SMBdoor: Ένας ερευνητής ασφαλείας δημιούργησε ένα νέο backdoor εμπνευσμένος από το κακόβουλο λογισμικό της NSA που διέρρευσε την άνοιξη του 2017.
Το νέο κακόβουλο λογισμικό ονομάζεται SMBdoor και είναι το έργο του Sean Dillon, ερευνητή ασφάλειας της RiskSence (@zerosum0x0).
Ο Dillon σχεδίασε το SMBdoor σαν ένα Windows kernel driver, το οποίο μόλις εγκατασταθεί σε κάποιο υπολογιστή, καταγράφει τα API που δεν έχουν καταχωρηθεί στην διεργασία srvnet.sys για να εγγραφεί σαν μια έγκυρη διεργασία για συνδέσεις SMB (Server Message Block).
Το κακόβουλο λογισμικό είναι απίστευτο, καθώς δεν συνδέεται με τοπικές υποδοχές, ανοιχτές θύρες και δεν επικάθεται σε υπάρχουσες λειτουργίες, αποφεύγοντας έτσι την ενεργοποίηση ειδοποιήσεων από συστήματα προστασίας από ιούς.
Η σχεδίασή του ήταν εμπνευσμένη από μια παρόμοια συμπεριφορά που παρατήρησε ο Dillon στα DoublePulsar και DarkPulsar, δύο εμφυτεύματα κακόβουλου λογισμικού σχεδιασμένα από την NSA που διέρρευσαν στο διαδίκτυο από την hacking ομάδα The Shadow Brokers.
Ωστόσο, ορισμένοι χρήστες μπορεί να αναρωτηθούν (και με το δίκιο τους): γιατί ένας ερευνητής ασφάλειας δημιουργούσε ένα κακόβουλο λογισμικό;
Ο Dillon ανέφερε στο ZDNet ότι ο κώδικας του SMBdoor δεν είναι οπλισμένος και ότι οι απατεώνες του κυβερνοχώρου δεν μπορούν να το κατεβάσουν από το GitHub για να μολύνουν χρήστες με τον ίδιο τρόπο που μπορούν να κατεβάσουν και να αναπτύξουν εκδόσεις του DoublePulsar της NSA.
Να αναφέρουμε επίσης ότι κάθε PoC που κυκλοφορεί από ερευνητές, καταγράφεται και αναλύεται από εταιρείες ασφαλείας και παροχής λογισμικού ασφαλείας, αλλά και από τις εταιρείες ανάπτυξης του λογισμικού/λειτουργικού που αφορά το PoC.
“Το SMBdoor έρχεται με πρακτικούς περιορισμούς που το καθιστούν ως επί το πλείστον μια ακαδημαϊκή έρευνα, αλλά σκέφτηκα ότι θα ήταν ενδιαφέρον να το μοιραστώ.”
Υπάρχουν περιορισμοί στο PoC που θα πρέπει να ξεπεράσει κάποιος εισβολέας”, πρόσθεσε. “Ο πιο σημαντικός περιορισμός είναι ότι τα σύγχρονα Windows προσπαθούν να αποκλείσουν τον κώδικα πυρήνα χωρίς μια έγκυρη ψηφιακή υπογραφή.
___________________
- Windows Sandbox ενεργοποίηση στο Windows 10 Home
- Ubuntu 18.10 αναβάθμιση σε Ubuntu 19.04 Disco Dingo
- Bloatware; αυτόματη αφαίρεση από τα Windows 10
- Windows 10 May 2019 Update καθυστερήστε την αναβάθμιση