视频: OffensiveCon19 - Luc Reginato - Updated Analysis of PatchGuard on Windows RS4 (十一月 2024)
几年前针对64位版本的Windows XP和Windows Server 2003推出了Microsoft的内核补丁程序保护程序(即PatchGuard),旨在通过修改Windows内核的重要部分来防止恶意软件攻击。 如果rootkit或其他恶意程序设法调整内核,则PatchGuard会故意使系统崩溃。 对于许多防毒软件供应商来说,这种相同的功能使他们的生活变得艰难,因为它们中的许多依靠良性地修补内核来提高安全性。 他们已经适应了。 但是,来自G Data的最新报告指出,称为Uroburos的威胁可以绕过PatchGuard。
挂钩窗户
Rootkit通过挂钩各种Windows内部功能来隐藏其活动。 当程序在Windows上调用以报告文件夹中存在的文件或注册表项中存储的值时,请求首先发送到rootkit。 它依次调用实际的Windows函数,但在传递信息之前将所有对它自己的组件的引用删除。
G Data的最新博客文章解释了Uroburos如何绕过PatchGuard。 名称庞大的功能KeBugCheckEx如果检测到这种内核挂钩活动(或其他几个可疑活动),则有意使Windows崩溃。 因此,Uroburos自然会钩住KeBugCheckEx来隐藏其其他活动。
可在codeproject网站上找到有关此过程的非常详细的说明。 但是,它绝对是仅限专家的出版物。 引言指出:“这不是教程,初学者不应阅读。”
颠覆KeBugCheckEx并不会停止乐趣。 Uroburos仍然需要加载其驱动程序,并且64位Windows中的驱动程序签名策略禁止加载任何未由受信任的发布者进行数字签名的驱动程序。 Uroburos的创建者使用合法驱动程序中的已知漏洞来关闭此策略。
网络间谍
在G Data的早期文章中,研究人员将Uroburos描述为“具有俄罗斯血统的高度复杂的间谍软件”。 它在受害PC上有效地建立了一个间谍哨所,从而创建了一个虚拟文件系统来安全秘密地保存其工具和被盗数据。
该报告指出:“我们估计它的目的是针对处理敏感信息以及类似的引人注目的目标的政府机构,研究机构或公司”,并将其与2008年名为Agent.BTZ的攻击相关,该攻击渗透到了美国国防部。通过臭名昭著的“停车场中的USB”技巧进行防御。 他们的证据是可靠的。 如果Uroburos检测到Agent.BTZ已经存在,它甚至拒绝安装。
G Data的研究人员得出结论,这种复杂性的恶意软件系统“太昂贵,无法用作常见的间谍软件”。 他们指出,直到“疑似首次感染多年后”才发现。 他们提供了大量证据证明Uroburos是由说俄语的组织创建的。
真正的目标?
BAE Systems Applied Intelligence的一份深入报告引用了G Data研究,并提供了对该间谍活动的更多见解,他们将其称为“ Snake”。 研究人员收集了100多个与Snake相关的独特文件,并提出了一些有趣的事实。 例如,几乎所有文件都是在一个工作日内编译的,这表明“恶意软件的创建者像其他专业人员一样,每周工作一个工作日”。
在许多情况下,研究人员能够确定恶意软件提交的来源国。 从2010年至今,乌克兰共收到32个与Snake有关的样本,立陶宛提供了11个,美国仅有两个。该报告得出结论,认为Snake是“大自然的永久特征”,并为安全专家提供了详细建议,以供确定他们的网络是否已被渗透。 G Data还提供帮助; 如果您认为自己感染了病毒,则可以联系[email protected]。
真的,这不足为奇。 我们了解到,国家安全局(NSA)一直在监视外国国家元首。 其他国家自然会尝试自己的力量来构建网络间谍工具。 像Uroburos这样的最好的产品可能要运行好几年才能被发现。