Видео: Win32.trojan.₯ỿӷ.exe | Не друг ты мне! (Октября 2024)
Представленная несколько лет назад для 64-разрядных выпусков Windows XP и Windows Server 2003, защита ядра от Microsoft, или PatchGuard, предназначена для предотвращения атак вредоносных программ, которые работают путем изменения основных частей ядра Windows. Если руткиту или другой вредоносной программе удастся настроить ядро, PatchGuard намеренно завершит работу системы. Эта же особенность усложнила жизнь производителям антивирусов, поскольку многие из них полагались на исправление ядра для улучшения безопасности; с тех пор они адаптировались. Однако в новом отчете G Data говорится, что угроза Uroburos может обойти PatchGuard.
Закрепление окон
Руткиты скрывают свою деятельность, подключая различные внутренние функции Windows. Когда программа вызывает Windows, чтобы сообщить о файлах, присутствующих в папке, или значениях, хранящихся в разделе реестра, запрос сначала направляется руткиту. Он, в свою очередь, вызывает фактическую функцию Windows, но удаляет все ссылки на свои компоненты перед передачей информации.
Последнее сообщение в блоге G Data объясняет, как Uroburos обходит PatchGuard. Функция с громоздким именем KeBugCheckEx преднамеренно завершает работу Windows, если обнаруживает этот вид активности перехвата ядра (или нескольких других подозрительных действий). Поэтому, естественно, Uroburos перехватывает KeBugCheckEx, чтобы скрыть другие его действия.
Очень подробное объяснение этого процесса доступно на сайте codeproject. Тем не менее, это, безусловно, публикация только для экспертов. Во введении говорится: «Это не учебник, и новички не должны его читать».
Веселье не заканчивается с подрывом KeBugCheckEx. Uroburos все еще нужно загрузить свой драйвер, а политика подписывания драйверов в 64-битной Windows запрещает загрузку любого драйвера, который не имеет цифровой подписи доверенного издателя. Создатели Uroburos использовали известную уязвимость в легитимном драйвере, чтобы отключить эту политику.
Cyber-Шпионаж
В более раннем посте исследователи G Data описали Uroburos как «очень сложное шпионское программное обеспечение с русскими корнями». Он эффективно устанавливает шпионский форпост на компьютере жертвы, создавая виртуальную файловую систему для безопасного и секретного хранения своих инструментов и украденных данных.
В отчете говорится: «По нашим оценкам, он был разработан для государственных учреждений, исследовательских учреждений или компаний, работающих с конфиденциальной информацией, а также с аналогичными важными целями», и связывает его с атакой 2008 года под названием Agent.BTZ, проникшей в Департамент Оборона через печально известный трюк «USB на парковке». Их доказательства солидны. Uroburos даже воздерживается от установки, если обнаруживает, что Agent.BTZ уже присутствует.
Исследователи G Data пришли к выводу, что вредоносная система такой сложности «слишком дорога, чтобы использоваться в качестве распространенного шпионского ПО». Они указывают на то, что он даже не был обнаружен до тех пор, пока «через много лет после предполагаемой первой инфекции». И они предлагают множество доказательств того, что Uroburos был создан русскоязычной группой.
Настоящая цель?
В подробном отчете BAE Systems Applied Intelligence цитируется исследование G Data и дается дополнительная информация об этой шпионской кампании, которую они называют «Снейк». Исследователи собрали более 100 уникальных файлов, связанных со Снейком, и выявили некоторые интересные факты. Например, практически все файлы были скомпилированы в будний день, что говорит о том, что «создатели вредоносного ПО работают рабочую неделю, как и любой другой профессионал».
Во многих случаях исследователи смогли определить страну происхождения вредоносных программ. В период с 2010 года по настоящее время было получено 32 образца, связанных со змеями, из Украины, 11 из Литвы и только два из США. В докладе делается вывод о том, что «Змея» является «постоянной особенностью ландшафта», и предлагаются подробные рекомендации для экспертов по безопасности для определения проникли ли их сети. G Data также предлагает помощь; если вы думаете, что у вас есть инфекция, вы можете связаться с [email protected].
На самом деле, это не удивительно. Мы узнали, что АНБ шпионило за главами иностранных государств. Другие страны, естественно, попробуют свои силы в создании инструментов кибершпионажа. И лучшие из них, такие как Уробуро, могут бегать годами, прежде чем их обнаружат.
