Forsker tilbyder værktøj til at skjule malware i. Net

En computer sikkerhedsforsker har udgivet et opgraderet værktøj, der kan forenkle placeringen af ​​svær at opdage ondsindet software i Microsofts.Net-ramme på Windows-computere.

Værktøjet, kaldet.Net-Sploit 1.0, tillader til ændring af.Net, et softwareprogram installeret på de fleste Windows-maskiner, der gør det muligt for computere at udføre visse typer applikationer.

Microsoft laver en række udviklerværktøjer til programmører til at skrive applikationer, der er kompatible med rammen. Det giver udviklere fordelene ved at skrive programmer på flere forskellige sprog på højt niveau, som alle vil køre på en pc.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

.Net-Sploit tillader en hacker at modificere. Net-rammen på målrettede maskiner, indsætte ondsindet software i rootkit-stil på et sted uberørt af sikkerhedssoftware og hvor få sikkerhedsfolk ville synes at se, sagde Erez Metula, software sikkerhedsingeniør til 2BSecure, der skrev værktøjet.

"Du vil blive forbløffet over, hvor let det er at udtænke et angreb," sagde Metula under en præsentation på Black Hat-sikkerhedskonferencen i Amsterdam fredag.

.Net-Sploit lader i det væsentlige en angriber erstatte et legitimt stykke kode inden. Net med en ondsindet. Da nogle applikationer er afhængige af dele af.Net-rammen for at kunne køre, betyder det, at malware kan påvirke funktionen i mange applikationer.

For eksempel kan et program, der har en godkendelsesmekanisme, blive angrebet, hvis den manipulerede.Net-ramme skulle aflytte brugernavne og adgangskoder og sende dem til en fjernserver, siger Metula.

.Net-Sploit automatiserer nogle af de vanskelige kodningsopgaver, der er nødvendige for at ødelægge rammen, hvilket fremskynder udviklingen af ​​et angreb. For eksempel kan det hjælpe med at trække et relevant DLL (dynamisk link bibliotek) fra rammen og implementere den ondsindede DLL.

Metula sagde, at en angriber allerede skulle have kontrol over en maskine, før hans værktøj kunne bruges. Fordelen ved at ødelægge.Net-rammen er, at en angriber lang tid kunne holde kontrol over maskinen.

Det kunne potentielt blive misbrugt af rogue systemadministratorer, der kunne misbruge deres adgangsrettigheder til at implementere såkaldte "bagdøre" "eller malware end muliggør fjernadgang, sagde Metula.

Microsoft Security Response Center blev underrettet om problemet i september 2008. Selskabets holdning er, at da en hacker allerede skulle have kontrol over en pc, er der ikke en sårbarhed i.Net. Det ser ikke ud til, at Microsoft har planer om at udstede en kortfristet løsning.

Mindst en Microsoft-tjenestemand snakkede med Metula efter sin præsentation og forsvarede virksomhedens position. Metula sagde, at han heller ikke anser spørgsmålet om en sårbarhed, men snarere en svaghed, om end en, at Microsoft kunne træffe foranstaltninger for at gøre et sådant angreb mere vanskeligt.

"Ingen kollisionsløs løsning vil rette op på det," sagde Metula. Sikkerhedsleverandører bør også opgradere deres software for at opdage manipulation med.Net-rammen, sagde Metula … Net er ikke den eneste applikationsramme, der er sårbar over for angrebet, da variationer også kunne anvendes på andre anvendelsesrammer, f.eks. Java Virtual Machine (JVM) bruges til at køre programmer skrevet i Java.

Metula har udgivet et hvidbog om teknikken samt den nyeste version af.Net-Sploit.