Video: How to Disable or Enable Windows Defender on Windows 10 (2020) (November 2024)
Jaren geleden geïntroduceerd voor 64-bit edities van Windows XP en Windows Server 2003, is Microsoft's Kernel Patch Protection of PatchGuard ontworpen om malware-aanvallen te voorkomen die werken door essentiële delen van de Windows-kernel te wijzigen. Als een rootkit of ander kwaadaardig programma erin slaagt de kernel aan te passen, crasht PatchGuard opzettelijk het systeem. Deze zelfde functie maakte het leven van antivirusverkopers moeilijk, omdat velen van hen vertrouwden op een goedaardige patch van de kernel om de beveiliging te verbeteren; sindsdien hebben ze zich aangepast. In een nieuw rapport van G Data staat echter dat een bedreiging genaamd Uroburos PatchGuard kan omzeilen.
Windows vasthaken
Rootkits verbergen hun activiteiten door verschillende interne Windows-functies aan te sluiten. Wanneer een programma Windows oproept om de bestanden in een map te rapporteren of de waarden die zijn opgeslagen in een registersleutel, gaat het verzoek eerst naar de rootkit. Het roept op zijn beurt de eigenlijke Windows-functie op, maar verwijdert alle verwijzingen naar zijn eigen componenten voordat hij de informatie doorgeeft.
In het nieuwste blogbericht van G Data wordt uitgelegd hoe Uroburos PatchGuard omzeilt. Een functie met de omvangrijke naam KeBugCheckEx crasht Windows opzettelijk als het dit soort kernel hooking-activiteit (of verschillende andere verdachte activiteiten) detecteert. Dus, natuurlijk, haakt Uroburos KeBugCheckEx om zijn andere activiteiten te verbergen.
Een zeer gedetailleerde uitleg van dit proces is beschikbaar op de codeproject-website. Het is echter zeker een publicatie die alleen voor experts is. De introductie stelt: "Dit is geen tutorial en beginners zouden het niet moeten lezen."
Het plezier stopt niet bij het ondermijnen van KeBugCheckEx. Uroburos moet zijn stuurprogramma nog steeds laden, en het Driver Signing Policy in 64-bit Windows verbiedt het laden van elk stuurprogramma dat niet digitaal is ondertekend door een vertrouwde uitgever. De makers van Uroburos hebben een bekende kwetsbaarheid in een legitiem stuurprogramma gebruikt om dit beleid uit te schakelen.
Cyber spionage
In een eerder bericht beschreven G Data-onderzoekers Uroburos als "zeer complexe spionagesoftware met Russische roots". Het vestigt effectief een spionage-buitenpost op de pc van het slachtoffer, waardoor een virtueel bestandssysteem wordt gecreëerd om zijn tools en gestolen gegevens veilig en geheim te bewaren.
Het rapport vermeldt: "we schatten dat het was ontworpen om zich te richten op overheidsinstellingen, onderzoeksinstellingen of bedrijven die omgaan met gevoelige informatie en vergelijkbare spraakmakende doelen", en koppelt het aan een aanval uit 2008 genaamd Agent.BTZ die het ministerie van Verdediging via de beruchte "USB op de parkeerplaats" -truc. Hun bewijs is solide. Uroburos onthoudt zelfs van installatie als het detecteert dat Agent.BTZ al aanwezig is.
De onderzoekers van G Data concludeerden dat een malwaresysteem met deze complexiteit "te duur is om als gewone spyware te worden gebruikt." Ze wijzen erop dat het zelfs niet werd ontdekt tot "vele jaren na de vermoedelijke eerste infectie." En ze bieden een schat aan bewijs dat Uroburos is gemaakt door een Russisch sprekende groep.
Het echte doelwit?
Een diepgaand rapport van BAE Systems Applied Intelligence citeert het G Data-onderzoek en biedt extra inzicht in deze spionagecampagne, die zij "Snake" noemen. Onderzoekers verzamelden meer dan 100 unieke bestanden met betrekking tot Snake en bespraken enkele interessante feiten. Vrijwel alle bestanden werden bijvoorbeeld op een weekdag gecompileerd, wat suggereert dat "de makers van de malware een werkweek hebben, net als elke andere professional."
In veel gevallen konden onderzoekers het land van herkomst bepalen voor het indienen van malware. Tussen 2010 en heden kwamen 32 Snake-gerelateerde monsters binnen uit Oekraïne, 11 uit Litouwen en slechts twee uit de VS. Het rapport concludeert dat Snake een "permanent kenmerk van het landschap" is en biedt gedetailleerde aanbevelingen voor beveiligingsexperts om te bepalen of hun netwerken zijn doorgedrongen. G Data biedt ook hulp; Als u denkt dat u een infectie heeft, kunt u contact opnemen met [email protected].
Dit is echt niet zo verwonderlijk. We hebben geleerd dat de NSA buitenlandse staatshoofden heeft bespioneerd. Andere landen zullen natuurlijk zelf hun best doen om hulpmiddelen voor cyberspionage te bouwen. En de beste van hen, zoals Uroburos, kunnen jaren draaien voordat ze worden ontdekt.
