Tutkija tarjoaa työkalun piilottaa haittaohjelmat .Netissä

Tietoturva-tutkija on julkaissut päivitetyn työkalun, joka voi yksinkertaistaa sellaisten haittaohjelmien havaitsemisen vaikeaa havaitsemista Microsoftin.Net-puitteissa Windows-tietokoneissa.

.Net-Sploit 1.0 -työkalu mahdollistaa useimpien Windows-koneiden asentamiseen.Net-ohjelmiston muuttamiseen.

Microsoft kehittää joukon kehittäjäohjelmistoja, joiden avulla ohjelmoijat voivat kehittää sovelluksia, jotka ovat yhteensopivia kehyksen kanssa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

.Net-Sploit mahdollistaa hakkeri-ohjelmiston, jonka avulla he voivat hankkia ohjelmia useilla korkean tason kielillä. muokata.Net-kehystä kohdennettuihin koneisiin, lisätä rootkit-tyyppisiä haittaohjelmia paikkaan, johon tietoturvaohjelmistot eivät kosketa ja joissa muutamat tietoturva-asiat ajattelevat, sanoi Erez Metula, työkalusta kirjoittama 2BSecure ohjelmistosuoja-insinööri.

"Olet hämmästynyt siitä, kuinka helppoa on suunnitella hyökkäys", Metula sanoi perjantaina Amsterdamissa Amsterdamissa järjestetyssä Black Hat -turvallisuuskonferenssissa.

.Net-Sploit antaa pääsääntöisesti, että hyökkääjä korvaa laillisen koodin sisällä. Net kanssa haitallista. Koska jotkin sovellukset ovat riippuvaisia ​​.Net-kehyksen osista, se tarkoittaa, että haittaohjelmat voivat vaikuttaa monien sovellusten toimintaan.

Esimerkiksi sovellus, jolla on todentamismekanismi, voi hyökätä, jos verkon vioittunut.Net-kehys haavoittivat käyttäjätunnukset ja salasanat ja lähettivät ne etäpalvelimelle, Metula sanoi.

.Net-Sploit automatisoi joitain vaikeita koodaustehtäviä, jotka ovat tarpeen kehyksen vioittumiseksi ja nopeuttaakseen hyökkäyksen kehitystä. Esimerkiksi se voi auttaa vetämään asiaankuuluvan DLL: n (dynaamisen linkkikirjaston) kehyksestä ja käyttämään haitallista DLL: tä.

Metula sanoi, että hyökkääjällä olisi jo oltava koneen hallintaa ennen kuin hänen työkalunsa voidaan käyttää..Net-kehyksen korruptoituna on se, että hyökkääjä voi hallita salaa laitetta pitkään aikaan.

Väärennetyt järjestelmän järjestelmänvalvojat saattavat käyttää väärin niitä, jotka voisivat käyttää käyttöoikeuksiaan niin, että he voivat käyttää niin kutsuttuja "backdoors" "tai haittaohjelma, joka mahdollistaa etäkäytön, sanoi Metula.

Microsoft Security Response Center sai ilmoituksen asiasta syyskuussa 2008. Yrityksen kanta on se, että hyökkääjän on jo hallittava tietokone, haavoittuvuus.Net. Näyttää siltä, ​​että Microsoft ei aio antaa lähiajan korjausta.

Vähintään yksi Microsoftin virkamies keskusteli Metulan kanssa esittelynsä jälkeen puolustaen yrityksen asemaa. Metula sanoi, että hän ei myöskään pidä ongelmaa haavoittuvuudelta vaan pikemminkin heikkoudelta, vaikkakin se, että Microsoft voisi ryhtyä toimenpiteisiin tällaisen hyökkäyksen vaikeuttamiseksi.

"Ei luodinkestävää ratkaisua korjata," Metula sanoi. Myös tietoturva-alan toimittajat saattavat päivittää ohjelmistonsa havaitsemaan.Net-puitteet, Metula sanoi … Net ei ole ainoa sovelluskehys, joka on altis hyökkäykselle, koska muunnelmia voitaisiin soveltaa myös muihin sovelluskehyksiin, kuten Java Virtual Machine (JVM), jota käytetään Java-ohjelmien suorittamiseen.

Metula on julkaissut valkoisen kirjan tekniikasta sekä uusimman version.Net Sploitista.