Security Week 19: Moriya, свежий руткит для Windows Server

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование таргетированной вредоносной кампании Tunnelsnake. Она, скорее всего, имеет китайское происхождение, но связать ее с другими известными атаками пока не удалось. Аналитики проследили вредоносную активность вплоть до 2018 года, при этом отметили единичные случаи атак на серверы под управлением Windows. Наибольший интерес вызывает один из элементов кампании — руткит Moriya.



По мере развития систем защиты Windows количество руткитов уменьшалось: запустить вредоносный код с привилегиями ядра стало сложнее. Причиной тому — внедрение обязательной подписи драйверов и механизм PatchGuard, вызывающий падение в «синий экран» при попытке проникновения в ядро системы. Moriya (название происходит от имени вредоносного драйвера) обходит эту защиту, используя известный с 2015 года механизм, задействующий драйвер для виртуальной машины Virtualbox.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• PhantomRShell: бэкдор, который маскируется с помощью дизассемблера
• Пентест веба на пальцах: для новичков и слегка отбитых
• Spark_news: Продавцы одежды и техники сокращают площади и переходят на мини форматы магазинов
• Империя наносит ответный удар: kad.arbitr.ru снова поддается парсингу (часть 1)
• Поговорим о планировании внедрения DevSecOps
• Реверс — это сканворд. Как я впервые нормально понял Ghidra
• Хайстекс Акура 4.5: Свобода миграции без API, нативный бэкап PostgreSQL и защита от шифровальщиков на уровне S3
• Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
• Налоги, Telegram и абсурд происходящего
• Как стать автором патента на изобретение и получить его за 2,5 месяца