|
|
|
|
![]()
TREVERS
V.I.P. |
Зарегистрирован: 20.06.2011
Сообщений: 9819
|
Обратиться по нику
|
| TREVERS |
Ответить с цитатой | | |
|
Вдохновившись хакерскими инструментами АНБ, эксперт создал бэкдор SMBdoor
| Цитата: |
Специалист компании RiskSense Шон Диллон (Sean Dillon) создал собственный Windows-бэкдор SMBdoor, позаимствовав ряд идей у малвари DoublePulsar и DarkPulsar, разработанной спецслужбами.
Напомню, что упомянутые инструменты исходно принадлежали АНБ, однако в 2016 году хакерская группировка The Shadow Brokers сумела похитить инструментарий спецслужб, а в апреле 2017 года тот были опубликован в интернете совершенно бесплатно, так как хакеры отчаялись продать его за хорошие деньги.
SMBdoor представляет собой драйвер ядра Windows и в работе он использует недокументированные API процесса srvnet.sys, чтобы зарегистрировать себя как легитимного обработчика SMB-соединений. Основной особенностью SMBdoor является скрытность: бэкдор не привязывается к каким-либо локальным сокетам, открытым портам и существующим функциям, что позволяет ему не попадать в поле зрения антивирусов и других защитных решений.
В беседе с журналистами издания ZDNet Диллон объяснил, что опубликованный на GitHub код бэкдора не представляет опасности, так как не может использоваться для атак прямо «из коробки», в текущем виде. По его словам, сейчас малварь представляет скорее академический интерес, а у злоумышленников возникнут очевидные проблемы: современные версии Windows заблокируют неподписанный код ядра, а при попытке загрузить пейлоад второй стадии у преступников возникнут сложности со страничной памятью. Хотя для обеих проблем существуют хорошо известные методы обхода, эксперт уверен, что реализовать их не позволят современные защитные методы, например, Hyper-V Code Integrity.
Кроме того, Диллон считает, что преступников вряд ли сильно заботит скрытность, ради которой создавался SMBdoor, и они просто не станут тратить время и силы на модификацию бэкдора.
Замечу, что это не первый раз, когда Диллон занимается изучением и «переосмыслением» малвари АНБ. Например, в 2017-2018 годах он адаптировал эксплоит EternalBlue для работы с Windows 10, а также скорректировал исходный код эксплоитов EternalChampion, EternalRomance и EternalSynergy таким образом, чтобы те могли использоваться против любых версий Windows, 32-разрядных и 64-разрядных, вышедших за последние 18 лет (начиная с Windows 2000 и далее).
|
|
|
|
|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
|
|
|
![]()
blogmatic
V.I.P. |
Зарегистрирован: 10.08.2010
Сообщений: 4775
|
Обратиться по нику
|
| blogmatic |
Ответить с цитатой | | |
|
Ничего практически не понял, но видимо АНБ в очередной раз налажали  |
|
|
|
|
|
|
![]()
Iceberg
V.I.P. |
Зарегистрирован: 17.03.2010
Сообщений: 12044
|
Обратиться по нику
|
| Iceberg |
Ответить с цитатой | | |
|
| Цитата: |
но видимо АНБ в очередной раз налажал
|
ну главное что суть ты уловил   |
|
|
|
|
|
|
![]()
TREVERS
V.I.P. |
Зарегистрирован: 20.06.2011
Сообщений: 9819
|
Обратиться по нику
|
| TREVERS |
Ответить с цитатой | | |
|
Обычно все слитые исходники в паблик имеют некоторую багу, которую специально вставляют в исходный код
для программистов такие баги легко вычислить в момент отладки приложения, а для тех кто не в теме им конечно будет сложнее,
но самые профи вообще пишут свои прилы но с некоторыми подстановками уже существующего кода экономя на этом время |
|
|
|
|
|
|
![]()
ashiko
V.I.P. |
Зарегистрирован: 02.08.2010
Сообщений: 4127
|
Обратиться по нику
|
| ashiko |
Ответить с цитатой | | |
|
| TREVERS, я думаю профи закладывают в свои коды всегда "дыры" которыми сами же могут при случае воспользоваться |
|
|
|
|
|
|
|
|
|
Партнеры
|
