在RiskSense工作的安全研究人员Sean Dillon(@zerosum0x0)把所研究出的新型恶意软件命名为SMBdoor。
Dillon将SMBdoor设计为Windows内核驱动程序,一旦安装在PC上,就会滥用srvnet.sys进程中未记录的API,并将自身注册为SMB(服务器消息块)连接有效处理程序。这种恶意软件非常隐蔽,它不会绑定到任何本地套接字、打开端口或挂钩到现有功能,这样可以避免触发某些防病毒系统的警报。
SMBdoor的设计灵感是Dillon在Doublepulsar和Darkpulsar上找到的,在看到黑客组织The Shadow Brokers泄露出来的这两个由NSA设计的恶意软件后所产生的。
许多用户可能会问 - 为什么安全研究人员会制造恶意软件?
在接受ZDNet采访中,Dillon告诉我们,SMBdoor代码并没有武器化,网络犯罪分子无法从Github下载并攻击他人。
Dillon说:“smbdoor具有很大的局限性,主要是用于学术探索,我认为它可能成为防病毒之类产品监控的重点,所以更需要向外界公开”
“攻击者必须克服poc的局限性,最重要的是,现代Windows会试图拦截未签名的内核代码。在加载payload的过程中,后门必须考虑到一系列后续问题,以便使用分页存储器而不会使系统锁死。”针对这两个问题存在一些绕过方法,但是当启用Hyper-V Code Integrity等防御措施时,就将会变得很难实现。
Dillon表示,除非攻击者大幅度修改smbdoor,否则这种实验性恶意软件对任何人都没有用。
由于其隐秘设计以及对未记录的API的使用,Dillon在SMBdoor上的研究引起了许多安全研究人员的关注。
This looks good, open source implant piggy backing on SMB (so no new ports opened) a la Doublepulsar. https://t.co/yaxWBNLu4D
— Kevin Beaumont ♀️ (@GossiTheDog) April 14, 2019
This is pretty interesting: https://t.co/0jcboffksK
— Joe Slowik (@jfslowik) April 24, 2019
在现有的方法中,在没有接触任何套接字的情况下,通过已经绑定的端口监听网络流量并没有很好地实现,所以未来对这方面将深入研究。
“虽然系统中可能能利用通用内联挂钩实现类似效果,但相比之下SMBdoor更为独特,因为它隐藏了SMB的正常核心功能。Dillon说:“这是一种罕见的情况,需要自定义代码来检测。”
许多研究人员希望他在SMBdoor上的研究能够促进安全软件的改进,为Windows用户提供更好的保护,防范SMBdoor,DoublePulsar和DarkPulsar等威胁。
Dillon在分析NSA恶意软件方面在同行中是很出名的。在此之前,他改造了EternalChampion、EternalRomance和EternalSynergy NSA漏洞,可攻击所有Windows版本;并移植DoublePulsar恶意软件用于基于Windows的IOT设备;还改造EternalBlue SMB漏洞(WannaCry和NotPetya勒索软件使用的漏洞利用)用于Windows 10的现代版本。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/security-researcher-creates-new-backdoor-inspired-by-leaked-nsa-malware/