image

Geavanceerde Snake-rootkit bijt zich stuk op Windows 8.1

zaterdag 16 augustus 2014, 09:32 door Redactie, 4 reacties

Verschillende beveiligingsmaatregelen die Microsoft aan de kernelbeveiliging van Windows 8.1 heeft toegevoegd zorgen ervoor dat de geavanceerde Snake-rootkit, die onlangs ook bij het Belgische Ministerie van Buitenlandse Zaken werd aangetroffen, niet op deze Windowsversie werkt.

Snake staat ook bekend als Uroburos en werd eind februari ontdekt. Volgens het Duitse anti-virusbedrijf G Data kan de malware vertrouwelijke documenten stelen en netwerkverkeer onderscheppen. Vanwege het rootkit-onderdeel is Snake daarnaast zeer lastig te identificeren. De virusbestrijder noemde Snake zelfs één van de meeste geavanceerde rootkits ooit ontdekt.

Windowskernel

De meeste rootkits passen de Windowskernel aan om hun activiteiten en aanwezigheid te verbergen en het gedrag van het besmette systeem te veranderen. Om Windows te beschermen voegde Microsoft aan de 64-bit versies van Windows een nieuwe beveiligingsmaatregel toe genaamd Kernel Patch Protection, ook bekend als PatchGuard.

PatchGuard controleert de integriteit van de Windowskernel om er zeker van te zijn dat er geen belangrijke onderdelen zijn aangepast. In het geval er toch delen door malware zijn aangepast crasht het systeem en verschijnt er een 'Blue Screen of Death' met een foutcode. Snake voorkomt dit door de functie te kapen die de foutcode genereert. Het kan daardoor PatchGuard effectief uitschakelen zonder het systeem te laten crashen.

In Windows 8.1 heeft Microsoft verbeteringen aan PatchGuard doorgevoerd waardoor de huidige methode van Snake niet meer werkt. In het geval PatchGuard op Windows 8.1 een rootkit ontdekt die het systeem probeert te kapen zoals Snake dit doet, gebruikt het een slimme truc om de computer toch te laten crashen, zo meldt het Vulnerability Research Team (VRT) van Snort.

"Het lijkt erop dat de nieuwe implementatie van deze technologie [PatchGuard] alle bekende aanvallen kan afslaan. Microsoft-ingenieurs hebben fantastisch werk geleverd door te proberen om deze klasse aanvallen te voorkomen", zegt VRT-analist Andrea Allievi. Hij merkt echter op dat ondanks de verbeteringen het nog steeds mogelijk is om de nieuwe versie van PatchGuard uit te schakelen, ook al is het een stuk lastiger geworden. Iets wat Allievi binnenkort tijdens een niet nader genoemde conferentie zegt te zullen gaan bewijzen.

Reacties (4)
16-08-2014, 14:43 door Anoniem
https://technet.microsoft.com/library/security/ms14-045?utm_campaign=website&utm_source=sendgrid.com&utm_medium=email
16-08-2014, 16:54 door [Account Verwijderd]
[Verwijderd]
17-08-2014, 11:53 door NetGuardian
Dus met andere woorden, het kan altijd gedaan worden. Als je er als gebruiker achter zit draait bijna alles wat je opent standaard onder jouw username.... piece of cake dus....
18-08-2014, 22:04 door Anoniem
@NetGuardian: Peace of cake ... als je kernel-mode developer skills hebt ja ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.