Video: TRUYỆN MA CÓ THẬT - ÁM ẢNH ĐÃ QUA NGHE MÀ RÙNG CẢ MÌNH - MC QUÀNG A TŨN (Tháng mười một 2024)
Được giới thiệu nhiều năm trước cho các phiên bản 64 bit của Windows XP và Windows Server 2003, Bảo vệ bản vá hạt nhân của Microsoft, hoặc PatchGuard, được thiết kế để ngăn chặn các cuộc tấn công phần mềm độc hại hoạt động bằng cách sửa đổi các phần thiết yếu của nhân Windows. Nếu rootkit hoặc chương trình độc hại khác quản lý để điều chỉnh kernel, PatchGuard cố tình làm hỏng hệ thống. Tính năng tương tự này làm cho cuộc sống của các nhà cung cấp phần mềm chống vi-rút trở nên khó khăn, vì nhiều người trong số họ đã dựa vào việc vá nhân lành tính để cải thiện bảo mật; kể từ khi họ thích nghi. Tuy nhiên, một báo cáo mới từ G Data cho biết một mối đe dọa có tên Uroburos có thể vượt qua PatchGuard.
Móc nối Windows
Rootkit ẩn các hoạt động của chúng bằng cách nối các chức năng bên trong Windows khác nhau. Khi một chương trình gọi trên Windows để báo cáo các tệp có trong một thư mục hoặc các giá trị được lưu trong khóa Registry, yêu cầu sẽ được gửi đến rootkit trước. Đến lượt nó gọi hàm Windows thực tế, nhưng loại bỏ tất cả các tham chiếu đến các thành phần của chính nó trước khi chuyển thông tin.
Bài đăng trên blog mới nhất của G Data giải thích cách Uroburos xoay quanh PatchGuard. Một chức năng có tên cồng kềnh KeBugCheckEx cố tình làm sập Windows nếu phát hiện loại hoạt động móc nhân này (hoặc một số hoạt động đáng ngờ khác). Vì vậy, một cách tự nhiên, Uroburos móc KeBugCheckEx để ẩn các hoạt động khác của nó.
Một lời giải thích rất chi tiết về quá trình này có sẵn trên trang web của bảng mã. Tuy nhiên, nó chắc chắn là một ấn phẩm chỉ dành cho chuyên gia. Phần giới thiệu nói: "Đây không phải là hướng dẫn và người mới bắt đầu không nên đọc nó."
Cuộc vui không dừng lại với việc lật đổ KeBugCheckEx. Uroburos vẫn cần tải trình điều khiển của nó và Chính sách ký trình điều khiển trong Windows 64 bit cấm tải bất kỳ trình điều khiển nào không được ký bởi nhà xuất bản đáng tin cậy. Những người tạo ra Uroburos đã sử dụng một lỗ hổng đã biết trong một trình điều khiển hợp pháp để tắt chính sách này.
Hoạt động gián điệp mạng
Trong một bài đăng trước đó, các nhà nghiên cứu G Data đã mô tả Uroburos là "phần mềm gián điệp rất phức tạp có nguồn gốc từ Nga". Nó thiết lập một cách hiệu quả một tiền đồn gián điệp trên PC nạn nhân, tạo ra một hệ thống tệp ảo để giữ bí mật và bí mật các công cụ và dữ liệu bị đánh cắp.
Báo cáo nêu rõ, "chúng tôi ước tính rằng nó được thiết kế để nhắm mục tiêu vào các tổ chức chính phủ, tổ chức nghiên cứu hoặc công ty xử lý thông tin nhạy cảm cũng như các mục tiêu cao cấp tương tự" và liên kết nó với một cuộc tấn công năm 2008 có tên Agent.BTZ đã xâm nhập vào Bộ Bảo vệ thông qua thủ thuật "USB trong bãi đậu xe" khét tiếng. Bằng chứng của họ là vững chắc. Uroburos thậm chí không kiềm chế cài đặt nếu phát hiện Agent.BTZ đã có mặt.
Các nhà nghiên cứu của G Data kết luận rằng một hệ thống phần mềm độc hại có độ phức tạp này là "quá đắt để được sử dụng làm phần mềm gián điệp thông thường". Họ chỉ ra rằng nó thậm chí không được phát hiện cho đến "nhiều năm sau khi bị nghi nhiễm trùng đầu tiên." Và họ đưa ra rất nhiều bằng chứng cho thấy Uroburos được tạo ra bởi một nhóm nói tiếng Nga.
Mục tiêu thực sự?
Một báo cáo chuyên sâu của BAE Systems Application Intelligence trích dẫn nghiên cứu về Dữ liệu G và cung cấp cái nhìn sâu sắc bổ sung về chiến dịch gián điệp này, mà họ gọi là "Rắn". Các nhà nghiên cứu đã thu thập hơn 100 tệp độc đáo liên quan đến Snake và trêu chọc một số sự thật thú vị. Ví dụ: hầu như tất cả các tệp được biên dịch vào một ngày trong tuần, cho thấy rằng "Người tạo phần mềm độc hại vận hành một tuần làm việc, giống như bất kỳ chuyên gia nào khác".
Trong nhiều trường hợp, các nhà nghiên cứu đã có thể xác định quốc gia xuất xứ để gửi phần mềm độc hại. Từ năm 2010 đến nay, 32 mẫu liên quan đến Rắn đến từ Ukraine, 11 từ Litva và chỉ hai từ Hoa Kỳ Báo cáo kết luận rằng Snake là một "đặc điểm vĩnh viễn của cảnh quan" và đưa ra các khuyến nghị chi tiết cho các chuyên gia an ninh để xác định cho dù mạng của họ đã bị xâm nhập. Dữ liệu G cũng cung cấp trợ giúp; nếu bạn nghĩ rằng bạn đã bị nhiễm trùng, bạn có thể liên hệ với [email protected].
Thực sự, điều này không đáng ngạc nhiên. Chúng tôi đã biết rằng NSA đã theo dõi các nguyên thủ nước ngoài. Các quốc gia khác sẽ tự nhiên thử sức mình trong việc xây dựng các công cụ gián điệp không gian mạng. Và thứ tốt nhất trong số chúng, như Uroburos, có thể chạy trong nhiều năm trước khi chúng được phát hiện.