SMBdoor backdoor PoC: εμπνευσμένο από την NSA

SMBdoor: Ένας ερευνητής ασφαλείας δημιούργησε ένα νέο backdoor εμπνευσμένος από το κακόβουλο λογισμικό της NSA που διέρρευσε την άνοιξη του 2017.

Το νέο κακόβουλο λογισμικό ονομάζεται SMBdoor και είναι το έργο του Sean Dillon, ερευνητή ασφάλειας της RiskSence (@zerosum0x0).

SMBdoor

Ο Dillon σχεδίασε το SMBdoor σαν ένα Windows kernel driver, το οποίο μόλις εγκατασταθεί σε κάποιο υπολογιστή, καταγράφει τα API που δεν έχουν καταχωρηθεί στην διεργασία srvnet.sys για να εγγραφεί σαν μια έγκυρη διεργασία για συνδέσεις SMB (Server Message Block).

Το κακόβουλο λογισμικό είναι απίστευτο, καθώς δεν συνδέεται με τοπικές υποδοχές, ανοιχτές θύρες και δεν επικάθεται σε υπάρχουσες λειτουργίες, αποφεύγοντας έτσι την ενεργοποίηση ειδοποιήσεων από συστήματα προστασίας από ιούς.

Η σχεδίασή του ήταν εμπνευσμένη από μια παρόμοια συμπεριφορά που παρατήρησε ο Dillon στα DoublePulsar και DarkPulsar, δύο εμφυτεύματα κακόβουλου λογισμικού σχεδιασμένα από την NSA που διέρρευσαν στο διαδίκτυο από την hacking ομάδα The Shadow Brokers.

Ωστόσο, ορισμένοι χρήστες μπορεί να αναρωτηθούν (και με το δίκιο τους): γιατί ένας ερευνητής ασφάλειας δημιουργούσε ένα κακόβουλο λογισμικό;

Ο Dillon ανέφερε στο ZDNet ότι ο κώδικας του SMBdoor δεν είναι οπλισμένος και ότι οι απατεώνες του κυβερνοχώρου δεν μπορούν να το κατεβάσουν από το GitHub για να μολύνουν χρήστες με τον ίδιο τρόπο που μπορούν να κατεβάσουν και να αναπτύξουν εκδόσεις του DoublePulsar της NSA.

Να αναφέρουμε επίσης ότι κάθε PoC που κυκλοφορεί από ερευνητές, καταγράφεται και αναλύεται από εταιρείες ασφαλείας και παροχής λογισμικού ασφαλείας, αλλά και από τις εταιρείες ανάπτυξης του λογισμικού/λειτουργικού που αφορά το PoC.

“Το SMBdoor έρχεται με πρακτικούς περιορισμούς που το καθιστούν ως επί το πλείστον μια ακαδημαϊκή έρευνα, αλλά σκέφτηκα ότι θα ήταν ενδιαφέρον να το μοιραστώ.”

Υπάρχουν περιορισμοί στο PoC που θα πρέπει να ξεπεράσει κάποιος εισβολέας”, πρόσθεσε. “Ο πιο σημαντικός περιορισμός είναι ότι τα σύγχρονα Windows προσπαθούν να αποκλείσουν τον κώδικα πυρήνα χωρίς μια έγκυρη ψηφιακή υπογραφή.

___________________

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















spread the news

Share on Reddit

2017backdoorbloatwareblockdriver

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).