Как Microsoft нашла драйвер Huawei, который открыл системы для атаки

Системы мониторинга искали атаки, используя технику, популяризированную АНБ.

Питер Брайт. 26 марта 2019 г., 19:03 UTC

Системы Huawei MateBook, работающие под управлением программного обеспечения PCManager, включали драйвер, который позволял бы непривилегированным пользователям создавать процессы с привилегиями суперпользователя. Незащищенный драйвер был обнаружен Microsoft с помощью некоторых новых функций мониторинга, добавленных в версию 1809 Windows, которые отслеживаются службой Microsoft Advanced Defender Protection (ATP) компании.

Перво-наперво: компания Huawei исправила драйвер и опубликовала безопасную версию в начале января, поэтому, если вы используете систему Huawei и либо обновили все, либо полностью удалили встроенные приложения, вам стоит поехать.

Microsoft Defender ATP не полагается исключительно на основанное на сигнатурах конечное ПО для обнаружения известных угроз; он также использует эвристику, которая ищет поведение, которое кажется подозрительным, даже если не было обнаружено никакого конкретного вредоносного ПО. Сама Windows замечает определенные действия, предпринятые программным обеспечением, и сообщает о них облачной службе Defender ATP, а алгоритмы на основе машинного обучения ищут аномалии в этих отчетах.

Введите: правительство США

Windows 10 версии 1809 включала трассировку, предназначенную для обнаружения бэкдоров типа DOUBLEPULSAR. DOUBLEPULSAR является одним из многих методов, разработанных Агентством национальной безопасности и впоследствии утекших. После публикации он был использован во вредоносных программах.

Читайте так же

RED дразнит новую систему Komodo с тем, что кажетс... Во время своего недавнего объявления о разработке своей новой камеры Hydrogen 2, основатель RED Джим Дженнард упомянул Komodo, имя, которое не прозвучало до недавнего времени, когда президент RED Джарред Лэнд сделал интересную запись на форумах RED U...
Пицца на слоеном тесте Вкуснейшая пицца на слоеном тесте.  Начинка на ваш вкус и главное побольше сыра. Вам понравится Итак, мой вариант таков Ингредиенты: бездрожжевое слоеное тесто томатная паста огурцы (консервированные) и/или помидоры колбаса/мясо и/или грибы...
Samsung Galaxy S10 не поддерживает одну из самых и... Шесть месяцев назад, в августе 2018 года, Google выпустила Android 9.0 Pie для публики. Последняя и лучшая версия мобильной платформы Google содержит целый ряд великолепных новых функций, таких как технология Adaptive Battery, которая продлевает врем...

DOUBLEPULSAR позволяет скомпрометированному драйверу ядра запускать код в пользовательском режиме. Он работает, копируя некоторый код в память привилегированного процесса, который уже запущен, и затем направляя систему на выполнение этого кода, отправляя APC процессу. APC («асинхронные вызовы процедур»). это способ временно направить поток, чтобы он прекратил выполнение функции, которую он выполняет. Вместо этого они переключаются на запуск другой функции; когда эта другая функция завершается, поток возобновляет исходную функцию с того места, где он остановился.

APC внутренне используются операционной системой для определенных операций ввода-вывода: вместо того, чтобы ждать, пока система прочитает или запишет файл, в Windows есть система, в которой операция чтения или записи может быть запущена без ожидания с использованием APC. чтобы указать, что чтение или запись завершены.

Для этого требуется пара операций «спина к спине», которые может обнаружить ядро: выделение некоторой памяти в работающем процессе, после чего ядро ​​отправляет процессу APC, который ссылается на эту вновь выделенную память. Любая операция сама по себе не представляет большого интереса, но эти два события, происходящие вместе, когда APC использует память, указывают на атаку в стиле DOUBLEPULSAR. Windows 10 версии 1809 включала датчики для записи этих операций ядра, которые, как известно, полезны для вредоносных программ.

