Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Ruszki rootkit

2014.03.04. 19:40 | buherator | 1 komment

A rendkívül szofisztikált és hosszan tartó (marketing) kampányok listájának legújabb állomása a nyomok szerint orosz gyökerekkel rendelkező Uroburos akció, melynek nyomaira a GData szakértői bukkantak rá. Az elkészült elemzés szerencsére valamivel több információt közöl a kártevő működéséről a szokásos "tud képernyőképet készíteni és lehallgatja a Skype-ot [értsd: mikrofonodat] is" túristacsalogatónál.

Megtudhatjuk például, hogy a program képes P2P kommunikációra is az internetről szeparált rendszerekről történő adatkijuttatás érdekében, virtuális NTFS fájlrendszereket és rendes kriptót használ, a készítők tehát semmi képpen sem a legkissebb ellenállás irányába haladtak.

A(z eddigi) legérdekesebb részletre azonban a kernelmode.info fórumozói hívták fel a figyelmet:

A kártevő rootkitet telepít, de nem akárhogy: a kezdeti payload titkosítottan tartalmazza a VirtualBox egyik eredeti, bár elavult driverét, ami máig hiteles digitális aláírással rendelkezik, így egyszerű felhasználók számára is betölthető. A driver azonban tartalmaz egy sérülékenységet: a felhasználói módból érkező IOCTL-eket a meghajtó olyan pufferelési módban kapja, hogy az operációs rendszer semmilyen vizsgálatot nem végez az átadott struktúrákon illetve címeken. Mivel a driver maga sem implementál semmilyen ellenőrzést (ez okozza a sérülékenységet), a felhasználói módú program (esetünkben az Uroburos) korlátlan hozzáférést kap a kernel címtartományához.

A kártevő ezt arra használja ki, hogy kikapcsolja a Windows tanúsítványellenőrző rutinját, így ezek után Szása bármilyen aláíratlan drivert is simán betölthet.

A módszer amellett, hogy szerintem igen elegáns, felhívja a figyelmet a kód aláírás korlátaira (hiába aláírt a  kódod, ha sérülékeny, tágabban értelmezve a tanúsítvány csak a kód eredetét, nem a szándékát igazolja), illetve a tanúsítvány lejárati idők megfelelő megválasztásának fontosságára is.

Kernelszakértők javítsanak ki, ha valami ülyeséget írtam, köszi!

Címkék: malware spyware rootkit virtualbox uroburos

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2014.03.04. 22:35:28

Már van divatos elnevése is ennek a trükknek:
BYOV
Bring your own vulnerability
süti beállítások módosítása