Penyelidik Menawarkan Alat untuk Menyembunyikan Malware dalam .Net

Seorang penyelidik keselamatan komputer telah mengeluarkan alat yang telah dinaik taraf yang dapat mempermudah penempatan perisian sulit yang mengesan yang sukar dalam rangka kerja Microsoft. Net pada komputer Windows.

Alat yang dipanggil.Net-Sploit 1.0, membolehkan untuk pengubahsuaian.Net, sekeping perisian yang dipasang pada kebanyakan mesin Windows yang membolehkan komputer menjalankan jenis aplikasi tertentu.

Microsoft membuat suite alat pemaju untuk pengaturcara untuk menulis aplikasi yang serasi dengan rangka kerja. Ia menawarkan pemaju kelebihan menulis program dalam beberapa bahasa peringkat tinggi yang berbeza yang akan dijalankan pada PC.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

.Net-Sploit membolehkan penggodam untuk mengubah rangka kerja Net pada mesin yang disasarkan, memasukkan perisian jahat berakar rootkit di tempat yang tidak disentuh oleh perisian keamanan dan di mana beberapa orang yang ingin diperhatikan oleh keamanan, kata Erez Metula, insinyur keselamatan perisian untuk 2BSecure yang menulis alat itu.

"Anda akan kagum betapa mudahnya menyusun serangan," kata Metula semasa persembahan di persidangan keselamatan Black Hat di Amsterdam pada hari Jumaat.

.Net-Sploit pada dasarnya membolehkan penyerang mengganti sekeping kod yang sah di dalam. Bersih dengan yang jahat. Oleh kerana beberapa aplikasi bergantung pada bahagian-bahagian kerangka kerja.Net untuk menjalankannya, itu bermakna malware boleh menjejaskan fungsi banyak aplikasi.

Sebagai contoh, aplikasi yang mempunyai mekanisme pengesahan dapat diserang jika kerangka kerja yang telah diretas. adalah untuk memintas nama pengguna dan kata laluan dan menghantarnya ke pelayan jauh, kata Metula.

.Net-Sploit mengautomasikan beberapa tugas pengkodean sukar yang diperlukan untuk merosakkan rangka kerja, mempercepat pembangunan serangan. Sebagai contoh, ia boleh membantu menarik DLL yang berkaitan (perpustakaan pautan dinamik) dari rangka kerja dan menggunakan DLL yang berniat jahat.

Metula berkata bahawa penyerang sudah tentu perlu mengawal mesin sebelum alatnya boleh digunakan. Kelebihan merosakkan rangka kerja.Net ialah penyerang boleh mengekalkan kawalan ke atas mesin untuk masa yang lama.

Ini mungkin berpengaruh diabaikan oleh pentadbir sistem penyangak, yang boleh menyalahgunakan keistimewaan akses mereka untuk menggunakan "backdoors "atau malware daripada membolehkan akses jauh, kata Metula.

Pusat Maklum Balas Keselamatan Microsoft diberitahu mengenai isu itu pada bulan September 2008. Kedudukan syarikat adalah kerana penyerang harus mempunyai kendali atas PC, tidak ada kelemahan dalam.Net. Tidak kelihatan bahawa Microsoft mempunyai sebarang rancangan untuk mengeluarkan fix jangka panjang.

Sekurang-kurangnya seorang pegawai Microsoft bercakap dengan Metula selepas pembentangannya, mempertahankan kedudukan syarikat. Metula berkata, dia juga tidak menganggap masalah itu sebagai kelemahan tetapi kelemahannya, walaupun ia boleh mengambil langkah-langkah untuk membuat serangan sedemikian lebih sukar. "

" Tidak ada penyelesaian peluru menembak akan memperbaikinya, "kata Metula. Selain itu, penjual keselamatan perlu menaik taraf perisian mereka untuk mengesan pemotongan dengan rangka kerja Net. Metula berkata … Net bukan satu-satunya rangka kerja aplikasi yang terdedah kepada serangan itu, kerana variasi juga boleh digunakan untuk kerangka aplikasi lain, seperti Mesin Maya Java (JVM) yang digunakan untuk menjalankan program-program yang ditulis di Java.

Metula telah menerbitkan kertas putih mengenai teknik serta versi terkini.Net-Sploit.