Когда законное программное обеспечение и вредоносное ПО неразличимы

Дальнейшее расследование показало, что в данном конкретном случае не вредоносное ПО внедряло и выполняло код в пользовательском процессе; это был драйвер, написанный на Huawei. Предполагалось, что драйвер Huawei действует как своего рода сторожевой таймер: он отслеживает службу обычного пользовательского режима, которая является частью программного обеспечения PCManager, и, если эта служба перестает работать или перестает работать, драйвер перезапускает ее. Чтобы выполнить этот перезапуск, драйвер внедрил код в привилегированный процесс Windows, а затем запустил этот код, используя APC. метод, взятый прямо из вредоносного ПО.

Читайте так же

Как правильно удалить программу в Windows... Здравствуйте, уважаемые читатели блога Webslicer.ru Недавно я понял, что как правильно удалить программу с компьютера — знает даже не каждый опытный пользователь. А дело было так: один мой знакомый пытался удалить ненужную программу. Он удалил ярл...
Официально запускается Spotify в Индии... Spotify официально запустил свой сервис потоковой передачи музыки в Индии. (СКК). Спустя год после обнародования своих планов по выходу на рынок Индии, Spotify официально запустил там свой сервис, согласно сообщению The Financial Times. Это расшире...
Как Сделать Скрин На Самсунге J1... Как сделать скрин на “Самсунге”? Такой вопрос нередко задают обладатели соответственных устройств. Работают аппараты южнокорейского производителя работающие под ОС семейства “Андроид”. Эта ОС славится тем, что предоставляет фа...

Почему компания Huawei выбрала этот подход, не сразу понятно, поскольку в качестве встроенной функции Windows предусмотрена возможность перезапуска аварийных служб. Там нет необходимости для внешнего сторожевого пса.

Драйвер Huawei предпринял некоторые попытки гарантировать, что он будет только связываться и перезапускать собственную службу Huawei, но неправильные разрешения означают, что даже непривилегированный процесс может перехватить средство наблюдения драйвера и использовать его для запуска процесса, управляемого злоумышленником, с привилегиями LocalSystem, предоставляя этому процессу полный доступ к локальной системе.

Затем исследователи Microsoft продолжили изучать драйвер и обнаружили, что у него есть еще одна некорректная возможность: он может отображать любую страницу физической памяти в пользовательский процесс с разрешениями как на чтение, так и на запись. При этом пользовательский процесс может модифицировать ядро ​​или что-то еще, и как таковой он также представляет собой зияющий недостаток.

Несмотря на то, что, конечно, существует элемент продаж, который заключается в публичном описании Microsoft того, что он нашел и как он его обнаружил. это показывает, что Defender ATP действительно может предоставлять релевантные и ценные данные. этот пример хорошо показывает, как Microsoft использует регулярные обновления Windows 10 для усиления всесторонних мер защиты и того, как облачная аналитика может обеспечить понимание, которое иначе было бы трудно найти. В нем также подчеркиваются лишь некоторые из чрезвычайно ужасных вещей, которые делают производители оборудования, когда им поручено написание программного обеспечения. Когда ваши поставщики оборудования открывают большие недостатки в безопасности и копируют вредоносные методы, возникает вопрос, нужна ли нам защита как от хороших, так и от плохих парней.

Читайте так же

Samsung и Huawei урегулируют 2-летний патентный сп... Samsung и Huawei договорились прекратить двухлетний патентный спор Особенности Спор был по поводу нелицензионного использования беспроводных технологий Huawei подала иски против Samsung еще в 2016 году Суд по распоряжению Samsung выплатил Hu...
Huawei запускает мероприятие Huawei FreeLace, науш... Huawei выпустила новое беспроводное аудиоустройство. Huawei FreeLace. вместе с последними смартфонами серии P30. Эти беспроводные наушники от Huawei стоят 99 евро и будут доступны с апреля в официальных магазинах Huawei в четырех цветовых вариантах, ...
7 самых больших объявлений от Google I... Обозначение Google I / O 2019 официально завершено, и мир технологий все еще гудит после всех громких заявлений, сделанных Google во время его вступительной презентации. Само мероприятие явно ориентировано на разработчиков, так как в конце концов это...

Author: dakus