TDL4 Rootkit Bypasses Windows Code-Signing Protection

SE7EN

SE7EN

Bardzo aktywny
Fąfel
Dołączył
27 Maj 2010
Posty
1124
Reakcje/Polubienia
114
Na początku grudnia eksperci z Kaspersky Lab wykryli próbki szkodliwego programu TDL4 (nowa modyfikacja TDSS), który wykorzystuje lukę 0-day w celu eskalacji przywilejów pod Windowsem 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888). Wykorzystywanie tej luki zostało po raz pierwszy wykryte podczas analizy Stuxneta.

Dzięki wykorzystaniu exploita dla tej luki rootkit TDL4 może zainstalować się w systemie, a narzędzia bezpieczeństwa UAC (User Account Control) nie wygenerują żadnego powiadomienia. UAC jest domyślnie włączony we wszystkich najnowszych wersjach Windowsa.

Po tym jak trojan uruchomi się w systemie, np. Windows 7, jego proces otrzyma odfiltrowany token ze zwykłymi przywilejami użytkownika. Próba wstrzyknięcia się do procesu bufora wydruku kończy się błędem (ERROR_ACCESS_DENIED).

Zaloguj lub Zarejestruj się aby zobaczyć!


Błąd występuje wtedy, gdy TDL4 próbuje ingerować w proces bufora wydruku. Wcześniejsze modyfikacje tego szkodnika również próbują przeniknąć proces bufora wydruku. Jednak nowe modyfikacje próbują wykorzystać exploita 0-day do eskalacji przywilejów do poziomu LocalSystem.

Zaloguj lub Zarejestruj się aby zobaczyć!


Co ciekawe, instalator rootkita posiada kod, który pozwala mu obejść niektóre narzędzia ochrony proaktywnej. Niektóre z takich narzędzi przechwytują funkcję NtConnectPort w SSDT, aby uniemożliwić TDL4 wstrzyknięcie się do spoolsv; jeżeli nazwą portu jest "\RPC Control\spoolss", generują powiadomienie o próbie przeniknięcia procesu bufora wydruku. Twórcy TDL4 wymyślili proste “rozwiązanie” na ten problem: przechwytują ntdll.ZwConnectPort w procesie TDL4 i sprawdzają wartość parametru ServerPortName wysyłanego do tej funkcji (ciąg UNICODE); jeżeli jest to "\RPC Control\spoolss", zastępują go analogicznym zawierającym symboliczny odsyłacz do głównego katalogu przestrzeni nazwy menedżera obiektu.

Zaloguj lub Zarejestruj się aby zobaczyć!


TDSS po raz kolejny udowodnił, że jest jednym z najbardziej złożonych i niebezpiecznych szkodliwych programów.
Kliknij aby rozwinąć...
źródło: viruslist.pl
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

spamtrash
Kimusky (Korea Polnocna): narzedzie do wysylania "fajnych" emili.
Odpowiedzi
0
Wyświetleń
18
spamtrash
spamtrash
Ircus
Uwaga na SMSy dotyczące “długów"
Odpowiedzi
0
Wyświetleń
58
Ircus
Ircus
spamtrash
CISA - New Gen Malware Analysis Tool
Odpowiedzi
0
Wyświetleń
42
spamtrash
spamtrash
Grandalf
TheMoon infekuje starsze routery ASUS
Odpowiedzi
1
Wyświetleń
72
spamtrash
spamtrash
Grandalf
Ktoś klonuje prawdziwe repozytoria na GitHub i dodaje złośliwy kod
Odpowiedzi
1
Wyświetleń
101
spamtrash
spamtrash
Do góry