INFO 8 Опубликовано: 28 апр 2019 Специалист в области безопасности Шон Диллон, работающий в RiskSence, разработал PoC-бэкдор, на создание которого его вдохновили инструменты АНБ США, слитые в Сеть весной 2017 года. Бэкдор получил имя SMBdoor. Диллон разработал SMBdoor в форме драйвера ядра Windows. После установки в системе вредонос использует недокументированные API в процессе srvnet.sys, так ему удается зарегистрироваться в качестве обработчика SMB-соединений. SMBdoor получился крайне незаметным бэкдором, так как он не привязан ни к одному локальному сокету, открытому порту, а также не имеет связи с хуками (hooks) в существующих функциях. Именно такой подход позволяет вредоносной программе оставаться незамеченной для различных антивирусных систем. Именно такой подход позволяет вредоносной программе оставаться незамеченной для различных антивирусных систем. За основу Диллон взял разработанные АНБ США инструменты, которые известны под именами DoublePulsar и DarkPulsar. Напомним, что киберпреступная группировка The Shadow Brokers слила их в 2017 году. Сам эксперт заявил, что SMBdoor был разработан исключительно в учебных целях, киберпреступники не смогут использовать его в реальных атаках, так как Диллон предусмотрительно лишил бэкдор вредоносной составляющей. Таким образом, разработка может представлять интерес для исследователей в области кибербезопасности. Ознакомиться с бэкдором можно на GitHub. • Source: https://github.com/zerosum0x0/smbdoor 0 Поделиться сообщением Ссылка на сообщение
