Uroburos – Calatorie in profunzimea protectiei kernel

10 martie 2014

Malware-ul foloseste o noua tehnologie pentru a evita protectia kernel a sistemului de operare Windows

Uroburos a fost deja descris ca fiind foarte sofisticat si de mare complexitate in G Data Red Paper, document care a detaliat comportamentul malware al acestuia. Aceasta ipoteza este sustinuta din nou, de data aceasta referitor la procesul de instalare. Uroburos foloseste o tehnica nemaintalnita pana acum, pentru a ocoli Microsoft Driver Signature Enforcement, o parte esentiala a securitatii s

Uroburos – Calatorie in profunzimea protectiei kernel

Majoritatea programelor rootkit folosesc, de regula, modificari sau patch-uri de kernel pentru a-si ascunde activitatile si a modifica comportamentul sistemelor infectate. Microsoft a adaugat noi tehnologii la editia pe 64 bit, respectiv tehnologia Kernel Patch Protection ce verifica integritatea kernelului pentru a se asigura ca elemente importante raman nemodificate. In cazul detectarii unei modificari, este executata o functie ce are ca rezultat inchiderea sistemului prin afisarea unui ecran albastru.

Dezvoltatorii Uroburos  au folosit aceleasi metode pentru a face bypass protectiei Kernel Patch, cu scopul de a evita executarea codului de bug si inchiderea sistemului.
In acelasi timp, creatorii Uroburos au utilizat o noua tehnica pentru a dezactiva Driver Signature Enforcement, exploatand o vulnerabilitate a unui driver legitim. Doar ca revocarea unei semnaturi este doar un prim pas, deoarece orice sistem care verifica o semnatura trebuie sa aiba acces la datele CRL (Certificate Revocation List). Autorii Uroburos sunt cu siguranta indeajuns de experimentati  pentru a manipula procesul de verificare al sistemului de operare fara sa-l alerteze pe utilizator.

Este prima data cand expertii G Data intalnesc aceste doua tehnici de evitare a mecanismelor de protectie Windows si se asteapta ca acestea sa fie folosite si de alte programe malware in viitor.

G Data Software

Securitatea IT a fost inventata in Germania: G DATA Software AG este pionier in industria de antivirusi. Au trecut mai bine de 30 de ani de cand compania, fondata in Bochum in 1985, a dezvoltat primul program de combatere a virusilor. In momentul actual, G DATA este unul dintre cei mai importanti producatori de solutii de securitate IT din lume.&nb...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Monitorizarea fermelor direct de pe telefon - control mai bun cu ajutorul tehnologiei

Inovația tehnologică este motorul din spatele agriculturii de precizie

Citește tot arrow_forward

Doriţi mai mult capital de lucru? Optimizaţi stocurile cu Mesonic Winline

Asigurarea capitalului de lucru devine principala preocupare pentru mulţi antreprenori în contextul crizei generate de Covid-19. Atât Guvernul României cât şi Comisia europeană au anunţat o serie de măsuri prin care companiile mici şi mijlocii ar putea primi primi credite bancare și capital de lucru, însă aceste instrumente financiare reprezintă o perspectiv...

Citește tot arrow_forward