安全研究人员根据泄露的NSA恶意软件创建了新的后门

一名安全研究人员创建了一个概念验证后门，其灵感来自2017年春季在线泄露的NSA恶意软件。10个危险的app漏洞需要注意(免费PDF)Dillon将SMBdoor设计为Windows内核驱动程序，一旦安装在PC上，就会滥用srvnet.sys进程中未记录的API，将自身注册为SMB(服务器消息块)连接的有效处理程序。恶意软件非常隐蔽，因为它不会绑定到任何本地套接字，打开端口或挂钩到现有功能，并且这样做可以避免触发某些防病毒系统的警报。

它的设计灵感来自Dillon在DoublePulsar和DarkPulsar中看到的类似行为，这是由NSA设计的两个恶意软件植入物，被一个邪恶的黑客组织The Shadow Brokers在网上泄露。

没有武器化

但有些用户可能会问自己 - 为什么安全研究人员首先会制造恶意软件?

在今天接受ZDNet采访时，Dillon告诉我们，SMBdoor代码没有武器化，网络犯罪分子无法从GitHub下载并感染用户，就像他们可以下载和部署NSA的DoublePulsar版本一样。

“[SMBdoor]具有实际限制，使其主要是学术探索，但我认为分享可能很有趣，并且可能是[端点检测和响应，又称防病毒]产品应监控的东西，”Dillon说。

“攻击者必须克服的概念验证存在局限性，”他补充说。“最重要的是，现代Windows试图阻止未签名的内核代码。

“在加载辅助有效载荷的过程中，后门必须考虑到后续问题，以便使用分页存储器而不会使系统死锁，”Dillon说。

“这两个问题都有几个众所周知的绕过，但是当启用Hyper-V Code Integrity等现代缓解措施时，它们确实变得更加困难。”

Dillon表示，除非攻击者重视隐身而不是修改SMBdoor所需的努力，否则这种实验性恶意软件对任何人都没有用。

隐蔽的设计

由于其隐身设计和未记录的API功能的使用，Dillon在SMBdoor上的工作引起了许多安全研究人员的关注。

这看起来很好，开源植入式小猪支持SMB(所以没有新的端口打开)

“像DOUBLEPULSAR一样，这种植入物隐藏在系统的深奥区域，”Dillon告诉ZDNet。

“在一个已经绑定的端口上收听网络流量，而不接触任何套接字，在当前的方法中并不完善，并且是不断扩大的研究领域的一部分。

什么是恶意软件?

您需要了解的有关病毒，特洛伊木马和恶意软件的所有信息

网络攻击和恶意软件是互联网上最大的威胁之一。了解不同类型的恶意软件 - 以及如何避免成为攻击的受害者。

“虽然系统中可能存在通用内联挂钩可以实现类似效果，但这种方法很有意思，因为它隐藏了SMB的正常核心功能。

“这是一种异常，需要定制和特定的代码来检测，”狄龙说。

研究人员希望他在SMBdoor上的工作能够推动安全软件提供商改进他们的检测，并在此过程中，为Windows用户提供更好的保护，防范SMBdoor，DoublePulsar和DarkPulsar威胁。

Dillon在分析泄露的NSA恶意软件方面的工作在他的同行中是众所周知的。在此之前，他将EternalChampion，EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上，回到Windows 2000;他将DoublePulsar恶意软件植入物移植到基于Windows的物联网设备上;并且还将EternalBlue SMB漏洞(WannaCry和NotPetya勒索软件使用的漏洞利用)移植到现代版本的Windows 10上。