شاهکاری دیگر از بدافزار Uroburos
شرکت آلمانی G-Data که پیشتر در گزارشی بدافزار Uroburos را مرتبط با دولت روسیه اعلام کرده بود در هفته گذشته پرده از یکی دیگر از توانایی های این بدافزار فوق پیشرفته برداشت.
در سال 2005 شرکت مایکروسافت به منظور محافظت از بخش های حیاتی هسته سیستم عامل در مقابل بدافزارهایی همچون Rootkit در نگارش های 64 بیتی سیستم های عامل Windows XP و Windows 2003 قابلیتی موسوم به PatchGuard را اضافه کرد. قابلیتی که استفاده از آن در نگارش های 64 بیتی سیستم های عامل جدیدتر مایکروسافت همچنان ادامه یافته است.
ساختار بدافزارهای Rootkit به نحوی است که با رخنه به هسته سیستم عامل، فعالیت های خود را با کنترل کردن توابع داخلی Windows پنهان می سازند. با وجود PatchGuard، چنانچه سیستم عامل تلاش فایلی ناشناس را برای ورود به هسته، شناسایی کند، از طریق تابعی با عنوان KeBugCheckEx سبب از کار افتادن سیستم و عملاً جلوگیری از دسترسی غیرمجاز بدافزار به هسته سیستم عامل می شود.
البته کنترل تابع KeBugCheckEx ناممکن نیست. برای نمونه در اینجا و اینجا نحوه دور زدن PatchGuard بطور مفصل شرح داده شده است. همانطور که در بدافزار Uroburos نیز از روال هایی مشابه برای کنترل KeBugCheckEx استفاده شده است.
اما برای ادامه کار، بدافزار Uroburos نیاز به فراخوانی راه انداز (Driver) خود نیز دارد. در حالی که در نگارش های 64 بیتی سیستم های عامل Windows هر راه انداز که بصورت دیجیتال توسط یک ناشر مورد اعتماد امضا نشده باشد، اجازه اجرا ندارد. برای این منظور Uroburos ابتدا راه انداز مجاز Oracle VirtualBox را بر روی سیستم نصب می کند. این راه انداز دارای ضعف امنیتی شناخته شده CVE-2008-3431 است و سازندگان Uroburos از طریق همان ضعف، راه انداز بدافزار را به هسته سیستم عامل تزریق می کنند.
شرکت McAfee نیز هفته گذشته جزییات بیشتری در خصوص نحوه گریز Uroburos از سد PatchGuard منتشر کرد که در اینجا قابل مشاهده است.
براساس گزارشات ارائه شده هدف از ایجاد بدافزار Uroburos جاسوسی از سازمانها و نهادها و سرقت اطلاعات حساس آنها بوده است. محققان G-Data بدافزار Uroburos را با بدافزار روسی Agent.BTZ که در سال 2008 در حملات سایبری بر ضد وزارت دفاع آمریکا استفاده شده بود کاملاً مرتبط می دانند.
ایجاد بدافزارهای ویژه جاسوسی توسط دولت های مختلف چندان امروزه دیگر دور از انتظار نیست؛ زمانی که نهادهای اطلاعاتی آمریکا همچون NSA از طرق مختلف به شنود و سرقت اطلاعات می پردازند.
