Výzkumník nabízí nástroj pro skrytí malwaru v .Net

Výzkumný pracovník v oblasti bezpečnosti počítačů vydal inovovaný nástroj, který může zjednodušit umístění špatně zjištěného škodlivého softwaru v prostředí Microsoft.Net na počítačích se systémem Windows.

Nástroj nazvaný.Net-Sploit 1.0 umožňuje pro změnu.Net, software nainstalovaný na většině počítačů se systémem Windows, který umožňuje počítačům provádět určité typy aplikací.

Společnost Microsoft vytváří sadu vývojářských nástrojů pro programátory pro psaní aplikací kompatibilních s rámcem. Nabízí vývojářům výhodu psaní programů v několika různých jazycích na vysoké úrovni, které budou všechny spouštěny na počítači.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

.Net-Sploit umožňuje hackerovi upravit prostředí.Net na cílených strojích a vložit škodlivý software typu rootkit na místo, které nedotkne bezpečnostní software a kde by si myslelo, že by vypadalo jen málo bezpečnostních lidí, řekl Erez Metula, technický bezpečnostní inženýr společnosti 2BSecure, který tento nástroj napsal

"Budete se divit, jak snadné je vytvořit útok," řekl Metula během prezentace na konferenci Black Hat v Amsterdamu v pátek.

. Net-Sploit v podstatě dovoluje útočníkovi nahradit legitimní kus kódu v rámci.Net se zlomyslným. Vzhledem k tomu, že některé aplikace závisí na částech rámce.Net za účelem spuštění, znamená to, že malware může mít vliv na funkci mnoha aplikací.

Například aplikace, která má mechanismus autentizace, může být napadena, pokud je poškozen rámec.Net "Metoda"

.Net-Sploit automatizuje některé z náročných úkolů kódování, které jsou nezbytné pro zkorumpování rámce, což urychluje vývoj útoku. Například to může pomoci vyndat z knihovny příslušnou DLL (knihovnu dynamických odkazů) a nasadit škodlivou DLL.

Metula uvedla, že útočník by už musel mít kontrolu nad strojem dříve, než by mohl být použit jeho nástroj. Výhodou poškození rámce.Net je to, že by útočník mohl dlouho zachovat kontrolu nad strojem.

Mohlo by to potenciálně zneužít zpronevěrající správci systému, kteří by mohli zneužívat svých přístupových práv k nasazení takzvaných "zadních vrát "nebo malware, než umožňuje vzdálený přístup, říká Metula.

V září 2008 bylo problematice upozorněno na Centrum zabezpečení společnosti Microsoft. Pozice společnosti spočívá v tom, že jelikož by útočník již musel mít kontrolu nad počítačem, neexistuje zranitelnost v.Net. Zdá se, že společnost Microsoft nemá v úmyslu vydat opravu v blízké budoucnosti.

Po prezentaci se s Metlou uvedl alespoň jeden úředník společnosti Microsoft, který bránil postavení společnosti. Metula uvedla, že tento problém nepovažuje za chybu zabezpečení, ale spíše za slabinu, i když společnost Microsoft by mohla přijmout opatření, která by tento útok mohly ztížit.

" Dodavatelé zabezpečení by měli upgradovat svůj software, aby zjistili, že došlo k neoprávněnému zásahu do.Net framework. Metula uvedla, že … Net není jediný aplikační rámec, který je vůči útoku zranitelný, protože variace mohou být použity i pro jiné aplikační rámce, jako je Java Virtual Machine (JVM) používaný pro spouštění programů napsaných v Javě

Metula vydala bílou knihu o této technice a nejnovější verzi.Net-Sploit