Security Week 19: Moriya, свежий руткит для Windows Server

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование таргетированной вредоносной кампании Tunnelsnake. Она, скорее всего, имеет китайское происхождение, но связать ее с другими известными атаками пока не удалось. Аналитики проследили вредоносную активность вплоть до 2018 года, при этом отметили единичные случаи атак на серверы под управлением Windows. Наибольший интерес вызывает один из элементов кампании — руткит Moriya.



По мере развития систем защиты Windows количество руткитов уменьшалось: запустить вредоносный код с привилегиями ядра стало сложнее. Причиной тому — внедрение обязательной подписи драйверов и механизм PatchGuard, вызывающий падение в «синий экран» при попытке проникновения в ядро системы. Moriya (название происходит от имени вредоносного драйвера) обходит эту защиту, используя известный с 2015 года механизм, задействующий драйвер для виртуальной машины Virtualbox.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
• VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
• Laravel: электронная подпись на сервере с PDF визуализацией
• Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
• OSINT на боевом рубеже: новый фронт военной разведки
• Блеск и ад p2p-торговли на Bybit
• Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
• Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
• Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
• Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)