SMBdoor прячется в участках ОС, куда «не заглядывают» антивирусы.
Исследователь безопасности Шон Диллон (Sean Dillon) из компании RiskSence создал экспериментальный бэкдор, вдохновившись вредоносным ПО Агентства национальной безопасности США, утекшим в 2017 году.
SMBdoor представляет собой драйвер ядра Windows, который после установки на атакуемой системе использует незадокументированный API в процессе srvnet.sys для регистрации себя в качестве легитимного обработчика SMB. Бэкдор способен обходить решения безопасности, так как не привязывается ни к каким локальным сокетам, открытым портам или перехватам в существующих функциях.
На создание SMBdoor Диллона вдохновили бэкдоры DoublePulsar и DarkPulsar, разработанные АНБ и опубликованные в открытом доступе киберпреступной группировкой The Shadow Brokers. Однако, в отличие от них, SMBdoor не является вредоносным и не может быть загружен с GitHub для использования в реальных атаках, отмечает исследователь.
По словам Диллона, реализованные в SMBdoor ограничения делают его бесполезным для осуществления кибератак и интересным только с научной точки зрения. Тем не менее, подобные продукты – это то, на что стоит обратить внимание производителям решений безопасности.
Для того чтобы использовать SMBdoor во вредоносных целях, киберпреступникам придется обойти множество ограничений. Кроме того, современные версии Windows блокируют неподписанные коды ядра.
Благодаря способности обходить обнаружение и использованию незадокументированного API бэкдор привлек внимание многих ИБ-экспертов. Подобно DoublePulsar он скрывается в потаенных участках ОС, куда антивирусы «не заглядывают».
The proof-of-concept smbdoor.sys driver is a silent remote backdoor that does not bind new sockets or perform function modification hooking. Instead it abuses undocumented APIs in srvnet.sys to register itself as a valid SMB handler. It then listens on the already-bound ports 139/445 for special packets in which to execute secondary shellcode. In several ways, it has similarities with DoublePulsar and DarkPulsar, as well as ToxicSerpent.
Исследователь безопасности Шон Диллон (Sean Dillon) из компании RiskSence создал экспериментальный бэкдор, вдохновившись вредоносным ПО Агентства национальной безопасности США, утекшим в 2017 году.
SMBdoor представляет собой драйвер ядра Windows, который после установки на атакуемой системе использует незадокументированный API в процессе srvnet.sys для регистрации себя в качестве легитимного обработчика SMB. Бэкдор способен обходить решения безопасности, так как не привязывается ни к каким локальным сокетам, открытым портам или перехватам в существующих функциях.
На создание SMBdoor Диллона вдохновили бэкдоры DoublePulsar и DarkPulsar, разработанные АНБ и опубликованные в открытом доступе киберпреступной группировкой The Shadow Brokers. Однако, в отличие от них, SMBdoor не является вредоносным и не может быть загружен с GitHub для использования в реальных атаках, отмечает исследователь.
По словам Диллона, реализованные в SMBdoor ограничения делают его бесполезным для осуществления кибератак и интересным только с научной точки зрения. Тем не менее, подобные продукты – это то, на что стоит обратить внимание производителям решений безопасности.
Для того чтобы использовать SMBdoor во вредоносных целях, киберпреступникам придется обойти множество ограничений. Кроме того, современные версии Windows блокируют неподписанные коды ядра.
Благодаря способности обходить обнаружение и использованию незадокументированного API бэкдор привлек внимание многих ИБ-экспертов. Подобно DoublePulsar он скрывается в потаенных участках ОС, куда антивирусы «не заглядывают».
The proof-of-concept smbdoor.sys driver is a silent remote backdoor that does not bind new sockets or perform function modification hooking. Instead it abuses undocumented APIs in srvnet.sys to register itself as a valid SMB handler. It then listens on the already-bound ports 139/445 for special packets in which to execute secondary shellcode. In several ways, it has similarities with DoublePulsar and DarkPulsar, as well as ToxicSerpent.
GitHub - zerosum0x0/smbdoor: Windows kernel backdoor via registering a malicious SMB handler
Windows kernel backdoor via registering a malicious SMB handler - GitHub - zerosum0x0/smbdoor: Windows kernel backdoor via registering a malicious SMB handler
github.com
Последнее редактирование: