มัลแวร์ Uroburos เอาชนะ patchguard ของไมโครซอฟท์

เปิดตัวเมื่อหลายปีก่อนสำหรับ Windows XP และ Windows Server 2003 รุ่น 64 บิต, Kernel Patch Protection หรือ PatchGuard ของไมโครซอฟท์ได้รับการออกแบบมาเพื่อป้องกันการโจมตีของมัลแวร์ที่ทำงานโดยการแก้ไขส่วนสำคัญของเคอร์เนลของ Windows หากรูทคิทหรือโปรแกรมที่เป็นอันตรายอื่น ๆ จัดการเพื่อปรับแต่งเคอร์เนล PatchGuard จงใจทำให้ระบบล่ม ฟีเจอร์เดียวกันนี้ทำให้ชีวิตผู้จำหน่ายแอนติไวรัสเป็นเรื่องที่ลำบากเพราะหลายคนอาศัยการปรับปรุงเคอร์เนลเพื่อปรับปรุงความปลอดภัย พวกเขาได้ปรับตัวตั้งแต่ อย่างไรก็ตามรายงานใหม่จาก G Data ระบุว่าภัยคุกคามที่เรียกว่า Uroburos สามารถข้าม PatchGuard ได้

เชื่อมต่อ Windows

รูทคิทซ่อนกิจกรรมของพวกเขาโดยเชื่อมต่อกับฟังก์ชั่นภายใน Windows ที่หลากหลาย เมื่อโปรแกรมเรียกใช้ Windows เพื่อรายงานไฟล์ที่มีอยู่ในโฟลเดอร์หรือค่าที่เก็บไว้ในคีย์รีจิสทรีคำขอจะไปที่รูทคิทก่อน ในทางกลับกันเรียกฟังก์ชัน Windows จริง ๆ แต่ตัดการอ้างอิงทั้งหมดไปยังคอมโพเนนต์ของตัวเองก่อนส่งผ่านข้อมูล

โพสต์บล็อกล่าสุดของ G Data อธิบายว่า Uroburos เข้าถึง PatchGuard อย่างไร ฟังก์ชั่นที่มีชื่อขนาดใหญ่ KeBugCheckEx จงใจขัดข้อง Windows หากตรวจพบกิจกรรมเคอร์เนลประเภทนี้ (หรือกิจกรรมที่น่าสงสัยอื่น ๆ ) ดังนั้นโดยปกติแล้ว Uroburos จะขอ KeBugCheckEx เพื่อซ่อนกิจกรรมอื่น ๆ

คำอธิบายโดยละเอียดของกระบวนการนี้มีอยู่ในเว็บไซต์ codeproject อย่างไรก็ตามมันเป็นสิ่งพิมพ์ที่มีความเชี่ยวชาญเท่านั้น คำนำกล่าวว่า "นี่ไม่ใช่การสอนและผู้เริ่มต้นไม่ควรอ่าน"

ความสนุกไม่ได้หยุดเพียงแค่การทำลาย KeBugCheckEx Uroburos ยังคงต้องโหลดไดรเวอร์และนโยบายการลงนามไดรเวอร์ใน Windows แบบ 64 บิตห้ามโหลดไดรเวอร์ใด ๆ ที่ไม่ได้ลงนามโดยผู้เผยแพร่ที่เชื่อถือได้แบบดิจิทัล ผู้สร้าง Uroburos ใช้ช่องโหว่ที่รู้จักในไดรเวอร์ที่ถูกกฎหมายเพื่อปิดนโยบายนี้

กล้อง Cyber-หน่วยสืบราชการลับ

ในโพสต์ก่อนหน้านี้นักวิจัยของ G Data อธิบายว่า Uroburos เป็น "ซอฟต์แวร์จารกรรมที่ซับซ้อนสูงที่มีรากภาษารัสเซีย" มันสร้างด่านรักษาความปลอดภัยบนพีซีของเหยื่ออย่างมีประสิทธิภาพสร้างระบบไฟล์เสมือนเพื่อเก็บเครื่องมือและข้อมูลที่ถูกขโมยอย่างปลอดภัยและแอบแฝง

รายงานระบุว่า "เราประเมินว่ามันถูกออกแบบมาเพื่อมุ่งเป้าไปที่หน่วยงานภาครัฐสถาบันการวิจัยหรือ บริษัท ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนรวมถึงเป้าหมายที่มีรายละเอียดสูงที่คล้ายคลึงกัน" และเชื่อมโยงกับการโจมตีในปี 2008 การป้องกันด้วยกลอุบาย "USB ในลานจอดรถ" ที่น่าอับอาย หลักฐานของพวกเขามั่นคง Uroburos ไม่ทำการติดตั้งหากตรวจพบว่า Agent.BTZ มีอยู่แล้ว

นักวิจัยของ G Data สรุปว่าระบบมัลแวร์ของความซับซ้อนนี้ "แพงเกินกว่าจะใช้เป็นสปายแวร์ทั่วไป" พวกเขาชี้ให้เห็นว่ามันไม่ได้ตรวจพบจนกระทั่ง "หลายปีหลังจากการติดเชื้อครั้งแรกที่น่าสงสัย" และพวกเขาเสนอหลักฐานมากมายที่ Uroburos สร้างขึ้นโดยกลุ่มที่พูดภาษารัสเซีย

เป้าหมายที่แท้จริง?

รายงานเชิงลึกโดย BAE Systems Applied Intelligence อ้างอิงการวิจัย G Data และนำเสนอข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับแคมเปญจารกรรมนี้ซึ่งพวกเขาเรียกว่า "Snake" นักวิจัยรวบรวมไฟล์พิเศษกว่า 100 ไฟล์ที่เกี่ยวข้องกับ Snake และกล่าวถึงข้อเท็จจริงที่น่าสนใจ ตัวอย่างเช่นไฟล์ทั้งหมดจะถูกคอมไพล์ในวันธรรมดาโดยบอกว่า "ผู้สร้างมัลแวร์ทำงานในสัปดาห์ทำงานเหมือนมืออาชีพอื่น ๆ "

ในหลายกรณีนักวิจัยสามารถระบุประเทศต้นทางสำหรับการส่งมัลแวร์ ระหว่างปี 2010 ถึงปัจจุบันมีตัวอย่างงู 32 ตัวมาจากยูเครน, 11 คนจากลิทัวเนียและอีกสองคนจากสหรัฐรายงานสรุปว่างูเป็น "ลักษณะภูมิประเทศที่ถาวร" และเสนอคำแนะนำโดยละเอียดสำหรับผู้เชี่ยวชาญด้านความปลอดภัยเพื่อกำหนด ไม่ว่าจะเป็นเครือข่ายของพวกเขาถูกเจาะ G Data ยังให้ความช่วยเหลือ หากคุณคิดว่าคุณมีการติดเชื้อคุณสามารถติดต่อ [email protected]

จริงๆแล้วมันไม่น่าแปลกใจ เราได้เรียนรู้ว่า NSA ได้สอดแนมประมุขแห่งรัฐ ประเทศอื่น ๆ จะลองใช้มือของตนเองในการสร้างเครื่องมือจารกรรมไซเบอร์ และสิ่งที่ดีที่สุดของพวกเขาเช่น Uroburos อาจใช้เวลาหลายปีก่อนที่พวกเขาจะค้นพบ