安全研究人員根據(jù)泄露的NSA惡意軟件創(chuàng)建了新的后門(mén)

一名安全研究人員創(chuàng)建了一個(gè)概念驗(yàn)證后門(mén)，其靈感來(lái)自2017年春季在線(xiàn)泄露的NSA惡意軟件。10個(gè)危險(xiǎn)的app漏洞需要注意(免費(fèi)PDF)Dillon將SMBdoor設(shè)計(jì)為Windows內(nèi)核驅(qū)動(dòng)程序，一旦安裝在PC上，就會(huì)濫用srvnet.sys進(jìn)程中未記錄的API，將自身注冊(cè)為SMB(服務(wù)器消息塊)連接的有效處理程序。惡意軟件非常隱蔽，因?yàn)樗粫?huì)綁定到任何本地套接字，打開(kāi)端口或掛鉤到現(xiàn)有功能，并且這樣做可以避免觸發(fā)某些防病毒系統(tǒng)的警報(bào)。

它的設(shè)計(jì)靈感來(lái)自Dillon在DoublePulsar和DarkPulsar中看到的類(lèi)似行為，這是由NSA設(shè)計(jì)的兩個(gè)惡意軟件植入物，被一個(gè)邪惡的黑客組織The Shadow Brokers在網(wǎng)上泄露。

沒(méi)有武器化

但有些用戶(hù)可能會(huì)問(wèn)自己 - 為什么安全研究人員首先會(huì)制造惡意軟件?

在今天接受ZDNet采訪(fǎng)時(shí)，Dillon告訴我們，SMBdoor代碼沒(méi)有武器化，網(wǎng)絡(luò)犯罪分子無(wú)法從GitHub下載并感染用戶(hù)，就像他們可以下載和部署NSA的DoublePulsar版本一樣。

“[SMBdoor]具有實(shí)際限制，使其主要是學(xué)術(shù)探索，但我認(rèn)為分享可能很有趣，并且可能是[端點(diǎn)檢測(cè)和響應(yīng)，又稱(chēng)防病毒]產(chǎn)品應(yīng)監(jiān)控的東西，”Dillon說(shuō)。

“攻擊者必須克服的概念驗(yàn)證存在局限性，”他補(bǔ)充說(shuō)。“最重要的是，現(xiàn)代Windows試圖阻止未簽名的內(nèi)核代碼。

“在加載輔助有效載荷的過(guò)程中，后門(mén)必須考慮到后續(xù)問(wèn)題，以便使用分頁(yè)存儲(chǔ)器而不會(huì)使系統(tǒng)死鎖，”Dillon說(shuō)。

“這兩個(gè)問(wèn)題都有幾個(gè)眾所周知的繞過(guò)，但是當(dāng)啟用Hyper-V Code Integrity等現(xiàn)代緩解措施時(shí)，它們確實(shí)變得更加困難。”

Dillon表示，除非攻擊者重視隱身而不是修改SMBdoor所需的努力，否則這種實(shí)驗(yàn)性惡意軟件對(duì)任何人都沒(méi)有用。

隱蔽的設(shè)計(jì)

由于其隱身設(shè)計(jì)和未記錄的API功能的使用，Dillon在SMBdoor上的工作引起了許多安全研究人員的關(guān)注。

這看起來(lái)很好，開(kāi)源植入式小豬支持SMB(所以沒(méi)有新的端口打開(kāi))

“像DOUBLEPULSAR一樣，這種植入物隱藏在系統(tǒng)的深?yuàn)W區(qū)域，”Dillon告訴ZDNet。

“在一個(gè)已經(jīng)綁定的端口上收聽(tīng)網(wǎng)絡(luò)流量，而不接觸任何套接字，在當(dāng)前的方法中并不完善，并且是不斷擴(kuò)大的研究領(lǐng)域的一部分。

什么是惡意軟件?

您需要了解的有關(guān)病毒，特洛伊木馬和惡意軟件的所有信息

網(wǎng)絡(luò)攻擊和惡意軟件是互聯(lián)網(wǎng)上最大的威脅之一。了解不同類(lèi)型的惡意軟件 - 以及如何避免成為攻擊的受害者。

“雖然系統(tǒng)中可能存在通用內(nèi)聯(lián)掛鉤可以實(shí)現(xiàn)類(lèi)似效果，但這種方法很有意思，因?yàn)樗[藏了SMB的正常核心功能。

“這是一種異常，需要定制和特定的代碼來(lái)檢測(cè)，”狄龍說(shuō)。

研究人員希望他在SMBdoor上的工作能夠推動(dòng)安全軟件提供商改進(jìn)他們的檢測(cè)，并在此過(guò)程中，為Windows用戶(hù)提供更好的保護(hù)，防范SMBdoor，DoublePulsar和DarkPulsar威脅。

Dillon在分析泄露的NSA惡意軟件方面的工作在他的同行中是眾所周知的。在此之前，他將EternalChampion，EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上，回到Windows 2000;他將DoublePulsar惡意軟件植入物移植到基于Windows的物聯(lián)網(wǎng)設(shè)備上;并且還將EternalBlue SMB漏洞(WannaCry和NotPetya勒索軟件使用的漏洞利用)移植到現(xiàn)代版本的Windows 10上。