비디오: Can Windows Defender protect your computer against malware? (십월 2024)
몇 년 전에 Windows XP 및 Windows Server 2003 64 비트 에디션에 대해 소개 된 Microsoft의 Kernel Patch Protection 또는 PatchGuard는 Windows 커널의 필수 부분을 수정하여 작동하는 맬웨어 공격을 방지하도록 설계되었습니다. 루트킷 또는 기타 악성 프로그램이 커널을 조정하면 패치 가드가 의도적으로 시스템을 중단시킵니다. 바이러스 백신 공급 업체는 보안을 향상시키기 위해 커널을 양 성적으로 패치하는 데 의존하기 때문에 이와 동일한 기능으로 바이러스 백신 공급 업체에 큰 어려움을 겪었습니다. 그들은 이후 적응했다. 그러나 G Data의 새로운 보고서에 따르면 Uroburos라는 위협은 PatchGuard를 우회 할 수 있습니다.
후킹 윈도우
루트킷은 다양한 Windows 내부 기능을 연결하여 활동을 숨 깁니다. 프로그램이 Windows를 호출하여 폴더에있는 파일 또는 레지스트리 키에 저장된 값을보고하면 요청은 먼저 루트킷으로 이동합니다. 차례로 실제 Windows 기능을 호출하지만 정보를 전달하기 전에 자체 구성 요소에 대한 모든 참조를 제거합니다.
G Data의 최신 블로그 게시물은 Uroburos가 PatchGuard를 어떻게 극복하는지 설명합니다. 부피가 큰 KeBugCheckEx 인 함수는 이러한 종류의 커널 후킹 활동 (또는 여러 가지 의심되는 활동)을 감지하면 의도적으로 Windows와 충돌합니다. 따라서 자연스럽게 Uroburos는 KeBugCheckEx를 연결하여 다른 활동을 숨 깁니다.
이 프로세스에 대한 자세한 설명은 codeproject 웹 사이트에서 볼 수 있습니다. 그러나 전문가 전용 출판물입니다. 소개에는 "이것은 튜토리얼이 아니며 초보자도 읽을 수 없습니다."
재미는 KeBugCheckEx를 파괴하는 것으로 끝나지 않습니다. Uroburos는 여전히 드라이버를로드해야하며 64 비트 Windows의 드라이버 서명 정책은 신뢰할 수있는 게시자가 디지털 서명하지 않은 드라이버를로드하는 것을 금지합니다. Uroburos 제작자는 합법적 인 드라이버에서 알려진 취약점을 사용하여이 정책을 해제했습니다.
사이버 스파이
이전의 G Data 연구원들은 Uroburos를 "러시아 뿌리를 가진 매우 복잡한 스파이 소프트웨어"라고 설명했습니다. 피해자 PC에 간첩 전초 기지를 효과적으로 설정하여 도구와 도난당한 데이터를 안전하게 비밀리에 보관할 수있는 가상 파일 시스템을 만듭니다.
이 보고서는 "우리는 그것이 중요한 정보뿐만 아니라 중요한 정보를 다루는 정부 기관, 연구 기관 또는 회사를 대상으로하도록 고안된 것"이라고 말하고, 이를 부서에 침투 한 Agent.BTZ라는 2008 공격에 연결합니다. 악명 높은 "주차장의 USB"트릭을 통한 방어. 그들의 증거는 확실하다. Uroburos는 Agent.BTZ가 이미 있음을 감지하면 설치를 중단합니다.
G Data의 연구원들은 이러한 복잡성의 맬웨어 시스템이 "일반적인 스파이웨어로 사용하기에는 너무 비싸다"고 결론지었습니다. 그들은 "최초 감염이 의심 된 후 몇 년이 지날 때까지 발견되지 않았다"고 지적했다. 그리고 그들은 Uroburos가 러시아어를 사용하는 그룹에 의해 만들어 졌다는 풍부한 증거를 제공합니다.
진짜 목표?
BAE Systems Applied Intelligence의 심층 보고서는 G 데이터 연구를 인용하고이 스파이 활동에 대한 추가 정보를 제공합니다.이를 "뱀"이라고합니다. 연구원들은 Snake와 관련된 100 가지가 넘는 고유 한 파일을 수집하고 흥미로운 사실을 알아 냈습니다. 예를 들어, 거의 모든 파일이 평일에 컴파일되어 "악성 프로그램 작성자는 다른 전문가와 마찬가지로 일주일 동안 작업합니다."
많은 경우에 연구원들은 맬웨어 제출을위한 원산지를 결정할 수있었습니다. 2010 년부터 현재까지 32 개의 뱀 관련 샘플이 우크라이나에서, 리투아니아에서 11 개, 미국에서 2 개만 발견되었습니다.이 보고서는 뱀이 "풍경의 영구적 인 특징"이라고 결론을 내렸다. 그들의 네트워크 침투 여부. G Data는 또한 도움을 제공합니다. 감염된 것으로 생각되면 지능 @ gdata.de에 문의하십시오.
실제로 이것은 놀라운 일이 아닙니다. 우리는 NSA가 외국 국장을 염탐했다는 것을 알게되었습니다. 다른 국가에서는 사이버 스파이 도구를 만드는 데 자연스럽게 노력할 것입니다. 그리고 Uroburos와 같이 그들 중 최고는 발견되기 전에 수년 동안 실행될 수 있습니다.
