'Da Kötü Amaçlı Yazılımları Gizlemek için Aracı Sunuyor. Araştırmacı, .Net

Bir bilgisayar güvenlik araştırmacısı, Microsoft'un.Net framework'ünde tespit edilmesi zor olan kötü amaçlı yazılımların Windows bilgisayarlarda yerleştirilmesini kolaylaştırabilen yükseltilmiş bir araç yayınladı.

.Net-Sploit 1.0 adlı araç, izin verir. Çoğu Windows makinesinde yüklü olan ve bazı uygulamaların yürütülmesine olanak sağlayan bir yazılım parçası olan.Net'in değiştirilmesi için.

Microsoft, programcıların çerçeve ile uyumlu uygulamalar yazabilmeleri için bir geliştirici araçları takımı hazırlamaktadır. Geliştiricilere, bir PC üzerinde çalışacak birçok farklı yüksek seviyeli dilde program yazmanın avantajını sunuyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

.Net-Sploit bir bilgisayar korsanının hedeflenen makinelerde.Net çerçevesini değiştirerek, rootkit stili kötü amaçlı yazılımları güvenlik yazılımı tarafından dokunulmayan bir yere yerleştirerek ve güvenlik açısından az sayıda insanın bakmaya çalışacağını düşünürken, 2Bilgisayar için yazılım güvenlik mühendisi olan Erez Metula, aracı yazdı.

"Bir saldırı tasarlamanın ne kadar kolay olduğuna şaşıracaksınız," dedi Metula Cuma günü Black Hat güvenlik konferansında yapılan bir sunum sırasında Cuma günü.

.Net-Sploit aslında bir saldırganın meşru bir kod parçasını değiştirmesine izin veriyor..Net içinde kötü bir tane ile. Bazı uygulamalar çalıştırmak için.Net çerçevesinin bölümlerine bağlı olduğundan, kötü amaçlı yazılım birçok uygulamanın işlevini etkileyebileceği anlamına gelir.

Örneğin, bir kimlik doğrulama mekanizmasına sahip olan bir uygulama, değiştirilmiş.Net çerçevesine saldırılabilir. kullanıcı adlarını ve parolaları kesip uzaktaki bir sunucuya gönderdiler, dedi Metula.

.Net-Sploit, çerçeveyi bozmak, bir saldırının gelişmesini hızlandırmak için gerekli olan zorlu kodlama görevlerini otomatik hale getirdi. Örneğin, ilgili bir DLL'yi (dinamik bağlantı kitaplığı) çerçeveden çekip kötü amaçlı DLL'yi dağıtmaya yardımcı olabilir.

Metula, bir saldırganın, aracı kullanmadan önce bir makinenin denetimine sahip olması gerektiğini söyledi..Net çerçevesini bozmanın avantajı, bir saldırganın makinenin kontrolünü uzun zamandan beri kontrol altında tutabileceğidir.

Potansiyel olarak, sözde "arka kapılar" olarak adlandırılmak üzere erişim ayrıcalıklarını kötüye kullanabilen sahtekar sistem yöneticileri tarafından kötüye kullanılabilir. "ya da uzaktan erişim sağlamak için daha kötü amaçlı yazılım, Metula dedi.

Microsoft Güvenlik Yanıt Merkezi, Eylül 2008'de konuyla ilgili olarak bildirildi. Şirket, bir saldırganın bir PC üzerinde kontrol sahibi olması gerektiğinden, şirketin durumu güvenlik açığı. Net. Microsoft'un yakın vadeli bir düzeltme yapma planının olduğu görünmüyor.

En az bir Microsoft yetkilisi sunumunun ardından şirketin konumunu savunarak Metula ile sohbet etti. Metula ayrıca, Microsoft'un bu tür bir saldırıyı daha da zorlaştıracak önlemleri alabileceği bir duruma rağmen bir savunmasızlığı değil, bir zayıflığı da göz önünde bulundurduğunu söyledi.

"Kurşun geçirmez bir çözüm onu ​​tamir edemez," dedi Metula.

Ayrıca, güvenlik sağlayıcıları.Net çerçevesini kurcalamayı saptamak için yazılımlarını yükseltmeliler, dedi Metula… Farklılıklar, diğer uygulama çerçevelerine de uygulanabileceğinden, saldırıya karşı savunmasız olan tek uygulama çerçevesi değil. Java'da yazılan programları çalıştırmak için kullanılan Java Virtual Machine (JVM).

Metula, tekniğin yanı sıra.Net-Sploit'in en son sürümü üzerine beyaz bir makale yayınladı.