¿De XP a 10, DoubleAgent tiene todas sus ventanas?

El equipo de Cybellum lanzó una nueva técnica de día cero para inyectar código y mantener la persistencia en una computadora de destino, denominada DoubleAgent. Esta técnica utiliza una función que proporcionan todas las versiones de Windows desde XP, que permite la instalación de una DLL de confirmación comprobada para que cualquiera la implemente. La DLL del proveedor del controlador es solo una DLL cargada en el proceso y supuestamente es responsable de realizar comprobaciones en tiempo de ejecución para la aplicación. Sin embargo, su comportamiento interno puede ser el que desee un atacante, ya que él mismo puede proporcionar la DLL.

Microsoft lo describe como:

Application Checker es un verificador en tiempo de ejecución para código rebelde. Application Checker ayuda a los desarrolladores a encontrar rápidamente errores sutiles de programación que pueden ser extremadamente difíciles de identificar con las pruebas de aplicaciones normales. El uso de Application Verifier en Visual Studio facilita la creación de programas confiables al identificar errores causados ​​por corrupción masiva, manejo incorrecto y uso de secciones críticas. (...)

La inyección de código tiene lugar muy temprano durante el proceso inicial de la víctima, lo que le da al atacante el control total del proceso y de ninguna manera que el proceso detecte realmente lo que está sucediendo. Una vez que una DLL se ha registrado como una DLL de proveedor de controlador para un proceso, Windows Loader la inyectará permanentemente en el proceso cada vez que se inicie, incluso después de reinicios, actualizaciones, reinstalaciones o parches.

Entonces, todo ha terminado para Windows, ¿no es así? No no. El caso es que, para registrar esta DLL, el proceso registrado debe tener derechos de administrador para que pueda escribir la clave adecuada en el Registro de Windows. Sin estos permisos, este ataque no puede funcionar. Ya sabes, el tipo de permisos que te permiten instalar programas para todos los usuarios o formatear tu propio disco duro. Entonces, aunque esta técnica tiene sus méritos y puede presentar desafíos a los procesos que absolutamente deben mantener su integridad (como señala el equipo de Cybellum en el software anti-malware), primero tuvo que ocurrir alguna otra falla de seguridad para que usted pueda registrar esto. . ia 'senarariga DLL'.

Si ya tiene permisos de administrador, puede hacer casi todo lo que quiera, incluida la inyección de DLL para engañar a un programa antivirus. (Aunque podría ser fácil deshabilitarlo o eliminarlo). Esta nueva herramienta tiene la ventaja de ser sigilosa, pero ¿el día 0 requiere una raíz del día 0?

[via The Hacker News]

  • hanelyp dice:

    Pero, ¿cuántos sistemas eólicos funcionan con el usuario como administrador? Sé que cuando existía XP era la norma, tanto que muchos programas importantes tenían problemas sin él.

    • anfitrión local dice:

      En ese momento, tenía que iniciar sesión como administrador al menos una vez cuando conectaba una unidad USB nueva / externa. Apareció un cuadro de diálogo que le pedía que ingresara certificados para "instalar controladores" (bueno, en realidad no instaló nada, pero guardó en caché el VID / PID / número de serie en el registro para una identificación rápida y permitir que los no administradores lo usen).
      Creo que había una función de "seguridad" para prohibir a los usuarios conectar dispositivos aleatorios a las principales computadoras sin autorización, pero resultó ser inútil y molesto. Se debe agregar seguridad a los decodificadores de imágenes (¿sabía que los archivos WMF admiten la inserción de código ejecutable oculto?), Internet Explorer y ese instalador de virus aterrador conocido como Autorun. Todas estas fallas no eran errores, sino "características" de UX que intercambiaban un uso fácil (como en: no tener que hacer doble clic en un archivo en un CD, lo cual es extremadamente difícil, sino que el instalador aparece automáticamente) por seguridad ( como en: conecte la computadora a Internet y llénela inmediatamente con virus y varios espías sin tener que abrir nada).

