Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Исследователь создал бэкдор по принципу утекших инструментов АНБ

26/04/19

backdoorИсследователь безопасности Шон Диллон (Sean Dillon) из компании RiskSence создал экспериментальный бэкдор, вдохновившись вредоносным ПО Агентства национальной безопасности США, утекшим в 2017 году.

SMBdoor представляет собой драйвер ядра Windows, который после установки на атакуемой системе использует незадокументированный API в процессе srvnet.sys для регистрации себя в качестве легитимного обработчика SMB. Бэкдор способен обходить решения безопасности, так как не привязывается ни к каким локальным сокетам, открытым портам или перехватам в существующих функциях.

На создание SMBdoor Диллона вдохновили бэкдоры DoublePulsar и DarkPulsar, разработанные АНБ и опубликованные в открытом доступе киберпреступной группировкой The Shadow Brokers. Однако, в отличие от них, SMBdoor не является вредоносным и не может быть загружен с GitHub для использования в реальных атаках, отмечает исследователь.

По словам Диллона, реализованные в SMBdoor ограничения делают его бесполезным для осуществления кибератак и интересным только с научной точки зрения. Тем не менее, подобные продукты – это то, на что стоит обратить внимание производителям решений безопасности.

Для того чтобы использовать SMBdoor во вредоносных целях, киберпреступникам придется обойти множество ограничений. Кроме того, современные версии Windows блокируют неподписанные коды ядра

Благодаря способности обходить обнаружение и использованию незадокументированного API бэкдор привлек внимание многих ИБ-экспертов. Подобно DoublePulsar он скрывается в потаенных участках ОС, куда антивирусы «не заглядывают».

Темы:КибербезопасностьАНБОтрасльбэкдоры
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...