Эксперт создал бэкдор SMBdoor из исходников АНБ
Новая тема Написать ответ
# Пн Апр 29, 2019 10:04 amTREVERS Зарег.: 20.06.2011 ; Сообщ.: 9792Ответить с цитатой
Вдохновившись хакерскими инструментами АНБ, эксперт создал бэкдор SMBdoor

Цитата:
Специалист компании RiskSense Шон Диллон (Sean Dillon) создал собственный Windows-бэкдор SMBdoor, позаимствовав ряд идей у малвари DoublePulsar и DarkPulsar, разработанной спецслужбами.

Напомню, что упомянутые инструменты исходно принадлежали АНБ, однако в 2016 году хакерская группировка The Shadow Brokers сумела похитить инструментарий спецслужб, а в апреле 2017 года тот были опубликован в интернете совершенно бесплатно, так как хакеры отчаялись продать его за хорошие деньги.

SMBdoor представляет собой драйвер ядра Windows и в работе он использует недокументированные API процесса srvnet.sys, чтобы зарегистрировать себя как легитимного обработчика SMB-соединений. Основной особенностью SMBdoor является скрытность: бэкдор не привязывается к каким-либо локальным сокетам, открытым портам и существующим функциям, что позволяет ему не попадать в поле зрения антивирусов и других защитных решений.

В беседе с журналистами издания ZDNet Диллон объяснил, что опубликованный на GitHub код бэкдора не представляет опасности, так как не может использоваться для атак прямо «из коробки», в текущем виде. По его словам, сейчас малварь представляет скорее академический интерес, а у злоумышленников возникнут очевидные проблемы: современные версии Windows заблокируют неподписанный код ядра, а при попытке загрузить пейлоад второй стадии у преступников возникнут сложности со страничной памятью. Хотя для обеих проблем существуют хорошо известные методы обхода, эксперт уверен, что реализовать их не позволят современные защитные методы, например, Hyper-V Code Integrity.

Кроме того, Диллон считает, что преступников вряд ли сильно заботит скрытность, ради которой создавался SMBdoor, и они просто не станут тратить время и силы на модификацию бэкдора.

Замечу, что это не первый раз, когда Диллон занимается изучением и «переосмыслением» малвари АНБ. Например, в 2017-2018 годах он адаптировал эксплоит EternalBlue для работы с Windows 10, а также скорректировал исходный код эксплоитов EternalChampion, EternalRomance и EternalSynergy таким образом, чтобы те могли использоваться против любых версий Windows, 32-разрядных и 64-разрядных, вышедших за последние 18 лет (начиная с Windows 2000 и далее).

# Пн Апр 29, 2019 6:52 pmIceberg Зарег.: 17.03.2010 ; Сообщ.: 12044Ответить с цитатой
Эксперт красавчик )
Бьет "врага" его же оружием :nah:
# Пн Апр 29, 2019 8:41 pmblogmatic Зарег.: 10.08.2010 ; Сообщ.: 4775Ответить с цитатой
Ничего практически не понял, но видимо АНБ в очередной раз налажали :smk:
# Вт Апр 30, 2019 11:17 pmIceberg Зарег.: 17.03.2010 ; Сообщ.: 12044Ответить с цитатой
Цитата:

но видимо АНБ в очередной раз налажал



ну главное что суть ты уловил :nah: :thup:
# Ср Май 01, 2019 7:13 amTREVERS Зарег.: 20.06.2011 ; Сообщ.: 9792Ответить с цитатой
Обычно все слитые исходники в паблик имеют некоторую багу, которую специально вставляют в исходный код
для программистов такие баги легко вычислить в момент отладки приложения, а для тех кто не в теме им конечно будет сложнее,
но самые профи вообще пишут свои прилы но с некоторыми подстановками уже существующего кода экономя на этом время
# Ср Май 01, 2019 10:11 pmashiko Зарег.: 02.08.2010 ; Сообщ.: 4127Ответить с цитатой
TREVERS, я думаю профи закладывают в свои коды всегда "дыры" которыми сами же могут при случае воспользоваться
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА
 
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.