セキュリティウォッチ UroburosマルウェアがMicrosoftのパッチガードを破る

UroburosマルウェアがMicrosoftのパッチガードを破る

ビデオ: NorthSec 2015 - Paul Rascagneres - The Uroburos case Analysis of the tools used by this Actor (十一月 2024)

ビデオ: NorthSec 2015 - Paul Rascagneres - The Uroburos case Analysis of the tools used by this Actor (十一月 2024)
Anonim

64年前のWindows XPおよびWindows Server 2003で導入されたMicrosoftのカーネルパッチ保護(PatchGuard)は、Windowsカーネルの重要な部分を変更することで機能するマルウェア攻撃を防ぐように設計されています。 ルートキットまたはその他の悪意のあるプログラムがカーネルを微調整することに成功した場合、PatchGuardは意図的にシステムをクラッシュさせます。 アンチウイルスベンダーの多くは、セキュリティを改善するためにカーネルに穏やかにパッチを当てることに頼っていたため、この同じ機能はアンチウイルスベンダーにとっては困難なものでした。 彼らはその後適応しました。 ただし、G Dataの新しいレポートでは、ウロブロスと呼ばれる脅威がPatchGuardをバイパスできると述べています。

フックウィンドウ

ルートキットは、Windowsのさまざまな内部関数をフックすることにより、アクティビティを隠します。 プログラムがWindowsを呼び出して、フォルダーに存在するファイル、またはレジストリキーに保存されている値を報告すると、要求は最初にルートキットに送られます。 次に、実際のWindows関数を呼び出しますが、情報を渡す前に、独自のコンポーネントへのすべての参照を取り除きます。

G Dataの最新のブログ投稿では、UurobrosがPatchGuardを回避する方法について説明しています。 かさばる名前KeBugCheckExを持つ関数は、この種のカーネルフックアクティビティ(または他のいくつかの疑わしいアクティビティ)を検出すると、Windowsを意図的にクラッシュさせます。 そのため、当然、ウロブロスはKeBugCheckExをフックして、他のアクティビティを隠します。

このプロセスの非常に詳細な説明は、codeproject Webサイトで入手できます。 ただし、これは間違いなく専門家専用の出版物です。 はじめに、「これはチュートリアルではありません。初心者は読むべきではありません。」

楽しみは、KeBugCheckExを破壊することだけではありません。 Uroburosはまだドライバーをロードする必要があり、64ビットWindowsのドライバー署名ポリシーは、信頼できる発行元によってデジタル署名されていないドライバーのロードを禁止しています。 Uroburosの作成者は、正当なドライバーの既知の脆弱性を使用して、このポリシーを無効にしました。

サイバースパイ

以前の投稿で、G Dataの研究者はウロブロスを「ロシアのルーツを持つ非常に複雑なスパイソフトウェア」と説明しました。 被害者のPCにスパイ活動の前post基地を効果的に確立し、ツールと盗まれたデータを安全かつ密かに保持する仮想ファイルシステムを作成します。

レポートでは、「機密情報を扱う政府機関、研究機関、または企業と同様の有名なターゲットを対象とするように設計されていると推定されます」と述べ、Agent.BTZと呼ばれる2008年の攻撃にリンクしています。悪名高い「駐車場内のUSB」トリックによる防御。 彼らの証拠は確かです。 Uroburosは、Agent.BTZがすでに存在することを検出した場合、インストールを控えます。

G Dataの研究者は、この複雑さのマルウェアシステムは「一般的なスパイウェアとして使用するには高すぎる」と結論付けました。 彼らは、「最初の感染が疑われてから数年後」になるまで、それは検出されなかったと指摘しています。 そして、彼らはウロブロスがロシア語圏のグループによって作成されたという豊富な証拠を提供します。

本当のターゲット?

BAE Systems Applied Intelligenceの詳細なレポートは、G Dataの研究を引用し、「スパイ」と呼ばれるこのスパイ活動に関する追加の洞察を提供しています。 研究者は、Snakeに関連する100を超える一意のファイルを収集し、いくつかの興味深い事実を明らかにしました。 たとえば、ほぼすべてのファイルは平日にコンパイルされ、「マルウェアの作成者は他の専門家と同じように1週間稼働しています」と示唆されています。

多くの場合、研究者はマルウェアの提出元の国を特定することができました。 2010年から現在までに、ウクライナから32個、リトアニアから11個、米国からわずか2個のヘビ関連のサンプルが届きました。ネットワークに侵入したかどうか。 G Dataはヘルプも提供しています。 感染していると思われる場合は、intelligence @ gdata.deに連絡してください。

本当に、これは驚くことではありません。 私たちは、NSAが外国の国家元首をスパイしていることを学びました。 他の国々は、サイバースパイツールの構築に自力で取り組むでしょう。 そして、ウロブロスのような彼らの最高のものは、彼らが発見される前に何年も走ることがあります。

UroburosマルウェアがMicrosoftのパッチガードを破る