XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

新的实验后门突出了防病毒产品没有关注的操作系统部分

发布时间:2019-04-25 15:40:55 来源:

一名安全研究人员创建了一个概念验证后门,其灵感来自2017年春季在线泄露的NSA恶意软件。

这种新的恶意软件被命名为SMBdoor,是RiskSence安全研究员Sean Dillon(@ zerosum0x0)的工作。

Dillon将SMBdoor设计为Windows内核驱动程序,一旦安装在PC上,就会滥用srvnet.sys进程中未记录的API,将自身注册为SMB(服务器消息块)连接的有效处理程序。

恶意软件非常隐蔽,因为它不会绑定到任何本地套接字,打开端口或挂钩到现有功能,并且这样做可以避免触发某些防病毒系统的警报。

它的设计灵感来自Dillon在DoublePulsar和DarkPulsar中看到的类似行为,这是由NSA设计的两个恶意软件植入物,由一个邪恶的黑客组织The Shadow Brokers在网上泄露。

没有武器化

但有些用户可能会问自己 - 为什么安全研究人员首先会制造恶意软件?

在今天接受ZDNet采访时,Dillon告诉我们,SMBdoor代码没有武器化,网络犯罪分子无法从GitHub下载并感染用户,就像他们可以下载和部署NSA的DoublePulsar版本一样。

“[SMBdoor]具有实际限制,使其主要是学术探索,但我认为分享可能很有趣,并且可能是[端点检测和响应,又称防病毒]产品应监控的东西,”Dillon说。

“攻击者必须克服的概念验证存在局限性,”他补充说。“最重要的是,现代Windows试图阻止未签名的内核代码。

“在加载辅助有效载荷的过程中,后门必须考虑到后续问题,以便使用分页存储器而不会使系统死锁,”Dillon说。

“这两个问题都有几个众所周知的绕过,但是当启用Hyper-V Code Integrity等现代缓解措施时,它们确实变得更加困难。”

Dillon表示,除非攻击者重视隐身而不是修改SMBdoor所需的努力,否则这种实验性恶意软件对任何人都没有用。

热点推荐
随机文章