Naukowiec oferuje narzędzie do ukrywania złośliwego oprogramowania w .Net

Badacz bezpieczeństwa komputera opublikował ulepszone narzędzie, które może uprościć umieszczanie trudnego do wykrycia złośliwego oprogramowania w środowisku Microsoft.Net na komputerach z systemem Windows.

Narzędzie o nazwie.Net-Sploit 1.0, pozwala do modyfikacji.Net, oprogramowania instalowanego na większości maszyn Windows, które pozwala komputerom na uruchamianie pewnych typów aplikacji.

Microsoft tworzy zestaw narzędzi programistycznych dla programistów do pisania aplikacji zgodnych z framework. Oferuje programistom przewagę pisania programów w kilku różnych językach wysokiego poziomu, które będą działać na komputerze.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

.Net-Sploit pozwala hakerowi zmodyfikuj strukturę.Net na atakowanych komputerach, umieszczając szkodliwe oprogramowanie w stylu rootkit w miejscu nietkniętym przez oprogramowanie zabezpieczające i tam, gdzie niewielu ochroniarzy mogłoby to wyglądać, powiedział Erez Metula, inżynier bezpieczeństwa oprogramowania dla 2BSecure, który napisał narzędzie.

"Będziesz zdumiony, jak łatwo jest wymyślić atak", powiedział Metula podczas prezentacji na konferencji bezpieczeństwa Black Hat w Amsterdamie w piątek.

.Net-Sploit zasadniczo pozwala atakującemu zastąpić legalny kawałek kodu w.Net ze złośliwym. Ponieważ niektóre aplikacje zależą od części platformy.Net w celu uruchomienia, oznacza to, że złośliwe oprogramowanie może wpływać na działanie wielu aplikacji.

Na przykład aplikacja, która ma mechanizm uwierzytelniania, może zostać zaatakowana, jeśli naruszona struktura.Net mieli przechwycić nazwy i hasła użytkowników i wysłać je na zdalny serwer, powiedział Metula.

.Net-Sploit automatyzuje niektóre żmudne zadania kodowania niezbędne do uszkodzenia struktury, przyspieszając rozwój ataku. Na przykład może pomóc w wyciągnięciu odpowiedniej biblioteki DLL (biblioteki dołączanej dynamicznie) ze struktury i wdrożyć szkodliwą bibliotekę DLL.

Metula stwierdziła, że ​​atakujący musiałby już mieć kontrolę nad maszyną, zanim jego narzędzie mogłoby zostać użyte. Zaletą uszkodzenia struktury.Net jest to, że atakujący może przez długi czas utrzymywać kontrolę nad urządzeniem.

Może zostać wykorzystany przez nieuczciwych administratorów systemu, którzy mogą nadużywać swoich uprawnień dostępu w celu wdrożenia tzw. "Backdoorów". "lub złośliwe oprogramowanie niż umożliwia zdalny dostęp, powiedział Metula.

Centrum bezpieczeństwa Microsoft zostało powiadomione o problemie we wrześniu 2008 roku. Stanowisko firmy jest takie, że atakujący musi już mieć kontrolę nad komputerem, nie ma luka w.Net. Wygląda na to, że Microsoft nie planuje wydać krótkoterminowej poprawki.

Przynajmniej jeden z urzędników Microsoftu rozmawiał z Metula po jego prezentacji, broniąc pozycji firmy. Metula twierdzi, że nie uważa tego problemu za lukę, ale za słabość, chociaż Microsoft może podjąć środki, aby taki atak był trudniejszy.

"Żadne rozwiązanie kuloodporne go nie naprawi," powiedział Metula.

Ponadto dostawcy zabezpieczeń powinni uaktualnić swoje oprogramowanie, aby wykryć ingerencję w środowisko.Net, powiedział Metula … Sieć nie jest jedyną strukturą aplikacji, która jest podatna na atak, ponieważ warianty można również zastosować do innych frameworków aplikacji, takich jak Java Virtual Machine (JVM) używana do uruchamiania programów napisanych w Javie.

Metula opublikowała białą księgę na temat techniki oraz najnowszą wersję.Net-Sploit.