Перейти к содержанию
corpmarter

TDL4 стал использовать 0-day уязвимость

Recommended Posts

corpmarter

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена Лабораторией Касперского во вредоносной программе Stuxnet.

Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows.

При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

Работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

Так же, что интересно, инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит. С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов.

Таким образом троянец TDSS в очередной раз подтверждает статус одной из самых опасных и сложных вредоносных программ.

ПС. Огромное спасибо Василию Бердникову (Vaber) за подготовку данного материала.

http://www.securelist.com/ru/blog/20776087..._day_uyazvimost

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex Gorgeous

Как может быть уязвимость ранее неизвестной (заголовок новости), если

Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet
?

По крайней мере заголовок сразу настроил на то, что была обнаружена какая-то новая уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Используется уязвимость, которая известна, но еще не исправлена. Да еще и "отсебятину" добавили со старых блогов и зачем-то "LoadIntegrityCheckPolicy" всунули. В общем - читайте оригиналы ;)

Один,а второй оригинал - скоро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

В общем - ждите оригинал, скоро выложим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кто сейчас детектит реально TDL4?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

KIS/KAV 2011. :) То, что я знаю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

на сколько я знаю, Symantec не детектит.

Если ошибаюсь, знатоки поправят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В общем - ждите оригинал, скоро выложим.

А вот и оно :)

TDSS: TDL4

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Респект за статью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×