וִידֵאוֹ: 4%~`∫ƒ∆∑˜∂ˆ∑ª•£¥ª® (אוֹקְטוֹבֶּר 2024)
הוצג לפני שנים עבור מהדורות 64 סיביות של Windows XP ו- Windows Server 2003, הגנת התאים של מיקרוסופט, או PatchGuard, מיועדת למנוע התקפות זדוניות הפועלות על ידי שינוי חלקים חיוניים של גרעין Windows. אם ערכת שורש או תוכנית זדונית אחרת מצליחה לצבוט את הגרעין, PatchGuard קורס את המערכת במכוון. אותה תכונה הקשה על חייהם של ספקי האנטי-וירוס, מכיוון שרבים מהם הסתמכו על תיקון הגרעין באופן מיטיב כדי לשפר את האבטחה; מאז הם הסתגלו. עם זאת, דוח חדש מ- G Data קובע כי איום בשם Uroburos יכול לעקוף את PatchGuard.
מחבר לחלונות
Rootkits מסתירים את פעילותם על ידי חיבור פונקציות פנימיות שונות של Windows. כאשר תוכנית קוראת ל- Windows לדווח על הקבצים שנמצאים בתיקיה, או על הערכים המאוחסנים במפתח רישום, הבקשה עוברת תחילה ל- rootkit. זה בתורו מכנה את פונקציית Windows בפועל, אך מבטל את כל ההתייחסויות לרכיבים שלה לפני שהוא עובר במידע.
פוסט הבלוג האחרון של G Data מסביר כיצד אורובורוס מסתובב ב- PatchGuard. פונקציה עם השם המגושם KeBugCheckEx קורסת במכוון את Windows אם היא מגלה סוג זה של פעילות חיבור גרעינים (או מספר פעילויות חשודות אחרות). כך, באופן טבעי, אורובורוס מחבר את KeBugCheckEx כדי להסתיר את פעילויותיו האחרות.
הסבר מפורט מאוד על תהליך זה זמין באתר של פרויקט קוד. עם זאת, זה בהחלט פרסום שמומחה בלבד. בהקדמה נאמר, "אין מדובר במדריך ואסור למתחילים לקרוא אותו."
הכיף לא נפסק עם הפחתת KeBugCheckEx. Uroburos עדיין זקוק לטעון את מנהל ההתקן שלו, ומדיניות חתימת מנהל ההתקן ב- Windows עם 64 סיביות אוסרת לטעון כל מנהל התקן שאינו חתום דיגיטלית על ידי מפרסם מהימן. יוצרי אורובורוס השתמשו בפגיעות ידועה במנהל התקנים לגיטימי כדי לכבות מדיניות זו.
סייבר-ריגול
בפוסט מוקדם יותר תיארו חוקרי G Data את אורובורוס כ"תוכנת ריגול מורכבת ביותר עם שורשים רוסיים. " זה למעשה מייצר מאחז ריגול במחשב הקורבן, ויוצר מערכת קבצים וירטואלית להחזקה מאובטחת ובסתר הכלים והנתונים הגנובים.
בדו"ח נאמר כי "אנו מעריכים כי הוא נועד למקד למוסדות ממשלתיים, מוסדות מחקר או חברות העוסקות במידע רגיש וכן יעדים דומים בפרופיל גבוה", ומקשר אותו למתקפה בשנת 2008 בשם Agent.BTZ שחדרה למחלקה של הגנה באמצעות הטריק "USB בחניון" הידוע לשמצה. הראיות שלהם מוצקות. אורובורוס אפילו נמנע מהתקנה אם הוא מגלה כי הסוכן.BTZ כבר קיים.
החוקרים של G Data הגיעו למסקנה שמערכת תוכנה זדונית בעלת מורכבות זו היא "יקרה מכדי לשמש ככלי ריגול נפוץ." הם מציינים כי זה אפילו לא התגלה עד "שנים רבות לאחר החשד לזיהום הראשון." והם מציעים שפע של עדויות לכך שהאורבורוס נוצר על ידי קבוצה דוברת רוסית.
היעד האמיתי?
דוח מעמיק של BAE Systems Applied Intelligence מצטט את מחקר G Data ומציע תובנה נוספת על קמפיין הריגול הזה, אותו הם מכנים "נחש". חוקרים אספו למעלה ממאה קבצים ייחודיים הקשורים לנחש, והתגאו כמה עובדות מעניינות. לדוגמה, כמעט כל הקבצים נערכו ביום חול והציעו כי "יוצרי התוכנה הזדונית פועלים שבוע עבודה, ממש כמו כל איש מקצוע אחר."
במקרים רבים החוקרים הצליחו לקבוע את ארץ המוצא להגשת תוכנה זדונית. בין 2010 להווה הגיעו 32 דגימות הקשורות לנחש מאוקראינה, 11 מליטא, ורק שתיים מארצות הברית. הדו"ח מסכם כי נחש הוא "תכונה קבועה בנוף", ומציע המלצות מפורטות למומחי האבטחה כדי לקבוע. האם חדרו לרשתות שלהם. G Data מציעה גם עזרה; אם אתה חושב שיש לך זיהום, אתה יכול ליצור קשר עם [email protected].
באמת, זה לא מפתיע. נודע לנו כי ה- NSA ריגש אחר ראשי מדינות זרים. מדינות אחרות ינסו באופן טבעי במו ידיהם לבנות כלי ריגול ברשת. והטובים שבהם, כמו אורובורוס, עשויים לרוץ במשך שנים לפני שהם יתגלו.
