26/04/19
Исследователь безопасности Шон Диллон (Sean Dillon) из компании RiskSence создал экспериментальный бэкдор, вдохновившись вредоносным ПО Агентства национальной безопасности США, утекшим в 2017 году.
SMBdoor представляет собой драйвер ядра Windows, который после установки на атакуемой системе использует незадокументированный API в процессе srvnet.sys для регистрации себя в качестве легитимного обработчика SMB. Бэкдор способен обходить решения безопасности, так как не привязывается ни к каким локальным сокетам, открытым портам или перехватам в существующих функциях.
На создание SMBdoor Диллона вдохновили бэкдоры DoublePulsar и DarkPulsar, разработанные АНБ и опубликованные в открытом доступе киберпреступной группировкой The Shadow Brokers. Однако, в отличие от них, SMBdoor не является вредоносным и не может быть загружен с GitHub для использования в реальных атаках, отмечает исследователь.
По словам Диллона, реализованные в SMBdoor ограничения делают его бесполезным для осуществления кибератак и интересным только с научной точки зрения. Тем не менее, подобные продукты – это то, на что стоит обратить внимание производителям решений безопасности.
Для того чтобы использовать SMBdoor во вредоносных целях, киберпреступникам придется обойти множество ограничений. Кроме того, современные версии Windows блокируют неподписанные коды ядра
Благодаря способности обходить обнаружение и использованию незадокументированного API бэкдор привлек внимание многих ИБ-экспертов. Подобно DoublePulsar он скрывается в потаенных участках ОС, куда антивирусы «не заглядывают».
