Обновленный руткит TDL4 обходит новый патч Microsoft

Разработчики одного из самых современных руткитов TDL4, способного инфицировать 64-битные системы Windows, выпустили обновление в ответ на патч Microsoft, мешающий его работе.

12 апреля, компания Microsoft выпустила патч, специально разработанный для отключения защитного механизма руткита TDL4.

По умолчанию 64-битные версии систем Windows 7 и Vista позволяют использовать драйверы только с цифровой подписью, поэтому подавляющее большинство руткитов не может функционировать на таких системах.

Отличие руткита TDL4 заключается в том, что он исправляет данные конфигурации загрузки Windows (Boot Configuration Data) в режиме реального времени, что позволяет ему обходить сигнатурный анализ драйверов операционной системы.

Обновление Microsoft KB2506014 включает изменение размера таблицы экспорта файла kdcom.dll, т.к. программа TDL4 проверяет его значение для определения необходимости замены файла своей версией. Обновленная версия руткита больше не выполняет проверку размера этого файла. Вместо этого TDL4 исправляет процедуру проверки цифровой подписи Windows для kdcom.dll, чтобы вернуть ошибку, которую система не распознает, вынуждая продолжать обычную загрузку программы TDL4.
Кроме того, разработчики TDL4 также изменили способ захвата руткитом системного минипорта, метод, который позволял антивирусным программам обнаруживать его присутствие.

По словам Марко Джулиани (Marco Giuliani), специалиста в области безопасности компании Prevx, известно, что руткит TDL4 устанавливает свой образец драйвера минипорта и подключает DR0 устройство через свой драйвер-фильтр. Такая система позволяла многим утилитам обнаруживать активность руткита в системе. Новый TDL4 удаляет любое упоминание о своем присутствии, тем самым, не оставляя следов, обходит большинство технологий по его обнаружению. 


Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Network Attack Discovery отображает стадию атаки по матрице ATT&CK

Positive Technologies выпустила 9-ю версию системы анализа трафика PT Network Attack Discovery (PT NAD), которая позволит пользователям увидеть, на каком этапе находятся злоумышленники. Также в обновленной версии на 30% увеличено число определяемых протоколов, благодаря чему обеспечивается большая прозрачность сети.

В новой версии PT NAD появилась тепловая карта с тактиками по модели MITRE ATT&CK. Функция поможет пользователям понять, на какой стадии атаки находятся злоумышленники, и оперативно узнать о применяемых ими техниках. Чем больше атак на инфраструктуру организации совершено при помощи отдельной тактики, тем ярче цвет ее заливки. При выборе тактики на тепловой карте в интерфейсе PT NAD отображается список связанных с нею техник и количество попыток атак. Это, в свою очередь, позволит быстрее определить компенсирующие меры.

Рисунок 1. Виджет с тепловой картой тактик ATT&CK

В новой версии системы также расширен набор определяемых и разбираемых сетевых протоколов. Теперь PT NAD детектирует 73 протокола (вместо 56 в предыдущей версии). Среди новых — специфичные проприетарные протоколы, которые иногда встречаются в сетях крупных российских компаний.

Определение протоколов дает понимание, в каком объеме и какого рода сетевые соединения устанавливаются внутри корпоративной сети. Это особенно актуально в связи с растущей подозрительной активностью в сетевой инфраструктуре организаций России и стран СНГ — анализ их трафика показал, что следы компрометации имеют сети 97% крупных компаний.

Другие улучшения в обновленной версии PT NAD нацелены на повышение удобства работы с продуктом. Улучшены функции фильтрации сессий, появилась фильтрация данных по группам сетевых узлов и возможность экспортировать данные виджетов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru