研究人员根据泄漏NSA恶意软件创建新后门

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/04/25 17:06:09 762
文章来源:http://www.mottoin.com/detail/3930.html
LbOzFxewtle4QLCskl5rv9vslHpps6O8ZbjkDr4I.png

       受2017年春由The Shadow Brokers在线泄露的NSA恶意软件“DoublePulsar”和“DarkPulsar”的启发,美国网络安全公司RiskSence研究人员Sean Dillon(@ zerosum0x0)创建了一个名为“SMBdoor”的恶意软件概念验证后门,突出了防病毒产品没有关注的操作系统部分。

       SMBdoor被设计成了一个Windows内核驱动程序,一旦安装在PC上,就会滥用srvnet.sys进程中未经记录的API,将自己注册为服务器消息块(SMB)连接的有效处理程序。这款恶意软件非常隐蔽,因其不会将任何本地套接字、打开端口或挂钩绑定到现有功能,避免触发了某些防病毒系统警报。

       据Dillon表示,SMBdoor代码其主要用于学术研究、没有武器化,网络犯罪分子不能像部署NSA的DoublePulsar版本一样、从GitHub上下载和感染用户,原因之一是“概念验证存在局限性;最重要的是Windows试图阻止未签名的内核代码。

       加载辅助有效载荷的过程中,后门必须考虑到后续问题,这样才能使用分页存储器而不会让系统锁死。针对这两个问题其实都可以绕过,但启用Hyper-V Code Integrity等现代缓解措施时就会更加困难了。Dillon表示,除非攻击者重视隐身而不是修改SMBdoor,否则这种实验性恶意软件对任何人都没有用。

该软件的隐身设计和未记录的API功能还引起了许多安全研究人员的关注。

vWZO68biM7NunfHSiNX5eYeuGBdQJHAzSxcnRywT.png

a

9daRwxLbQ2C47QgEW0ZTa0HYHDWQJlrzmdV7In95.png

        Dillion称:“跟DOUBLEPULSAR一样,这种植入物隐藏在系统中比较难懂的区域,对于已经绑定端口上收听网络流量、不接触任何套接字的情况,目前还不够完善,有待进一步研究。虽然系统或许存在通用内联挂钩、实现类似效果,但这种方法隐藏了SMB的正常、核心功能,这才是很有意思的地方,这是一种异常,需要自定义和特定代码来进行检测”。

       Sean Dillon希望通过这项工作推动安全软件提供商改进检测、为Windows用户提供更好的保护,防范SMBdoor、DoublePulsar和DarkPulsar等威胁。其在分析泄露NSA恶意软件方面被圈内人士熟知。此前,他将EternalChampion、EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上过;将DoublePulsar恶意软件植入物移植到基于Windows的物联网设备上过;还将EternalBlue SMB漏洞(WannaCry和NotPetya勒索软件使用的漏洞利用)移植到Windows 10上。

交流评论(0)


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室