(shè)計為Windows內(nèi)核驅(qū)動程序,一旦安裝在PC上,就會濫用srvnet.sys進程中未記錄的API,將自身注冊為SMB(服務(wù)器消息塊)連接的有效處理程序。惡意軟件非常隱蔽,因為它不會綁定到任何本地套接字,打開端口或掛鉤到現(xiàn)有功能,并且這樣做可以避免觸發(fā)某些防病毒系統(tǒng)的警報。

它的設(shè)計靈感來自Dillon在DoublePulsar和DarkPulsar中看到的類似行為,這是由NSA設(shè)計的兩個惡意軟件植入物,被一個邪惡的黑客組織The Shadow Brokers在網(wǎng)上泄露。

沒有武器化

但有些用戶可能會問自己 - 為什么安全研究人員首先會制造惡意軟件?

在今天接受ZDNet采訪時,Dillon告訴我們,SMBdoor代碼沒有武器化,網(wǎng)絡(luò)犯罪分子無法從GitHub下載并感染用戶,就像他們可以下載和部署NSA的DoublePulsar版本一樣。

“[SMBdoor]具有實際限制,使其主要是學(xué)術(shù)探索,但我認為分享可能很有趣,并且可能是[端點檢測和響應(yīng),又稱防病毒]產(chǎn)品應(yīng)監(jiān)控的東西,”Dillon說。

“攻擊者必須克服的概念驗證存在局限性,”他補充說。“最重要的是,現(xiàn)代Windows試圖阻止未簽名的內(nèi)核代碼。

“在加載輔助有效載荷的過程中,后門必須考慮到后續(xù)問題,以便使用分頁存儲器而不會使系統(tǒng)死鎖,”Dillon說。

“這兩個問題都有幾個眾所周知的繞過,但是當(dāng)啟用Hyper-V Code Integrity等現(xiàn)代緩解措施時,它們確實變得更加困難。”

Dillon表示,除非攻擊者重視隱身而不是修改SMBdoor所需的努力,否則這種實驗性惡意軟件對任何人都沒有用。

隱蔽的設(shè)計

由于其隱身設(shè)計和未記錄的API功能的使用,Dillon在SMBdoor上的工作引起了許多安全研究人員的關(guān)注。

這看起來很好,開源植入式小豬支持SMB(所以沒有新的端口打開)

“像DOUBLEPULSAR一樣,這種植入物隱藏在系統(tǒng)的深奧區(qū)域,”Dillon告訴ZDNet。

“在一個已經(jīng)綁定的端口上收聽網(wǎng)絡(luò)流量,而不接觸任何套接字,在當(dāng)前的方法中并不完善,并且是不斷擴大的研究領(lǐng)域的一部分。

什么是惡意軟件?

您需要了解的有關(guān)病毒,特洛伊木馬和惡意軟件的所有信息

網(wǎng)絡(luò)攻擊和惡意軟件是互聯(lián)網(wǎng)上最大的威脅之一。了解不同類型的惡意軟件 - 以及如何避免成為攻擊的受害者。

“雖然系統(tǒng)中可能存在通用內(nèi)聯(lián)掛鉤可以實現(xiàn)類似效果,但這種方法很有意思,因為它隱藏了SMB的正常核心功能。

“這是一種異常,需要定制和特定的代碼來檢測,”狄龍說。

研究人員希望他在SMBdoor上的工作能夠推動安全軟件提供商改進他們的檢測,并在此過程中,為Windows用戶提供更好的保護,防范SMBdoor,DoublePulsar和DarkPulsar威脅。

Dillon在分析泄露的NSA惡意軟件方面的工作在他的同行中是眾所周知的。在此之前,他將EternalChampion,EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上,回到Windows 2000;他將DoublePulsar惡意軟件植入物移植到基于Windows的物聯(lián)網(wǎng)設(shè)備上;并且還將EternalBlue SMB漏洞(WannaCry和NotPetya勒索軟件使用的漏洞利用)移植到現(xiàn)代版本的Windows 10上。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ   備案號:

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。

郵箱:toplearningteam#gmail.com (請將#換成@)