Video: Windows Defender versus MrsMajor virus (Dezember 2024)
Microsoft Kernel Patch Protection (PatchGuard) wurde vor Jahren für 64-Bit-Editionen von Windows XP und Windows Server 2003 eingeführt und soll Malware-Angriffe verhindern, indem wichtige Teile des Windows-Kernels geändert werden. Wenn es einem Rootkit oder einem anderen Schadprogramm gelingt, den Kernel zu optimieren, stürzt PatchGuard das System absichtlich ab. Dieselbe Funktion machte den Virenschutzanbietern das Leben schwer, da viele von ihnen darauf angewiesen waren, den Kernel sorgfältig zu patchen, um die Sicherheit zu verbessern. sie haben sich seitdem angepasst. Ein neuer Bericht von G Data besagt jedoch, dass eine Bedrohung namens Uroburos PatchGuard umgehen kann.
Windows einbinden
Rootkits verbergen ihre Aktivitäten, indem sie verschiedene interne Windows-Funktionen einbinden. Wenn ein Programm Windows aufruft, um die in einem Ordner vorhandenen Dateien oder die in einem Registrierungsschlüssel gespeicherten Werte zu melden, wird die Anforderung zuerst an das Rootkit gesendet. Es ruft die eigentliche Windows-Funktion auf, entfernt jedoch alle Verweise auf die eigenen Komponenten, bevor die Informationen weitergegeben werden.
Der neueste Blog-Beitrag von G Data erklärt, wie Uroburos PatchGuard umgeht. Eine Funktion mit dem sperrigen Namen KeBugCheckEx stürzt absichtlich ab, wenn Windows diese Art von Kernel-Hooking-Aktivität (oder mehrere andere verdächtige Aktivitäten) erkennt. Deshalb hakt Uroburos KeBugCheckEx ein, um seine anderen Aktivitäten zu verbergen.
Eine sehr detaillierte Erklärung dieses Prozesses finden Sie auf der CodeProject-Website. Es ist jedoch definitiv eine Fachpublikation. In der Einführung heißt es: "Dies ist kein Tutorial und Anfänger sollten es nicht lesen."
Der Spaß hört nicht auf, KeBugCheckEx zu untergraben. Uroburos muss weiterhin seinen Treiber laden, und die Treibersignaturrichtlinie in 64-Bit-Windows verbietet das Laden von Treibern, die nicht von einem vertrauenswürdigen Herausgeber digital signiert wurden. Die Entwickler von Uroburos haben eine bekannte Sicherheitsanfälligkeit in einem legitimen Treiber ausgenutzt, um diese Richtlinie zu deaktivieren.
Cyber Spionage
In einem früheren Beitrag beschrieben G Data-Forscher Uroburos als "hochkomplexe Spionagesoftware mit russischen Wurzeln". Es richtet effektiv einen Spionage-Außenposten auf dem PC des Opfers ein und erstellt ein virtuelles Dateisystem, um seine Werkzeuge und gestohlenen Daten sicher und geheim zu verwahren.
In dem Bericht heißt es: "Wir schätzen, dass er auf Regierungsinstitutionen, Forschungseinrichtungen oder Unternehmen abzielt, die mit sensiblen Informationen und ähnlichen hochkarätigen Zielen zu tun haben." Verteidigung über den berüchtigten Trick "USB auf dem Parkplatz". Ihre Beweise sind solide. Uroburos verzichtet sogar auf die Installation, wenn es erkennt, dass Agent.BTZ bereits vorhanden ist.
Die Forscher von G Data kamen zu dem Schluss, dass ein Malware-System dieser Komplexität "zu teuer ist, um als gängige Spyware verwendet zu werden". Sie weisen darauf hin, dass es erst "viele Jahre nach der vermuteten ersten Infektion" entdeckt wurde. Und sie bieten eine Fülle von Beweisen dafür, dass Uroburos von einer russischsprachigen Gruppe geschaffen wurde.
Das wahre Ziel?
Ein ausführlicher Bericht von BAE Systems Applied Intelligence zitiert die G Data-Forschung und bietet zusätzliche Einblicke in diese Spionagekampagne, die sie als "Schlange" bezeichnen. Die Forscher haben über 100 eindeutige Dateien zu Snake gesammelt und einige interessante Fakten herausgearbeitet. Beispielsweise wurden praktisch alle Dateien an einem Wochentag kompiliert, was darauf hindeutet, dass "die Ersteller der Malware wie jeder andere Fachmann eine Arbeitswoche betreiben".
In vielen Fällen konnten die Forscher das Herkunftsland für eine Malware-Einsendung bestimmen. Von 2010 bis heute kamen 32 Proben aus der Ukraine, 11 aus Litauen und nur zwei aus den USA. Der Bericht kommt zu dem Schluss, dass Snake ein "permanentes Merkmal der Landschaft" ist und bietet detaillierte Empfehlungen für Sicherheitsexperten ob ihre Netzwerke durchdrungen wurden. G Data bietet auch Hilfe an. Wenn Sie glauben, eine Infektion zu haben, können Sie sich an [email protected] wenden.
Wirklich, das ist nicht überraschend. Wir haben erfahren, dass die NSA ausländische Staatschefs ausspioniert hat. Andere Länder werden sich natürlich selbst um den Bau von Cyberspionage-Tools bemühen. Und die besten von ihnen, wie Uroburos, können Jahre laufen, bevor sie entdeckt werden.
