PLATINUM Team Exploits Microsoft's Hotpatching, bleibt Covert - Wie, Technologie und PC Security Forum | SensorsTechForum.com
CYBER NEWS

PLATINUM-Team Exploits Microsofts Hotpatching, bleibt Covert

800px-Platinum-Nugget Platinum Nugget. Image Source: Wikipedia

Es gibt grundsätzlich zwei Arten von Hacker-Teams. Der erste Typ ist nach dem schnellen Gewinn, Erntekreditkartennummern und Bankdaten. Der zweite Typ ist gefährlicher, obwohl es nicht direkt auf den finanziellen Zustand der Opfer beeinträchtigen kann, wie es auf langfristige Spionage konzentriert.

Zudem, die Ziele solcher Hacking-Teams sind in der Regel staatliche Organisationen, Intelligenz und Verteidigungsbehörden, oder sogar ISPs.

Ähnliche Beiträge:
Hot Potato Exploit gefährdet Aktuelle Windows-Versionen
Wie Beheben von Problemen mit Windows Update
Die Windows-Benutzersicherheit Bibel auf Updates und Flaws

Jetzt, vorstellen, dass es ein bestimmtes Hacking Team, das alle oben angreifen wurde, und hat so hartnäckig gewesen, dass auch Microsofts Windows Defender fortschrittliches Bedrohungs Hunting Team zu identifizieren, das Team nicht annähernd nahe.

Ein Blick in PLATINUM Hacking Team Angriffe

Diese Hacker-Team wurde PLATINUM gekennzeichnet, Folgende Microsofts Tradition der Bedrohungsgruppen nach chemischen Verbindungen Namensgebung.

PLATINUM-Mitglieder haben zahlreiche Techniken im Laufe der Zeit angewandt, und haben viele Zero-Day-Schwachstellen zu brechen in der Opfer-System ausgebeutet und infizieren ihre Netzwerke. Microsoft hat gerade einen ausführlichen Bericht beschreibt Platinum Waffen veröffentlicht, und es ist veröffentlicht auf Microsoft Technet.

Eine der Techniken ist besonders interessant, – es beschäftigt Windows-Fähigkeiten gegen… Fenster. Es heißt HotPatching:

Hotpatching ist eine bisher unterstützte OS-Funktion für die Installation von Updates ohne einen Prozess neu starten zu müssen oder neu starten. Es erfordert Administrator-Berechtigungen, und auf einem hohen Niveau, ein hotpatcher können Patches zu ausführbaren Dateien und DLLs in aktiv laufenden Prozesse transparent anwenden.

Microsofts Hotpatching Leveraged

Hotpatching wurde ursprünglich in Windows Server eingeführt 2003. Das fortschrittliche Hacking Team hat HotPatching gegen Windows Server verwendet 2003, Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista und Windows 7. Hotpatching ist nicht verfügbar in Windows 8 nicht mehr, während Windows 10 ist überhaupt für solche Angriffe nicht anfällig.

Microsofts Untersuchung zeigt, dass PLATINUM aktiv war seit 2009, Targeting in erster Linie Regierungsorganisationen, Geheimdienste und Telekommunikationsanbieter in Süd- und Südostasien.

Die Gruppe entwickelt fortschrittliche und, nicht überraschend, surreptitious Techniken, die sie unentdeckt bleiben und erfolgreich in allen Angriffen helfen. Das Schlimmste ist, dass „stille“ Cyber-Spionage-Kampagnen können in einem längeren Zeitraum geschehen, ohne den geringsten Verdacht.

Einer der von MS-Team von Profis untersuchten Proben nicht nur unterstützt HotPatching sondern war auch in der Lage häufige Code-Injektionstechniken anzuwenden, die unten aufgeführten einschließlich, in gängige Windows-Prozesse wie winlogon.exe, lsass.exe und svchost.exe:

Create
NtQueueApcThread eine APC in einem Gewinde im Zielprozess auszuführen
RtlCreatUserThread
NtCreateThreadEx

War Wirklich Gefangen von Überraschung?

Wie von Arstechnica wies darauf hin,, die IT-Gemeinde wurde über die Beschäftigung von HotPatching in böswilligen Szenarien gewarnt 2013 bei SyScan. Dies ist, wenn Sicherheitsforscher Alex Ionescu die Art und Weise beschrieben HotPatching angewandt werden könnte Systeme zu modifizieren Malware, ohne die Notwendigkeit der Injektion von DLLs zu injizieren. Die Forscher twitterte kürzlich, dass „Mein SyScan 2012 HotPatching Angriff verwendet jetzt in der freien Natur!", Anbindung an Technet-Artikel von Microsoft über PLATINUM.

Microsoft ist immer noch „für Platinum Graben“. Offensichtlich, sie haben keine Ahnung, wer die Fäden dieser persistenten Cyber-Spionage Zugoperationen. Es bleibt unklar, warum das Unternehmen nichts tat HotPatching Angriffe zu vermeiden. Der Windows Defender fortschrittliche Bedrohungs Jagd-Team auf jeden Fall sollte gesehen kommenden.

Ganz zu schweigen davon, dass in 2006, während der Black Hat Konferenz, Alex Sotirov Sicherheitsforscher beschrieben, das Innenleben von HotPatching und sprach auch darüber, wie Dritter Patches für Windows-Schwachstellen vor der Veröffentlichung von offiziellen Korrekturen vorgeschlagen hatte.

Avatar

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der mit SensorsTechForum ist seit 4 Jahre. Genießt ‚Mr. Robot‘und Ängste‚1984‘. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...