Как Microsoft нашла драйвер Huawei, который открыл системы для атаки

Системы мониторинга искали атаки, используя технику, популяризированную АНБ.

Питер Брайт. 26 марта 2019 г., 19:03 UTC

Системы Huawei MateBook, работающие под управлением программного обеспечения PCManager, включали драйвер, который позволял бы непривилегированным пользователям создавать процессы с привилегиями суперпользователя. Незащищенный драйвер был обнаружен Microsoft с помощью некоторых новых функций мониторинга, добавленных в версию 1809 Windows, которые отслеживаются службой Microsoft Advanced Defender Protection (ATP) компании.

Перво-наперво: компания Huawei исправила драйвер и опубликовала безопасную версию в начале января, поэтому, если вы используете систему Huawei и либо обновили все, либо полностью удалили встроенные приложения, вам стоит поехать.

Microsoft Defender ATP не полагается исключительно на основанное на сигнатурах конечное ПО для обнаружения известных угроз; он также использует эвристику, которая ищет поведение, которое кажется подозрительным, даже если не было обнаружено никакого конкретного вредоносного ПО. Сама Windows замечает определенные действия, предпринятые программным обеспечением, и сообщает о них облачной службе Defender ATP, а алгоритмы на основе машинного обучения ищут аномалии в этих отчетах.

Введите: правительство США

Windows 10 версии 1809 включала трассировку, предназначенную для обнаружения бэкдоров типа DOUBLEPULSAR. DOUBLEPULSAR является одним из многих методов, разработанных Агентством национальной безопасности и впоследствии утекших. После публикации он был использован во вредоносных программах.

Читайте так же

Франшиза Царская Забава Сауна - бизнес с удовольствием! Уникальное название для сауны, особенно для VIP-саун с эксклюзивными услугами. Наиболее лучший способ выделиться из подобных предложений. Если Вы даете рекламу с этим названием, то количество звонков повышается в два ...
Apple выпустила iOS 12.3 Public Beta 3 для iPhone ... Apple незаметно выпустила публичную бета-версию iOS 12.3 во вторник, 23 апреля, чуть позже, чем через день после выпуска бета-версии 3. Как и в случае с версией для разработчиков, здесь нет каких-либо существенных функций или изменений, которые могли...
Samsung Galaxy S10, Galaxy S10, Galaxy S10e теперь... Ежемесячные обновления безопасности для Samsung Galaxy S7 теперь официально прекращены Samsung обновил список обновлений безопасности Android на своем веб-сайте Обновленный список подтвердил ежемесячные обновления безопасности для Galaxy S7 Active ...

DOUBLEPULSAR позволяет скомпрометированному драйверу ядра запускать код в пользовательском режиме. Он работает, копируя некоторый код в память привилегированного процесса, который уже запущен, и затем направляя систему на выполнение этого кода, отправляя APC процессу. APC («асинхронные вызовы процедур»). это способ временно направить поток, чтобы он прекратил выполнение функции, которую он выполняет. Вместо этого они переключаются на запуск другой функции; когда эта другая функция завершается, поток возобновляет исходную функцию с того места, где он остановился.

APC внутренне используются операционной системой для определенных операций ввода-вывода: вместо того, чтобы ждать, пока система прочитает или запишет файл, в Windows есть система, в которой операция чтения или записи может быть запущена без ожидания с использованием APC. чтобы указать, что чтение или запись завершены.

Для этого требуется пара операций «спина к спине», которые может обнаружить ядро: выделение некоторой памяти в работающем процессе, после чего ядро ​​отправляет процессу APC, который ссылается на эту вновь выделенную память. Любая операция сама по себе не представляет большого интереса, но эти два события, происходящие вместе, когда APC использует память, указывают на атаку в стиле DOUBLEPULSAR. Windows 10 версии 1809 включала датчики для записи этих операций ядра, которые, как известно, полезны для вредоносных программ.