      • anfitrión local dice:

        No sobrevivimos. Blaster y Sasser han infectado silenciosamente muchas computadoras conectadas a Internet sin un usuario, Autorun ha traído virus de autoinstalación ocultos a las unidades USB (muchos virus hoy en día todavía esconden un instalador oculto y un archivo de autor en todas las unidades que pueden encontrar) e IE ActiveX, Los scripts de video y las descargas todoterreno abusaron en gran medida de los sitios web en la década de 2000.
        Solo los ejecutables de WMF se descubrieron mucho después.

        • Fernando B dice:

          : / Todavía estoy usando XP, funciona bien; solo Chrome se niega a actualizar el navegador. Sasser? Físicoizo muchos sistemas: D que me dio por un auto usado.

    • PurpleBoards dice:

      Simplemente abra un cuadro de diálogo que dice "Haga clic derecho y haga clic en Ejecutar este programa como administrador para continuar", la gente simplemente lo hará. La mayoría de la gente simplemente no se preocupa lo suficiente por la seguridad, y una parte de mí piensa que eso podría ser más saludable ... pero la persona amargada en mí que renunció a la seguridad informática después de darse cuenta de que es un problema social sigue loca.

      • Clovis Fritzen dice:

        No se trata de que la gente "no se preocupe lo suficiente por la seguridad", sino más que "la gente no espera conocer todos los secretos de los sistemas complejos con la suficiente profundidad como para saber lo que están haciendo cuando lo hacen". Las personas no son el problema, los sistemas son el problema. No es culpa de la gente (usuario) que una DLL aleatoria aloje un virus por sí misma ...

    • Eugenio dice:

      La última vez que administré XP, me postulé como no administrador y todavía obtuve 0wn3d. El enorme agujero de seguridad disfrazado apenas como un navegador web simplemente deja entrar cualquier cosa. Lo único que hizo bien XP fue convencerme de cambiarme a Linux.

      • hanelyp dice:

        Si bien he estado administrando un escritorio XP durante una década como administrador y no he sido infectado ... hasta ahora ha impedido que Internet Exploiter se ejecute en el sistema y use Mozilla / Firefox.

        • Eugenio dice:

          Me pasó justo antes de que Firefox y AOL compraran y arruinaran Netscape, así que no había muchas opciones. Windows 2000 se estaba ejecutando porque la versión beta estaba en Technet y nunca hubo un problema, XP unos meses y tenía problemas de malware además de todos sus otros números. La gente dice que fue mejor después de un par de servicios, pero no esperé tanto, cambié y nunca miré hacia atrás.

  • dinamodan dice:

    "Así que todo ha terminado para Windows, ¿no?" Bueno, sí. La multitud suele hacer clic en Sí cuando aparece la advertencia para indicar que un proceso quiere funcionar como administrador.

    • Anónimo dice:

      El eslabón más débil en la cadena de seguridad de cualquier computadora es el operador.

  • jarek319 dice:

    Pensé que el primer paso posterior a la instalación de windowz era deshabilitar UAC: P

    • Dax dice:

      ¿Por qué?

      • Anónimo dice:

        Comenzó porque UAC era hiperparanoico en Vista, hasta el punto de que al configurar el reloj se mostraba un mensaje de bloqueo / permiso en pantalla completa. Combine eso con un ecosistema de software heredado y tendrá una experiencia de usuario excelente. UAC ha existido durante 11 años y el ecosistema ha crecido con él, por lo que verá sus demandas principalmente cuando instale un programa o si algo extraño está sucediendo en este momento.

        Desafortunadamente, la "sabiduría" de apagar completamente el UAC "porque molesta" ha continuado, ya que la "sabiduría" es no usar cinturones de seguridad porque es "más seguro" que lo arrojen fuera de su automóvil en lugar de quedarse adentro en un accidente .

        • fonz dice:

          el problema era que pasaba de todo lo que podía estar muy cerca de cada pulsación de tecla pidiendo permiso, por lo que la mayoría de la gente lo apagaba o permitía todo sin mirar

          • Ingenuo de patas azules dice:

            No, la mayoría de la gente no ha hecho tal cosa. La mayoría de la gente se queja por un tiempo y luego se acostumbra porque en realidad no es una intrusión de TI.

