Перейти к содержанию
corpmarter

TDL4 стал использовать 0-day уязвимость

Recommended Posts

corpmarter

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена Лабораторией Касперского во вредоносной программе Stuxnet.

Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows.

При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

Работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

Так же, что интересно, инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит. С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов.

Таким образом троянец TDSS в очередной раз подтверждает статус одной из самых опасных и сложных вредоносных программ.

ПС. Огромное спасибо Василию Бердникову (Vaber) за подготовку данного материала.

http://www.securelist.com/ru/blog/20776087..._day_uyazvimost

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex Gorgeous

Как может быть уязвимость ранее неизвестной (заголовок новости), если

Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet
?

По крайней мере заголовок сразу настроил на то, что была обнаружена какая-то новая уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Используется уязвимость, которая известна, но еще не исправлена. Да еще и "отсебятину" добавили со старых блогов и зачем-то "LoadIntegrityCheckPolicy" всунули. В общем - читайте оригиналы ;)

Один,а второй оригинал - скоро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

В общем - ждите оригинал, скоро выложим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кто сейчас детектит реально TDL4?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

на сколько я знаю, Symantec не детектит.

Если ошибаюсь, знатоки поправят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В общем - ждите оригинал, скоро выложим.

А вот и оно :)

TDSS: TDL4

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
    • santy
      это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.
    • PR55.RP55
      Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл" Так почему бы не сделать доступным полный перечень команд ? DELREF ; DELALL ; ZOO;  и т.д.  
    • demkd
      можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
        это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
        в неактивной он само собой все видит я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.
    • santy
      в продолжении темы: tdsskiller из нормального режима не увидел ничего опасного. uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).   http://www.tehnari.ru/f35/t261417/index2.html#post2605517
×