Когда законное программное обеспечение и вредоносное ПО неразличимы

Дальнейшее расследование показало, что в данном конкретном случае не вредоносное ПО внедряло и выполняло код в пользовательском процессе; это был драйвер, написанный на Huawei. Предполагалось, что драйвер Huawei действует как своего рода сторожевой таймер: он отслеживает службу обычного пользовательского режима, которая является частью программного обеспечения PCManager, и, если эта служба перестает работать или перестает работать, драйвер перезапускает ее. Чтобы выполнить этот перезапуск, драйвер внедрил код в привилегированный процесс Windows, а затем запустил этот код, используя APC. метод, взятый прямо из вредоносного ПО.

Читайте так же

Дата выхода Baptiste Overwatch — Вы можете и... OVERWATCH герой Baptiste может бросать лечебные гранаты, чтобы поддерживать своих товарищей по команде дольше. Разработчик Overwatch Blizzard объявил дату выхода своего следующего героя. Новым персонажем из Overwatch является медик вспомогательного...
Vivo v15 pro Vivo India сотрудничает с программой ... Китайский производитель смартфонов Vivo вступил в партнерство с программой обмена Cashify на Vivo V15 Pro. В рамках партнерства Vivo India предложит биржевую скидку в размере 2000 рупий на покупку нового смартфона. Те, кто обменяет свой старый смартф...
Apple избегает одного запрета на импорт в Qualcomm... Особенности Qualcomm выстрелил в Apple несколько раз Есть около 80 случаев по всему миру между компаниями Apple отрицает нарушение каких-либо патентов в двух случаях Qualcomm выпустила несколько законных снимков в Apple с целью использоват...

Почему компания Huawei выбрала этот подход, не сразу понятно, поскольку в качестве встроенной функции Windows предусмотрена возможность перезапуска аварийных служб. Там нет необходимости для внешнего сторожевого пса.

Драйвер Huawei предпринял некоторые попытки гарантировать, что он будет только связываться и перезапускать собственную службу Huawei, но неправильные разрешения означают, что даже непривилегированный процесс может перехватить средство наблюдения драйвера и использовать его для запуска процесса, управляемого злоумышленником, с привилегиями LocalSystem, предоставляя этому процессу полный доступ к локальной системе.

Затем исследователи Microsoft продолжили изучать драйвер и обнаружили, что у него есть еще одна некорректная возможность: он может отображать любую страницу физической памяти в пользовательский процесс с разрешениями как на чтение, так и на запись. При этом пользовательский процесс может модифицировать ядро ​​или что-то еще, и как таковой он также представляет собой зияющий недостаток.

Несмотря на то, что, конечно, существует элемент продаж, который заключается в публичном описании Microsoft того, что он нашел и как он его обнаружил. это показывает, что Defender ATP действительно может предоставлять релевантные и ценные данные. этот пример хорошо показывает, как Microsoft использует регулярные обновления Windows 10 для усиления всесторонних мер защиты и того, как облачная аналитика может обеспечить понимание, которое иначе было бы трудно найти. В нем также подчеркиваются лишь некоторые из чрезвычайно ужасных вещей, которые делают производители оборудования, когда им поручено написание программного обеспечения. Когда ваши поставщики оборудования открывают большие недостатки в безопасности и копируют вредоносные методы, возникает вопрос, нужна ли нам защита как от хороших, так и от плохих парней.

Читайте так же

Redmi Y1, Redmi Y1 Lite начинают получать обновлен... Обновление MIUI 10 теперь доступно по беспроводной связи на телефонах Redmi Y1 и Redmi Y1 Lite Особенности Redmi Y1 и Redmi Y1 Lite начали получать обновление MIUI 10 Stable Обе модели Redmi получают MIUI 10.2.1.0 Обновление исправляет разли...
Небо падает на технические IPO Две компании в четв... 2019 год должен стать годом IPO монстров технологий. И это тем не менее может быть. Тем не менее, кажется, что уже не без обильного обречения. В год, склонный к работе, один из самых известных технологических стартапов. Uber, Lyft, Peloton, Slack, P...
Новый трейлер для Avengers End Game Свет горит, но... Посмотреть полный сайт Авторизоваться регистр «Некоторые люди идут дальше. Но не мы». Дженнифер Уэльетт - 4 февраля 2019 г., 00:10 UTC Как только начался Суперкубок LIII, Marvel выпустил второй трейлер Мстители: конец игры, горячо ожидаемое ...

Author: dakus