Исследователь предлагает инструмент для скрытия вредоносных программ .Net

Исследователь компьютерной безопасности выпустил обновленный инструмент, который упростит размещение трудно обнаруживаемых вредоносных программ в среде Microsoft.NET на компьютерах под управлением Windows.

Инструмент под названием.Net-Sploit 1.0 позволяет для модификации.Net - части программного обеспечения, установленного на большинстве машин Windows, что позволяет компьютерам выполнять определенные типы приложений.

Microsoft создает набор инструментов для разработчиков для программирования приложений, совместимых с каркасом. Он предлагает разработчикам преимущество написания программ на нескольких разных языках высокого уровня, которые будут работать на ПК.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

.Net-Sploit позволяет хакеру модифицируйте инфраструктуру.Net на целевых компьютерах, вставив вредоносное ПО типа руткита в место, не затронутое программным обеспечением безопасности, и где мало кто из людей безопасности будет думать, - сказал Эрез Метула, инженер по безопасности программного обеспечения для 2BSecure, который написал этот инструмент.

«Вы будете поражены тем, насколько легко создать атаку», - сказала Метула во время презентации на конференции по безопасности Black Hat в Амстердаме в пятницу.

.Net-Sploit существенно позволяет злоумышленнику заменить законный фрагмент кода внутри.Net со злым. Поскольку некоторые приложения зависят от частей инфраструктуры.Net для запуска, это означает, что вредоносное ПО может влиять на функцию многих приложений.

Например, приложение, которое имеет механизм аутентификации, может быть атаковано, если подделанная инфраструктура.Net должны были перехватывать имена пользователей и пароли и отправлять их на удаленный сервер, сказал Метула.

.Net-Sploit автоматизирует некоторые из сложных задач кодирования, необходимых для коррумпирования фреймворка, ускоряя разработку атаки. Например, он может помочь вытащить соответствующую библиотеку DLL (динамическую библиотеку ссылок) из фреймворка и развернуть вредоносную DLL.

Metula заявила, что злоумышленнику уже нужно будет управлять машиной до того, как его инструмент будет использоваться. Преимущество развращения.Net framework заключается в том, что злоумышленник может тайно поддерживать контроль над машиной в течение длительного времени.

Его потенциально могут злоупотреблять системные администраторы-изгои, которые могут злоупотреблять своими правами доступа для развертывания так называемых «бэкдоров» «или вредоносное ПО, чем позволяет удаленный доступ, сказал Метула.

Центр реагирования Microsoft Security был уведомлен об этой проблеме в сентябре 2008 года. Позиция компании заключается в том, что, поскольку злоумышленник уже должен иметь контроль над ПК, нет уязвимости в.Net. Не похоже, что Microsoft планирует какие-либо планы на ближайшее время.

По крайней мере один сотрудник Microsoft побеседовал с Metula после его презентации, защищая позицию компании. Metula заявила, что он также не рассматривает проблему как уязвимость, а скорее слабость, хотя Microsoft может принять меры, чтобы сделать такую ​​атаку более сложной.

«Без пуленепробиваемого решения это исправит», - сказала Метула.

Кроме того, поставщики безопасности должны обновить свое программное обеспечение, чтобы обнаружить фальсификацию.Net-инфраструктуры, сказал Метула … Net - это не единственная инфраструктура приложения, которая уязвима для атаки, так как изменения могут также применяться к другим платформам приложений, таким как Java Virtual Machine (JVM), используемая для запуска программ, написанных на Java.

Metula опубликовала технический документ по этой технике, а также последнюю версию.Net-Sploit.