Neue Backdoor auf Basis von durchgesickerter NSA-Malware entwickelt

SMBdoor ist ein Proof-of-Concept für einen schädlichen Windows-Kernel-Treiber. Die Malware ist in der Lage, legitime SMB-Verbindungen aufzubauen. Sie verfügt über Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen.

Sean Dillon, Sicherheitsforscher bei RickSense, hat eine SMBdoor genannte Schadsoftware für Windows entwickelt. Vorlage für die Backdoor waren die Malware-Implantate DoublePulsar und DarkPulsar des US-Auslandsgeheimdiensts NSA, die durch die Hackergruppe The Shadow Brokers öffentlich gemacht wurden.

Malware (Bild Shutterstock)Bei SMBdoor handelt es sich um einen Proof-of-Concept für einen Windows-Kernel-Treiber, der nicht dokumentierte Programmierschnittstellen im Prozess srvnet.sys. Das erlaubt es der Malware, legitime SMB-Verbindungen aufzubauen. Da sie dafür weder lokale Sockets noch offene Ports oder vorhandene Funktionen benötigt, ist sie auch in der Lage, der Erkennung durch einige Antivirensysteme zu entgehen.

Im Interview mit ZDNet USA betonte der Forscher, dass sein Beispielcode nicht auf GitHub zur Verfügung steht. Zudem unterliege sein Angriff einigen Einschränkungen, weswegen es auch eher eine wissenschaftliche Untersuchung sei. „Aber ich dachte, dass es für andere interessant sein könnte und dass Antivirenprodukte es erkennen sollten.“

Einer Weiterentwicklung zu einer praktisch einsetzbaren Malware stehen unter anderem in Windows enthaltene Schutzfunktionen im Wege, die das Ausführen von nicht signiertem Kernel-Code blockieren. Seine Methode sei aber für Angreifer interessant, denen es vor allem darum gehe, unentdeckt zu bleiben.

„Genauso wie DoublePulsar versteckt sich dieses Implantat in einem esoterischen Bereich des Systems“, ergänzte Dillon. Das Abhören über einen bereits angebundenen Port, ohne das jedoch ein Socket benutzt werde, sei eine bisher wenig gebräuchliche Angriffsmethode.

Der Forscher hofft, dass seine Forschung zu SMBdoor die Anbieter von Sicherheitssoftware dazu bringt, ihre Techniken zur Malware-Erkennung zu verbessern. Es gehe darum, Nutzer mehr Schutz vor Schädlingen wie SMBdoor und auch DoublePulsar und DarkPulsar zu bieten.

Dillon beschäftigt sich schon länger mit der durchgesickerten NSA-Malware. Unter anderem gelang es ihm, den SMB-Exploit EternalBlue, der unter anderem von der Ransomware WannaCry und NotPetya benutzt wurde, auf aktuelle Versionen von Windows 10 zu portieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Malware, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Backdoor auf Basis von durchgesickerter NSA-Malware entwickelt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *