Video: How to install Windows 10 TP without NX bypassing error code 0x0000005D (Install on Pentium 4) (Oktober 2024)
Introdusert for år siden for 64-biters utgaver av Windows XP og Windows Server 2003, er Microsofts Kernel Patch Protection eller PatchGuard designet for å forhindre malware-angrep som fungerer ved å endre viktige deler av Windows-kjernen. Hvis et rootkit eller et annet ondsinnet program klarer å finpusse kjernen, krasjer PatchGuard bevisst systemet. Denne samme funksjonen gjorde livet tøft for antivirusleverandører, ettersom mange av dem stolte på godartet å lappe kjernen for å forbedre sikkerheten; de har siden tilpasset seg. Imidlertid heter det i en ny rapport fra G Data at en trussel kalt Uroburos kan omgå PatchGuard.
Koble til Windows
Rootkits skjuler aktivitetene sine ved å hekte forskjellige interne Windows-funksjoner. Når et program ber Windows om å rapportere filene som er til stede i en mappe, eller verdiene som er lagret i en registernøkkel, går forespørselen først til rootkit. Den igjen kaller den faktiske Windows-funksjonen, men striper ut alle referanser til sine egne komponenter før den går langs informasjonen.
G Datas siste blogginnlegg forklarer hvordan Uroburos kommer seg rundt PatchGuard. En funksjon med det voluminøse navnet KeBugCheckEx krasjer bevisst Windows hvis den oppdager denne typen kjernehakeaktiviteter (eller flere andre mistenkte aktiviteter). Uroburos hekter naturlig nok KeBugCheckEx for å skjule sine andre aktiviteter.
En veldig detaljert forklaring av denne prosessen er tilgjengelig på kodeprosjektets nettsted. Imidlertid er det definitivt en kun for eksperter. Innledningen sier: "Dette er ingen veiledning, og nybegynnere skal ikke lese den."
Moroa stopper ikke med å undergrave KeBugCheckEx. Uroburos trenger fremdeles å få lastet driveren, og Driver Signing Policy i 64-bit Windows forbyr å laste inn noen driver som ikke er signert digitalt av en pålitelig utgiver. Skaperne av Uroburos brukte en kjent sårbarhet i en legitim driver for å slå av denne policyen.
Cyber-spionasje
I et tidligere innlegg beskrev G Data forskere Uroburos som "svært kompleks spionasjeprogramvare med russiske røtter." Den etablerer effektivt en spionasjepost på offer-PC-en, og lager et virtuelt filsystem for å sikre og hemmelig holde verktøyene og stjålne data.
Rapporten uttaler, "vi estimerer at den var designet for å målrette myndighetsinstitusjoner, forskningsinstitusjoner eller selskaper som arbeider med sensitiv informasjon samt lignende høyprofilerte mål, " og kobler den til et 2008-angrep kalt Agent.BTZ som infiltrerte departementet for Forsvar via det beryktede trollet "USB på parkeringsplassen". Bevisene deres er solide. Uroburos avstår til og med å installere hvis den oppdager at Agent.BTZ allerede er til stede.
G Datas forskere konkluderte med at et skadelig malware-system med denne kompleksiteten er "for dyrt til å brukes som vanlig spionprogramvare." De påpeker at det ikke en gang ble oppdaget før "mange år etter den mistenkte første infeksjonen." Og de tilbyr et vell av bevis på at Uroburos ble opprettet av en russisktalende gruppe.
Det virkelige målet?
En utdypende rapport fra BAE Systems Applied Intelligence siterer G Data-forskningen og gir ytterligere innsikt i denne spionasje-kampanjen, som de kaller "Snake." Forskere samlet over 100 unike filer relatert til Snake, og drillet ut noen interessante fakta. For eksempel ble praktisk talt alle filene samlet på en ukedag, noe som antydet at "Skaperne av skadelig programvare opererer en arbeidsuke, akkurat som enhver annen profesjonell."
I mange tilfeller kunne forskere bestemme opprinnelseslandet for innlevering av skadelig programvare. Mellom 2010 og i dag kom 32 slangerelaterte prøver fra Ukraina, 11 fra Litauen, og bare to fra USA Rapporten konkluderer med at Snake er et "permanent trekk i landskapet, " og tilbyr detaljerte anbefalinger for sikkerhetseksperter for å bestemme om nettverkene deres har blitt penetrert. G Data tilbyr også hjelp; hvis du tror du har fått en infeksjon, kan du kontakte [email protected].
Dette er ikke overraskende. Vi har erfart at NSA har spionert på utenlandske statsoverhoder. Andre land vil naturlig prøve egne hender med å bygge verktøy for nett-spionasje. Og de beste av dem, som Uroburos, kan løpe i mange år før de blir oppdaget.
