АРМАДА
Эксперт создал бэкдор SMBdoor из исходников АНБ
Новая тема Написать ответ

TREVERS
V.I.P.
Зарегистрирован: 20.06.2011
Сообщений: 9819
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Апр 29, 2019 10:04 amДобавить в избранноеОтветить с цитатой
Вдохновившись хакерскими инструментами АНБ, эксперт создал бэкдор SMBdoor

Цитата:
Специалист компании RiskSense Шон Диллон (Sean Dillon) создал собственный Windows-бэкдор SMBdoor, позаимствовав ряд идей у малвари DoublePulsar и DarkPulsar, разработанной спецслужбами.

Напомню, что упомянутые инструменты исходно принадлежали АНБ, однако в 2016 году хакерская группировка The Shadow Brokers сумела похитить инструментарий спецслужб, а в апреле 2017 года тот были опубликован в интернете совершенно бесплатно, так как хакеры отчаялись продать его за хорошие деньги.

SMBdoor представляет собой драйвер ядра Windows и в работе он использует недокументированные API процесса srvnet.sys, чтобы зарегистрировать себя как легитимного обработчика SMB-соединений. Основной особенностью SMBdoor является скрытность: бэкдор не привязывается к каким-либо локальным сокетам, открытым портам и существующим функциям, что позволяет ему не попадать в поле зрения антивирусов и других защитных решений.

В беседе с журналистами издания ZDNet Диллон объяснил, что опубликованный на GitHub код бэкдора не представляет опасности, так как не может использоваться для атак прямо «из коробки», в текущем виде. По его словам, сейчас малварь представляет скорее академический интерес, а у злоумышленников возникнут очевидные проблемы: современные версии Windows заблокируют неподписанный код ядра, а при попытке загрузить пейлоад второй стадии у преступников возникнут сложности со страничной памятью. Хотя для обеих проблем существуют хорошо известные методы обхода, эксперт уверен, что реализовать их не позволят современные защитные методы, например, Hyper-V Code Integrity.

Кроме того, Диллон считает, что преступников вряд ли сильно заботит скрытность, ради которой создавался SMBdoor, и они просто не станут тратить время и силы на модификацию бэкдора.

Замечу, что это не первый раз, когда Диллон занимается изучением и «переосмыслением» малвари АНБ. Например, в 2017-2018 годах он адаптировал эксплоит EternalBlue для работы с Windows 10, а также скорректировал исходный код эксплоитов EternalChampion, EternalRomance и EternalSynergy таким образом, чтобы те могли использоваться против любых версий Windows, 32-разрядных и 64-разрядных, вышедших за последние 18 лет (начиная с Windows 2000 и далее).


Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 12044
Обратиться по нику
# Добавлено:Пн Апр 29, 2019 6:52 pmОтветить с цитатой
Эксперт красавчик )
Бьет "врага" его же оружием :nah:

blogmatic
V.I.P.
Зарегистрирован: 10.08.2010
Сообщений: 4775
Обратиться по нику
# Добавлено:Пн Апр 29, 2019 8:41 pmОтветить с цитатой
Ничего практически не понял, но видимо АНБ в очередной раз налажали :smk:

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 12044
Обратиться по нику
# Добавлено:Вт Апр 30, 2019 11:17 pmОтветить с цитатой
Цитата:

но видимо АНБ в очередной раз налажал



ну главное что суть ты уловил :nah: :thup:

TREVERS
V.I.P.
Зарегистрирован: 20.06.2011
Сообщений: 9819
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Ср Май 01, 2019 7:13 amОтветить с цитатой
Обычно все слитые исходники в паблик имеют некоторую багу, которую специально вставляют в исходный код
для программистов такие баги легко вычислить в момент отладки приложения, а для тех кто не в теме им конечно будет сложнее,
но самые профи вообще пишут свои прилы но с некоторыми подстановками уже существующего кода экономя на этом время

ashiko
V.I.P.
Зарегистрирован: 02.08.2010
Сообщений: 4127
Обратиться по нику
# Добавлено:Ср Май 01, 2019 10:11 pmОтветить с цитатой
TREVERS, я думаю профи закладывают в свои коды всегда "дыры" которыми сами же могут при случае воспользоваться
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры