Kutató Ajánlatok eszköz elrejtése Malware .Net

A számítógépes biztonsági kutató kiadott egy frissített eszközt, amely egyszerűsítheti a Microsoft.Net keretrendszerében a Windows-számítógépeken nehezen felismerhető rosszindulatú szoftverek elhelyezését.

Az eszköz, a.Net-Sploit 1.0 a.Net program módosítására, egy olyan szoftverre, amely a legtöbb Windows-gépen van telepítve, amely lehetővé teszi a számítógépek számára, hogy bizonyos típusú alkalmazásokat futtassanak.

A Microsoft egy sor fejlesztőeszközt tartalmaz a programozók számára a kerethez kompatibilis alkalmazások írására. A fejlesztők számára előnyös, ha több különböző magas szintű nyelvű programot írnak le, amelyek mindegyike PC-n fog működni.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

.Net-Sploit lehetővé teszi a hacker számára, módosíthatja a.NET-keretrendszert a célzott gépeken, beillesztve a rootkit-stílusú rosszindulatú szoftvereket olyan helyre, ahol a biztonsági szoftverek érintetlenek, és ahol kevés biztonsági ember gondolna, "mondta Erez Metula, a 2BSecure szoftverbiztonsági mérnöke, aki az eszközt írta. "Meg fogsz csodálkozni azon, milyen könnyű támadást tervezni" - mondta Metula pénteken az amszterdami Black Hat biztonsági konferencián.

.Net-Sploit lényegében lehetővé teszi, hogy egy támadó helyettesíti a legitim kódot belül.Net egy rosszindulatú. Mivel egyes alkalmazások a.Net keret egyes részeitől függnek a futtatáshoz, ez azt jelenti, hogy a rosszindulatú programok hatással lehetnek számos alkalmazás működésére.

Például olyan alkalmazás, amely hitelesítési mechanizmussal rendelkezik, megtámadható, ha a módosított.Net keretrendszer megszakította a felhasználóneveket és a jelszavakat, és elküldte őket egy távoli kiszolgálónak, mondta Metula.

.Net-Sploit automatizálja a keretrendszer meghibásodásához szükséges, a támadások felgyorsításának szükségességét. Például segíthet egy releváns DLL-t (dinamikus link könyvtárat) a keretből és telepíteni a rosszindulatú DLL-t.

Metula azt mondta, hogy egy támadónak már rendelkeznie kell a gép vezérlésével, mielőtt eszköze használható lenne. Az előnye, hogy megrontsa a.NET Framework és a támadó titokban fenntartása felett a gép sokáig.

Ez potenciálisan visszaélhetnek a szélhámos rendszergazdák, akik visszaélnek hozzáférési jogosultságokat kell telepíteni az úgynevezett „backdoor "vagy a rosszindulatú programokat, mint a távoli hozzáférést."

A Microsoft Security Response Center 2008 szeptemberében értesült a kérdésről. A vállalat álláspontja az, hogy mivel egy támadónak máris szüksége van a PC-re sebezhetőség a.Net-ben. Nem tűnik úgy, hogy a Microsoftnak szándékában áll egy rövid távú javítást megadni.

Legalább egy Microsoft-tisztviselő beszélgetett Metulával bemutatása után, megvédve a cég pozícióját. Metula azt mondta, hogy nem is tekinti sebezhetőnek a problémát, hanem gyengeségnek, bár a Microsoft megtehetné az ilyen támadások megnehezítését célzó intézkedéseket.

"Nem golyóálló megoldás fogja megjavítani" - mondta Metula. Továbbá a biztonsági szállítóknak frissíteniük kell a szoftverüket annak érdekében, hogy érzékeljék a.Net keretrendszer hibás észlelését. Metula azt mondta … A net nem az egyetlen olyan alkalmazási keret, amely sérülékeny a támadásra, mivel a változatok más alkalmazási keretekre is alkalmazhatók. Java Virtual Machine (JVM) a Java-ban írt programok futtatásához.

Metula kiadott egy fehér könyvet a technikáról és a.Net-Sploit legújabb verziójáról.