安全研究人員根據(jù)泄露的NSA惡意軟件創(chuàng)建了新的后門

一名安全研究人員創(chuàng)建了一個(gè)概念驗(yàn)證后門，其靈感來自2017年春季在線泄露的NSA惡意軟件。10個(gè)危險(xiǎn)的app漏洞需要注意(免費(fèi)PDF)Dillon將SMBdoor設(shè)計(jì)為Windows內(nèi)核驅(qū)動(dòng)程序，一旦安裝在PC上，就會濫用srvnet.sys進(jìn)程中未記錄的API，將自身注冊為SMB(服務(wù)器消息塊)連接的有效處理程序。惡意軟件非常隱蔽，因?yàn)樗粫壎ǖ饺魏伪镜靥捉幼?，打開端口或掛鉤到現(xiàn)有功能，并且這樣做可以避免觸發(fā)某些防病毒系統(tǒng)的警報(bào)。

它的設(shè)計(jì)靈感來自Dillon在DoublePulsar和DarkPulsar中看到的類似行為，這是由NSA設(shè)計(jì)的兩個(gè)惡意軟件植入物，被一個(gè)邪惡的黑客組織The Shadow Brokers在網(wǎng)上泄露。

沒有武器化

但有些用戶可能會問自己 - 為什么安全研究人員首先會制造惡意軟件?

在今天接受ZDNet采訪時(shí)，Dillon告訴我們，SMBdoor代碼沒有武器化，網(wǎng)絡(luò)犯罪分子無法從GitHub下載并感染用戶，就像他們可以下載和部署NSA的DoublePulsar版本一樣。

“[SMBdoor]具有實(shí)際限制，使其主要是學(xué)術(shù)探索，但我認(rèn)為分享可能很有趣，并且可能是[端點(diǎn)檢測和響應(yīng)，又稱防病毒]產(chǎn)品應(yīng)監(jiān)控的東西，”Dillon說。

“攻擊者必須克服的概念驗(yàn)證存在局限性，”他補(bǔ)充說。“最重要的是，現(xiàn)代Windows試圖阻止未簽名的內(nèi)核代碼。

“在加載輔助有效載荷的過程中，后門必須考慮到后續(xù)問題，以便使用分頁存儲器而不會使系統(tǒng)死鎖，”Dillon說。

“這兩個(gè)問題都有幾個(gè)眾所周知的繞過，但是當(dāng)啟用Hyper-V Code Integrity等現(xiàn)代緩解措施時(shí)，它們確實(shí)變得更加困難。”

Dillon表示，除非攻擊者重視隱身而不是修改SMBdoor所需的努力，否則這種實(shí)驗(yàn)性惡意軟件對任何人都沒有用。

隱蔽的設(shè)計(jì)

由于其隱身設(shè)計(jì)和未記錄的API功能的使用，Dillon在SMBdoor上的工作引起了許多安全研究人員的關(guān)注。

這看起來很好，開源植入式小豬支持SMB(所以沒有新的端口打開)

“像DOUBLEPULSAR一樣，這種植入物隱藏在系統(tǒng)的深?yuàn)W區(qū)域，”Dillon告訴ZDNet。

“在一個(gè)已經(jīng)綁定的端口上收聽網(wǎng)絡(luò)流量，而不接觸任何套接字，在當(dāng)前的方法中并不完善，并且是不斷擴(kuò)大的研究領(lǐng)域的一部分。

什么是惡意軟件?

您需要了解的有關(guān)病毒，特洛伊木馬和惡意軟件的所有信息

網(wǎng)絡(luò)攻擊和惡意軟件是互聯(lián)網(wǎng)上最大的威脅之一。了解不同類型的惡意軟件 - 以及如何避免成為攻擊的受害者。

“雖然系統(tǒng)中可能存在通用內(nèi)聯(lián)掛鉤可以實(shí)現(xiàn)類似效果，但這種方法很有意思，因?yàn)樗[藏了SMB的正常核心功能。

“這是一種異常，需要定制和特定的代碼來檢測，”狄龍說。

研究人員希望他在SMBdoor上的工作能夠推動(dòng)安全軟件提供商改進(jìn)他們的檢測，并在此過程中，為Windows用戶提供更好的保護(hù)，防范SMBdoor，DoublePulsar和DarkPulsar威脅。

Dillon在分析泄露的NSA惡意軟件方面的工作在他的同行中是眾所周知的。在此之前，他將EternalChampion，EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上，回到Windows 2000;他將DoublePulsar惡意軟件植入物移植到基于Windows的物聯(lián)網(wǎng)設(shè)備上;并且還將EternalBlue SMB漏洞(WannaCry和NotPetya勒索軟件使用的漏洞利用)移植到現(xiàn)代版本的Windows 10上。