Vídeo: Что будет, если ответить NO в NoEscape? Обзор NoEscape.exe (Novembro 2024)
Introduzido anos atrás para edições de 64 bits do Windows XP e Windows Server 2003, o Kernel Patch Protection da Microsoft, ou PatchGuard, foi projetado para impedir ataques de malware que funcionam modificando partes essenciais do kernel do Windows. Se um rootkit ou outro programa malicioso conseguir ajustar o kernel, o PatchGuard trava o sistema deliberadamente. Esse mesmo recurso dificultou a vida dos fornecedores de antivírus, pois muitos deles dependiam de aplicar patches benignos no kernel para melhorar a segurança; eles já se adaptaram. No entanto, um novo relatório da G Data afirma que uma ameaça chamada Uroburos pode ignorar o PatchGuard.
Hooking Windows
Os rootkits ocultam suas atividades conectando várias funções internas do Windows. Quando um programa chama o Windows para relatar os arquivos presentes em uma pasta ou os valores armazenados em uma chave do Registro, a solicitação vai primeiro ao rootkit. Por sua vez, chama a função real do Windows, mas retira todas as referências a seus próprios componentes antes de transmitir as informações.
A publicação mais recente do blog da G Data explica como Uroburos contorna o PatchGuard. Uma função com o nome volumoso KeBugCheckEx trava deliberadamente o Windows se detectar esse tipo de atividade de conexão do kernel (ou várias outras atividades suspeitas). Então, naturalmente, Uroburos prende o KeBugCheckEx para ocultar suas outras atividades.
Uma explicação muito detalhada desse processo está disponível no site do codeproject. No entanto, é definitivamente uma publicação somente para especialistas. A introdução declara: "Este não é um tutorial e os iniciantes não devem lê-lo".
A diversão não para com a subversão do KeBugCheckEx. O Uroburos ainda precisa carregar o driver, e a Política de assinatura de driver no Windows de 64 bits proíbe o carregamento de qualquer driver que não seja assinado digitalmente por um editor confiável. Os criadores do Uroburos usaram uma vulnerabilidade conhecida em um driver legítimo para desativar essa política.
Espionagem cibernética
Em um post anterior, os pesquisadores da G Data descreveram o Uroburos como "software de espionagem altamente complexo com raízes russas". Ele efetivamente estabelece um posto avançado de espionagem no PC da vítima, criando um sistema de arquivos virtual para armazenar de forma segura e secreta suas ferramentas e dados roubados.
O relatório declara: "estimamos que ele foi projetado para atingir instituições governamentais, instituições de pesquisa ou empresas que lidam com informações confidenciais, bem como metas semelhantes de alto perfil", e o vincula a um ataque de 2008 chamado Agent.BTZ que se infiltrou no Departamento de Defesa através do infame truque "USB no estacionamento". A evidência deles é sólida. O Uroburos evita a instalação se detectar que o Agent.BTZ já está presente.
Os pesquisadores da G Data concluíram que um sistema de malware dessa complexidade é "muito caro para ser usado como spyware comum". Eles ressaltam que isso nem foi detectado até "muitos anos após a suspeita da primeira infecção". E eles oferecem muitas evidências de que Uroburos foi criado por um grupo de língua russa.
O verdadeiro alvo?
Um relatório detalhado da BAE Systems Applied Intelligence cita a pesquisa da G Data e oferece informações adicionais sobre essa campanha de espionagem, que eles chamam de "Cobra". Os pesquisadores reuniram mais de 100 arquivos exclusivos relacionados ao Snake e divulgaram alguns fatos interessantes. Por exemplo, praticamente todos os arquivos foram compilados em um dia da semana, sugerindo que "Os criadores do malware operam uma semana útil, como qualquer outro profissional".
Em muitos casos, os pesquisadores conseguiram determinar o país de origem para o envio de um malware. Entre 2010 e o presente, 32 amostras relacionadas à Snake chegaram da Ucrânia, 11 da Lituânia e apenas duas dos EUA. O relatório conclui que a Snake é uma "característica permanente da paisagem" e oferece recomendações detalhadas para especialistas em segurança determinarem se suas redes foram invadidas. G Data também oferece ajuda; Se você acha que está infectado, pode entrar em contato com [email protected].
Realmente, isso não é surpreendente. Aprendemos que a NSA espionou chefes de estado estrangeiros. Outros países naturalmente tentarão criar suas próprias ferramentas de espionagem cibernética. E os melhores, como Uroburos, podem durar anos antes de serem descobertos.