Android

Altında Radar Rootkit Slaytları Altında Daha Radar

DEF CON Safe Mode - Bill Demirkapi - Demystifying Modern Windows Rootkits

DEF CON Safe Mode - Bill Demirkapi - Demystifying Modern Windows Rootkits
Anonim

Binlerce Web sitesi var. Pek çok güvenlik ürününün ele alınması için hazırlıksız olabilecek güçlü bir zararlı yazılım parçası sunması sağlandı.

Kötü amaçlı yazılım, gizemli bir şekilde gizlenmiş bir şekilde "rootkit" olarak bilinen bir program olan Mebroot'un yeni bir versiyonudur. Windows işletim sistemi, Jacques Erasmus, güvenlik şirketi Prevx için araştırma direktörü dedi.

Symantec'in adını verdiği Mebroot'un daha eski bir versiyonu, ilk olarak Aralık 2007'de ortaya çıktı ve gizli kalmak için iyi bilinen bir teknik kullandı. Bir bilgisayarın Ana Önyükleme Kaydı'nı (MBR) bozar. Bir bilgisayarın BIOS'u çalıştırdıktan sonra işletim sistemini başlatırken kullandığı ilk kod.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

MBR bir bilgisayar korsanının denetimi altındaysa, tüm Bilgisayar ve Internet üzerinden iletilen ya da internet üzerinden iletilen herhangi bir veri, Erasmus dedi.

Mebroot'un ortaya çıkmasından bu yana, güvenlik sağlayıcıları tespit etmek için yazılımlarını geliştirdi. Ancak en son sürüm, gizli kalmak için çok daha gelişmiş teknikler kullandığını söyledi.

Mebroot, program kancalarını çekirdeğin çeşitli işlevlerine veya işletim sisteminin çekirdek koduna ekler. Mebroot bir kez bekledikten sonra, kötü amaçlı yazılım daha sonra MBR'nin kurcalanmadığını ortaya çıkarır.

"MBR'yi taramaya çalışırken, herhangi bir güvenlik yazılımı için mükemmel bir MBR görüntüleniyor"

Sonra, bilgisayar her açılışında, Mebroot kendini svc.host gibi bir Windows işlemine enjekte eder. Hafızada olduğu için bu, sabit diske hiçbir şey yazılmadığı anlamına gelir, bir başka kaçış tekniği, Erasmus dedi.

Mebroot daha sonra istediği bilgileri çalarak HTTP üzerinden uzak bir sunucuya gönderebilir. Mebroot'un trafiği gizlediğinden bu yana Wireshark gibi ağ analiz araçlarının veri sızdığını fark etmediğini belirten Erasmus, şöyle devam ediyor:

Prevx, şirketin tüketici müşterilerinin bir tanesi enfekte olduktan sonra Mebroot'un yeni varyantını gördü. Mebroot'un işletim sisteminde kendini nasıl yerleştirdiğini tam olarak anlamak için analistleri birkaç gün aldı. “Bence şu anda herkesin [antimalware] motorlarını bulmak için değiştirdiğini düşünüyorum” dedi Erasmus.

Ve bu şirketlerin hızlı hareket etmesi gerekiyor. Erasmus, Mebroot'u Web tarayıcıları için uygun yamaları olmayan hassas bilgisayarlara teslim etmek için binlerce Web sitesinin saldırıya uğradığını göründüğünü belirtti.

Enflasyon mekanizması bir sürücü indirmesi olarak biliniyor. Bir kişi saldırıya uğramış meşru bir Web sitesini ziyaret ettiğinde ortaya çıkar. Sitede bir kez görünmez bir iframe, tarayıcının bir güvenlik açığı olup olmadığını görmek için test etmeye başlayan bir istismar çerçevesiyle yüklenir. Eğer öyleyse, Mebroot teslim edilir ve bir kullanıcı bir şey fark etmez.

"Artık orada çok vahşi," dedi Erasmus. "Gittiğin her yerde, enfekte olma şansın var."

Mebroot'u kimin yazdığı bilinmiyor, ancak bilgisayar korsanlarının tek amacının olabildiğince çok bilgisayara bulaşmak olduğu anlaşılıyor, Erasmus dedi.

Prevx Virüsten koruma yazılımı ile birlikte çalışan bir özel güvenlik ürünü, tarayıcıdan kaynaklanan tarayıcıları, parola hırsızlarını, rootkit'leri ve dolandırıcılık antivirüs yazılımını algılayacak.

Prevx, ürünün 3.0 sürümünü Çarşamba günü yayınladı. Yazılım, kötü amaçlı yazılım bulaşmalarını ücretsiz olarak algılayacak, ancak kullanıcıların tam kaldırma işlevselliğini elde etmek için yükseltmeleri gerekiyor. Ancak, Prevx 3.0, Mebroot'un da dahil olduğu daha kötü niyetli kötü amaçlı yazılımlardan bazılarının yanı sıra, reklam yazılımı olarak bilinen reklam yazılımlarının ücretsiz olarak kaldırılacağını belirtti.