Video: Win32.trojan.₯ỿӷ.exe | Не друг ты мне! (Noviembre 2024)
Introducido hace años para las ediciones de 64 bits de Windows XP y Windows Server 2003, Kernel Patch Protection de Microsoft, o PatchGuard, está diseñado para prevenir ataques de malware que funcionan modificando partes esenciales del kernel de Windows. Si un rootkit u otro programa malicioso logra ajustar el núcleo, PatchGuard bloquea deliberadamente el sistema. Esta misma característica hizo la vida difícil para los vendedores de antivirus, ya que muchos de ellos confiaban en parchear benignamente el núcleo para mejorar la seguridad; Desde entonces se han adaptado. Sin embargo, un nuevo informe de G Data afirma que una amenaza llamada Uroburos puede pasar por alto PatchGuard.
Enganchar ventanas
Los rootkits ocultan sus actividades conectando varias funciones internas de Windows. Cuando un programa llama a Windows para informar los archivos presentes en una carpeta, o los valores almacenados en una clave del Registro, la solicitud va primero al rootkit. A su vez, llama a la función real de Windows, pero elimina todas las referencias a sus propios componentes antes de pasar la información.
La última publicación de blog de G Data explica cómo Uroburos se mueve alrededor de PatchGuard. Una función con el nombre voluminoso KeBugCheckEx bloquea deliberadamente Windows si detecta este tipo de actividad de enganche del núcleo (o varias otras actividades sospechosas). Entonces, naturalmente, Uroburos engancha KeBugCheckEx para ocultar sus otras actividades.
Una explicación muy detallada de este proceso está disponible en el sitio web de codeproject. Sin embargo, definitivamente es una publicación solo para expertos. La introducción dice: "Esto no es un tutorial y los principiantes no deberían leerlo".
La diversión no se detiene con la subversión de KeBugCheckEx. Uroburos todavía necesita cargar su controlador, y la Política de firma de controladores en Windows de 64 bits prohíbe cargar cualquier controlador que no esté firmado digitalmente por un editor de confianza. Los creadores de Uroburos utilizaron una vulnerabilidad conocida en un controlador legítimo para desactivar esta política.
Espionaje cibernético
En una publicación anterior, los investigadores de G Data describieron a Uroburos como "un software de espionaje altamente complejo con raíces rusas". Establece efectivamente un puesto avanzado de espionaje en la PC víctima, creando un sistema de archivos virtual para guardar de forma segura y secreta sus herramientas y datos robados.
El informe establece que "estimamos que fue diseñado para atacar a instituciones gubernamentales, instituciones de investigación o empresas que manejan información confidencial, así como objetivos similares de alto perfil", y lo vincula a un ataque de 2008 llamado Agent.BTZ que se infiltró en el Departamento de Defensa a través del truco infame "USB en el estacionamiento". Su evidencia es sólida. Uroburos incluso se abstiene de instalar si detecta que Agent.BTZ ya está presente.
Los investigadores de G Data concluyeron que un sistema de malware de esta complejidad es "demasiado costoso para ser utilizado como spyware común". Señalan que ni siquiera se detectó hasta "muchos años después de la sospecha de la primera infección". Y ofrecen una gran cantidad de evidencia de que Uroburos fue creado por un grupo de habla rusa.
El verdadero objetivo?
Un informe exhaustivo de BAE Systems Applied Intelligence cita la investigación de G Data y ofrece información adicional sobre esta campaña de espionaje, a la que llaman "Serpiente". Los investigadores reunieron más de 100 archivos únicos relacionados con Snake y descubrieron algunos datos interesantes. Por ejemplo, prácticamente todos los archivos se compilaron en un día laborable, lo que sugiere que "los creadores del malware operan una semana laboral, como cualquier otro profesional".
En muchos casos, los investigadores pudieron determinar el país de origen de un envío de malware. Entre 2010 y el presente, llegaron 32 muestras relacionadas con Snake de Ucrania, 11 de Lituania y solo dos de EE. UU. El informe concluye que Snake es una "característica permanente del paisaje" y ofrece recomendaciones detalladas para que los expertos en seguridad determinen si sus redes han sido penetradas. G Data también ofrece ayuda; Si cree que tiene una infección, puede comunicarse con [email protected].
Realmente, esto no es sorprendente. Hemos aprendido que la NSA ha espiado a jefes de estado extranjeros. Otros países, naturalmente, intentarán con sus propias manos construir herramientas de ciberespionaje. Y lo mejor de ellos, como Uroburos, puede funcionar durante años antes de ser descubiertos.