    • anfitrión local dice:

      El primer paso posterior a la instalación es instalar el arranque dual de Linux con Windows. El segundo es iniciar sesión en Linux y usar el comando dd para dañar la partición de Windows y su sector de arranque:
      dd se = / dev / urandom de = / dev / sdaX bs = 4M
      (Reemplace sdaX con el dispositivo de partición de Windows).
      El tercer paso es intentar iniciar Windows. El cuarto es destruir la computadora con un martillo si Windows aún se está ejecutando.

      • Mal mago glick dice:

        ¿Quién está ahí, Nelly? ¿Nadie ha leído NADA sobre el Refugio 7? Que es una noticia ANTIGUA que contiene técnicas ANTIGUAS y herramientas ANTIGUAS.
        ¿Nadie piensa que los NUEVOS enfoques más avanzados no solo existen, sino que continúan evolucionando?
        Tu seguridad nos pertenece .....

        https://betanews.com/2017/03/08/linux-foundation-wikileaks-vault-7-response/
        Versión de Vault 7: Linux Foundation dice que "no es de extrañar" los objetivos de Linux
        https://wikileaks.org/ciav7p1/
        "El malware de la CIA se dirige a Windows, OSx, Linux, enrutadores

        La CIA también está trabajando arduamente para infectar y controlar a los usuarios de Windows con su malware. Esto incluye varios "días cero" armados locales y remotos, virus de salto de espacio de aire como "Hammer Drill" que infecta programas distribuidos en CD / DVD, infectores para medios extraíbles como USB, sistemas para ocultar datos en imágenes o en áreas ocultas del disco (" Brutal Kangaroo ") y continúe con sus infestaciones de malware.

        Muchos de estos esfuerzos infecciosos están siendo reunidos por la División de Implantación Automática (AIB) de la CIA, que ha desarrollado varios sistemas de ataque para la infestación automática y el control de malware de la CIA, como "Killer" y "Jellyfish".

        La red de equipos de red (NDB) de la CIA está llevando a cabo ataques contra la infraestructura de Internet y los servidores web.

        La CIA ha desarrollado sistemas automatizados de control y ataque de malware multiplataforma que cubren Windows, Mac OS X, Solaris, Linux y más, como "HIVE" de EDB y las herramientas relacionadas "Cutthroat" y "Swindle", que se describen en el ejemplos. sección siguiente. "

        • Anónimo dice:

          Pero ... ¡pero se supone que el modelo de bazar y el millón de billones de globos oculares en código abierto que cualquiera puede leer lo previenen!

          / s

  • Joshumax dice:

    Hay muchas formas de obtener privilegios administrativos con bastante facilidad. Hace un rato jugué con una estación de trabajo en la uni y descubrí que todos los usuarios tienen permisos RW recursivos en C: wamp. Enumeré todos los servicios con un tipo inicial establecido en "Automático" y un C: wamp bin mysql bin mysqld.exe bastante seguro funcionó en un contexto de SISTEMA. Usando https://github.com/PowerShellMafia/PowerSploit/tree/dev/Privesc y Write-ServiceBinary, creé un mysqld malicioso y lo coloqué en el directorio, y por supuesto fui administrador después de un reinicio rápido. Le conté a un campus de TI sobre el error, pero eso muestra lo fácil que es Windows ...

    • LeetspeakIsForKids dice:

      Estimado aspirulo NextGenHacker101,

      No hay un directorio C: Wamp en Windows.
      Alguien en su universidad creó la carpeta, instaló un servicio en la carpeta y luego le dio a todos permisos de escritura.
      Es fácil estropear un entorno cuando agrega o modifica cosas sin saber cómo ocuparse de los permisos. Lo que usted describe sería igual de fácil de hacer en cualquier plataforma (sí, también lo es su amado Linux) cuando los permisos se tratan así.
      Lo único que muestra su ejercicio es lo fácil que es "prn" las computadoras de su escuela. ¿Quieres compartir con nosotros qué escuela es esa?

