Uroburos – Calatorie in profunzimea protectiei kernel

10 martie 2014

Malware-ul foloseste o noua tehnologie pentru a evita protectia kernel a sistemului de operare Windows

Uroburos a fost deja descris ca fiind foarte sofisticat si de mare complexitate in G Data Red Paper, document care a detaliat comportamentul malware al acestuia. Aceasta ipoteza este sustinuta din nou, de data aceasta referitor la procesul de instalare. Uroburos foloseste o tehnica nemaintalnita pana acum, pentru a ocoli Microsoft Driver Signature Enforcement, o parte esentiala a securitatii s

Uroburos – Calatorie in profunzimea protectiei kernel

Majoritatea programelor rootkit folosesc, de regula, modificari sau patch-uri de kernel pentru a-si ascunde activitatile si a modifica comportamentul sistemelor infectate. Microsoft a adaugat noi tehnologii la editia pe 64 bit, respectiv tehnologia Kernel Patch Protection ce verifica integritatea kernelului pentru a se asigura ca elemente importante raman nemodificate. In cazul detectarii unei modificari, este executata o functie ce are ca rezultat inchiderea sistemului prin afisarea unui ecran albastru.

Dezvoltatorii Uroburos  au folosit aceleasi metode pentru a face bypass protectiei Kernel Patch, cu scopul de a evita executarea codului de bug si inchiderea sistemului.
In acelasi timp, creatorii Uroburos au utilizat o noua tehnica pentru a dezactiva Driver Signature Enforcement, exploatand o vulnerabilitate a unui driver legitim. Doar ca revocarea unei semnaturi este doar un prim pas, deoarece orice sistem care verifica o semnatura trebuie sa aiba acces la datele CRL (Certificate Revocation List). Autorii Uroburos sunt cu siguranta indeajuns de experimentati  pentru a manipula procesul de verificare al sistemului de operare fara sa-l alerteze pe utilizator.

Este prima data cand expertii G Data intalnesc aceste doua tehnici de evitare a mecanismelor de protectie Windows si se asteapta ca acestea sa fie folosite si de alte programe malware in viitor.

G Data Software

G Data Software

Securitatea IT a fost inventata in Germania: G DATA Software AG este pionier in industria de antivirusi. Au trecut mai bine de 30 de ani de cand compania, fondata in Bochum in 1985, a dezvoltat primul program de combatere a virusilor. In momentul actual, G DATA este unul dintre cei mai importanti producatori de solutii de securitate IT din lume.&nb...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Procesele se îmbunătățesc continuu, prin tehnologia Cloud

Despre experianța uneia dintre cele mai mari companii din domeniul construcțiilor de mașini și unelte, care a decis încă din 2015 să folosească Sistemul modern de Management al Documentelor în Cloud, DocuWare, aflați din Studiul de Caz.

Citește tot arrow_forward

Eșecul AVON în implementarea aplicației de management a comenzilor

Studiu de CazDupă 4 ani de planificare a proiectului de implementare, compania de produse cosmetice AVON, prin filiala sa din Canada, a concluzionat eșecul implementării suitei de aplicații software ERP/CRM/eCommerce. Întregul proiect a fost evaluat la 125 de milioane de dolari.

Citește tot arrow_forward

Românii au făcut cumpărături online în valoare de peste 3,5 miliarde de euro în 2018, cu 30% mai mult decât în 2017 | Raportul Pieței de E-Commerce GPeC 2018

Conform statisticilor și estimărilor GPeC împreună cu principalii jucători din piața românească de e-commerce (sursele sunt menționate la finalul raportului), valoarea cumpărăturilor online a depășit pragul de 3,5 miliarde de euro în 2018, cu aprox. 30% mai mult decât în 2017, când s-au înregistrat 2,8 miliarde de euro....

Citește tot arrow_forward