SMBdoor backdoor PoC: εμπνευσμένο από την NSA

SMBdoor: Ένας ερευνητής ασφαλείας δημιούργησε ένα νέο backdoor εμπνευσμένος από το κακόβουλο λογισμικό της NSA που διέρρευσε την άνοιξη του 2017.

Το νέο κακόβουλο λογισμικό ονομάζεται SMBdoor και είναι το έργο του Sean Dillon, ερευνητή ασφάλειας της RiskSence (@zerosum0x0).

SMBdoor

Ο Dillon σχεδίασε το SMBdoor σαν ένα Windows kernel driver, το οποίο μόλις εγκατασταθεί σε κάποιο υπολογιστή, καταγράφει τα API που δεν έχουν καταχωρηθεί στην διεργασία srvnet.sys για να εγγραφεί σαν μια έγκυρη διεργασία για συνδέσεις SMB (Server Message Block).

Το κακόβουλο λογισμικό είναι απίστευτο, καθώς δεν συνδέεται με τοπικές υποδοχές, ανοιχτές θύρες και δεν επικάθεται σε υπάρχουσες λειτουργίες, αποφεύγοντας έτσι την ενεργοποίηση ειδοποιήσεων από συστήματα προστασίας από ιούς.

Η σχεδίασή του ήταν εμπνευσμένη από μια παρόμοια συμπεριφορά που παρατήρησε ο Dillon στα DoublePulsar και DarkPulsar, δύο εμφυτεύματα κακόβουλου λογισμικού σχεδιασμένα από την NSA που διέρρευσαν στο διαδίκτυο από την hacking ομάδα The Shadow Brokers.

Ωστόσο, ορισμένοι χρήστες μπορεί να αναρωτηθούν (και με το δίκιο τους): γιατί ένας ερευνητής ασφάλειας δημιουργούσε ένα κακόβουλο λογισμικό;

  Ανοίγουν σήμερα οι εγγραφές για το Google I/O 2014

Ο Dillon ανέφερε στο ZDNet ότι ο κώδικας του SMBdoor δεν είναι οπλισμένος και ότι οι απατεώνες του κυβερνοχώρου δεν μπορούν να το κατεβάσουν από το GitHub για να μολύνουν χρήστες με τον ίδιο τρόπο που μπορούν να κατεβάσουν και να αναπτύξουν εκδόσεις του DoublePulsar της NSA.

Να αναφέρουμε επίσης ότι κάθε PoC που κυκλοφορεί από ερευνητές, καταγράφεται και αναλύεται από εταιρείες ασφαλείας και παροχής λογισμικού ασφαλείας, αλλά και από τις εταιρείες ανάπτυξης του λογισμικού/λειτουργικού που αφορά το PoC.

“Το SMBdoor έρχεται με πρακτικούς περιορισμούς που το καθιστούν ως επί το πλείστον μια ακαδημαϊκή έρευνα, αλλά σκέφτηκα ότι θα ήταν ενδιαφέρον να το μοιραστώ.”

Υπάρχουν περιορισμοί στο PoC που θα πρέπει να ξεπεράσει κάποιος εισβολέας”, πρόσθεσε. “Ο πιο σημαντικός περιορισμός είναι ότι τα σύγχρονα Windows προσπαθούν να αποκλείσουν τον κώδικα πυρήνα χωρίς μια έγκυρη ψηφιακή υπογραφή.

___________________

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

19  +    =  25

Previous Story

Windows Sandbox ενεργοποίηση στο Windows 10 Home

Next Story

Ηλεκτρικά πατίνια της Lime άρχισαν να βρίζουν