      • Killian dice:

        Estimado Hurr Durr, soy muy inteligente porque sé cómo se ve la raíz de C.
        Creo que él estaba al tanto de eso, así que lo envió por correo electrónico al campus y no a Microsoft ...

    • Matheus Petry Pfitscher dice:

      Aquí hay una falla de TI, también estoy trabajando en uni TI, tenemos algunas imágenes para nuestros estudiantes, puede dar permiso para iniciar / detener el servicio para un usuario normal en lugar de ejecutarlo automáticamente con un sistema, por lo que no solo es más seguro, pero no ralentiza la máquina si no la utilizan.

    • alemán dice:

      La mala gestión no es un problema de Windows. El escenario correcto es posible en OSX y Linux.

  • David dice:

    Se pueden usar teclas adhesivas para obtener el administrador de XP-10 ...

    • Killian dice:

      No, no puede.
      A menos que ya tenga acceso por escrito a system32 sethc.exe y acceso de lectura a cms.exe

      ¡No olvide reemplazar también el archivo system sethc.exe.mui!

      • David dice:

        configuración o reparación tiene acceso a system32

  • Bobby Housley dice:

    El acceso administrativo puede ser de corta duración, ayuda tener cierta persistencia.

    • rewolff dice:

      No no. Una vez que tenga un administrador, puede instalar la persistencia. Como vemos ahora.

      Este es un truco típico que una NSA podría utilizar para obtener acceso constante a una máquina. No se han modificado archivos, por lo que no se inicia la detección falsa. Tales cosas.

  • Dan dice:

    El verdadero nombre de Bill Gates es Pham Nuwen.

  • rep lic8tor dice:

    ¿Día cero realmente? Este es un truco familiar que conocía y puse en mi equipo. Me fue mostrado. Hay todo tipo de bromas sobre DLL. También requiere acceso administrativo para ... mantener el acceso administrativo. Nada nuevo que ver aquí.

  • treinta y uno dice:

    No hay explotación en ninguna parte de esta publicación, ni nada nuevo. Es como decir, "durrrr, si tengo una raíz, ¡puedo formatear tu disco duro!"

    También hay muchas formas de iniciar programas automáticamente en casi todos los sistemas operativos. Especialmente si tienes una raíz. Esta técnica está documentada (bueno, por supuesto, porque Microsoft en realidad proporciona documentación para ella), pero también es algo que buscan muchos verificadores automatizados. Así que esto no es ni día cero ni explotación ...

    • Pixel_K dice:

      Así es. "¡Mirar! Una forma bien documentada de hacer cosas útiles, limitada por los permisos adecuados ”. ¿Y qué?
      Para citar a Raymond Cheng: "Más bien implicaba estar del otro lado de esta escotilla hermética".

    • Megol dice:

      En un sistema debidamente protegido no hay "root" ...

    • jpa dice:

      Si. Esto es como decir "¡Linux está tan roto! ¡Si pones 'export LD_PRELOAD = / evilvirus.so' en / etc / environment tendrás acceso constante a la computadora!"

  • algún chico dice:

    Ventana contra la guerra de Linux en 3-2-1 ...

  • angelkn dice:

    Bueno, la gente se tranquiliza. Windows es seguro. ¡Debe serlo!

  • Koplin dice:

    Me pregunto si esto podría persistir de alguna manera en mi entorno. Cuando un usuario cierra la sesión, recibe una nueva máquina virtual de una imagen dorada. No persiste mucho que no copie intencionalmente con herramientas como redireccionamientos de directorio, perfil (configuración de registro de usuario), etc.
    Dejando a un lado el problema del permiso.

  • gudenau dice:

    Es fácil obtener derechos administrativos sin cosas de UAC, ¡qué momento tan divertido!

  • Roy Gillotti (@TrashyMG) dice:

    Entonces, ¿Windows 98 sigue siendo seguro?

América Aguilar
América Aguilar

Deja una respuesta

Tu dirección de correo electrónico no será publicada.