Uroburos – Calatorie in profunzimea protectiei kernel

10 martie 2014

Malware-ul foloseste o noua tehnologie pentru a evita protectia kernel a sistemului de operare Windows

Uroburos a fost deja descris ca fiind foarte sofisticat si de mare complexitate in G Data Red Paper, document care a detaliat comportamentul malware al acestuia. Aceasta ipoteza este sustinuta din nou, de data aceasta referitor la procesul de instalare. Uroburos foloseste o tehnica nemaintalnita pana acum, pentru a ocoli Microsoft Driver Signature Enforcement, o parte esentiala a securitatii s

Uroburos – Calatorie in profunzimea protectiei kernel

Majoritatea programelor rootkit folosesc, de regula, modificari sau patch-uri de kernel pentru a-si ascunde activitatile si a modifica comportamentul sistemelor infectate. Microsoft a adaugat noi tehnologii la editia pe 64 bit, respectiv tehnologia Kernel Patch Protection ce verifica integritatea kernelului pentru a se asigura ca elemente importante raman nemodificate. In cazul detectarii unei modificari, este executata o functie ce are ca rezultat inchiderea sistemului prin afisarea unui ecran albastru.

Dezvoltatorii Uroburos  au folosit aceleasi metode pentru a face bypass protectiei Kernel Patch, cu scopul de a evita executarea codului de bug si inchiderea sistemului.
In acelasi timp, creatorii Uroburos au utilizat o noua tehnica pentru a dezactiva Driver Signature Enforcement, exploatand o vulnerabilitate a unui driver legitim. Doar ca revocarea unei semnaturi este doar un prim pas, deoarece orice sistem care verifica o semnatura trebuie sa aiba acces la datele CRL (Certificate Revocation List). Autorii Uroburos sunt cu siguranta indeajuns de experimentati  pentru a manipula procesul de verificare al sistemului de operare fara sa-l alerteze pe utilizator.

Este prima data cand expertii G Data intalnesc aceste doua tehnici de evitare a mecanismelor de protectie Windows si se asteapta ca acestea sa fie folosite si de alte programe malware in viitor.

G Data Software

G Data Software

Securitatea IT a fost inventata in Germania: G DATA Software AG este pionier in industria de antivirusi. Au trecut mai bine de 30 de ani de cand compania, fondata in Bochum in 1985, a dezvoltat primul program de combatere a virusilor. In momentul actual, G DATA este unul dintre cei mai importanti producatori de solutii de securitate IT din lume.&nb...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Eșecul AVON în implementarea aplicației de management a comenzilor

Efectele eșecului au fost direct resimțite de agenții de vânzări, precum și la nivelul fluxului general dedicat, inclusiv în pierderile companiei (resurse de timp, costuri de achiziție, implementare, training angajați etc.).Aceasta nu a fost singura problemă de acest fel a companiei AVON, cu 2 ani în urmă, subsiduara din Brazilia a gigantului având parte de un eșe...

Citește tot arrow_forward

SneakyPastes: o operațiune aparținând Gaza Cybergang atacă victime din 39 de țări, care au legătură cu Orientul Mijlociu

Campania, numită SneakyPastes, a folosit adrese de e-mail de unică folosință pentru a răspândi infecția prin phishing, înainte de a descărca malware-ul, în etape, utilizând mai multe site-uri gratuite. Această abordare, cu un cost redus, dar eficientă, a ajutat grupul să atace în jur de 240 de victime, din 39 de țări din întreaga lume, printre care e...

Citește tot arrow_forward

Safetech Innovations lansează iSAM, prima soluție de securitate informatică dezvoltată in-house, în urma unei investiții de jumătate de milion de euro

 Lansarea vine după 18 luni de activitate a echipei dedicate de programatori și experți în domeniul securității informatice și o investiție de 550.000 de euro, sumă din care aproximativ 70% a fost acoperită de Fondul European de Dezvoltare Regională prin Programul Operațional pentru Competitivitate pentru anii 2014 – 2020.Soluția iSAM permite managerilor de securitatea...

Citește tot arrow_forward