Casa > Cyber ​​Notizie > PLATINUM Team sfrutta l'hotpatching di Microsoft, rimane Covert
CYBER NEWS

Patch a caldo PLATINUM squadra exploit di Microsoft, rimane Covert

800px-Platinum-pepita Platinum Nugget. Image Source: Wikipedia

Ci sono fondamentalmente due tipi di squadre di hacking. Il primo tipo è dopo rapido profitto, numeri di carta di credito di raccolta e dati bancari. Il secondo tipo è più pericoloso, anche se non può influenzare direttamente lo stato finanziario delle vittime, in quanto si concentra su di spionaggio a lungo termine.

Inoltre, gli obiettivi di tali squadre di hacking sono di solito organizzazioni governative, agenzie di intelligence e difesa, o anche gli ISP.

ARTICOLI cORRELATI:
Hot Potato Exploit versioni mette in pericolo recenti di Windows
Come risolvere i problemi con Windows Update
L'utente di Windows Security Bibbia su aggiornamenti e difetti

Ora, immaginare che ci sia un particolare gruppo di hacking che è stato attaccando tutto quanto sopra, ed è stato così insistente che anche squadra di caccia minaccia Windows Defender avanzata di Microsoft non è quasi vicino alla identificazione della squadra.

Uno sguardo in attacchi di PLATINO Hacking Team

Questa squadra l'hacking è stato etichettato PLATINUM, seguendo la tradizione di Microsoft di nominare gruppi di minaccia dopo composti chimici.

i membri Platinum hanno applicato numerose tecniche nel corso del tempo, e hanno sfruttato molte vulnerabilità zero-day per rompere nel sistema delle vittime e infettare le loro reti. Microsoft ha appena rilasciato un rapporto dettagliato che descrive le armi di PLATINO, ed è pubblicato sul Microsoft TechNet.

Una delle tecniche è particolarmente interessante – impiega le capacità di Windows’ contro… Windows. Si chiama patch a caldo:

HotPatching è una funzionalità del sistema operativo precedentemente supportato per l'installazione degli aggiornamenti senza dover riavviare o riavviare un processo. Si richiede autorizzazioni a livello di amministratore, e ad un livello alto, un hotpatcher può applicare in modo trasparente patch per gli eseguibili e le DLL in processi in esecuzione attivamente.

Patch a caldo di Microsoft Leveraged

HotPatching è stato inizialmente introdotto in Windows Server 2003. Il team di hacking avanzata ha utilizzato tale funzionalità nei confronti di Windows Server 2003, Pacchetto d'aggiornamento 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista e Windows 7. HotPatching non è disponibile in Windows 8 più, mentre Windows 10 non è incline a tali attacchi a tutti.

punti di indagine di Microsoft che il platino è attiva dal 2009, in primo luogo mira le organizzazioni non governative, agenzie di intelligence e fornitori di telecomunicazioni del Sud e Sud-Est asiatico.

Il gruppo ha sviluppato avanzate e, non sorprendentemente, tecniche di clandestini che li aiutano non individuare e di successo in tutti gli attacchi. La cosa peggiore è che “silenziosi” campagne di cyber-spionaggio può accadere in un periodo di tempo prolungato, senza il minimo sospetto.

Uno dei campioni esaminati da MS team di professionisti non solo supportato patch a caldo, ma era anche in grado di applicare le tecniche di code-iniezione più comuni, compreso il seguito elencati, in processi comuni di Windows come ad esempio winlogon.exe, lsass.exe e svchost.exe:

CreateRemoteThread
NtQueueApcThread per eseguire un APC in un thread nel processo di destinazione
RtlCreatUserThread
NtCreateThreadEx

Era Davvero colto di sorpresa?

Come sottolineato da Arstechnica, la comunità e stata messo in guardia circa l'impiego di tale funzionalità in scenari dannosi in 2013 a Syscan. Questo è quando ricercatore di sicurezza Alex Ionescu descritto modi hotpatching potrebbe essere applicato per modificare i sistemi per iniettare malware senza la necessità di DLL parenterale. I ricercatori hanno recentemente twittato che “Il mio Syscan 2012 attacco patch a caldo ora utilizzato in natura!", che collega l'articolo Technet di Microsoft su PLATINUM.

Microsoft sta ancora “scavando per Platinum”. Ovviamente, non hanno idea di chi tira le fila di queste operazioni di spionaggio persistente informatici. Non è chiaro il motivo per cui la società non ha fatto nulla per evitare gli attacchi patch a caldo. The Hunting Threat team di Windows Defender avanzata avrebbe dovuto sicuramente visto il prossimo.

Senza contare che in 2006, durante la conferenza Black Hat, ricercatore di sicurezza Alex Sotirov ha descritto il funzionamento interno di patch a caldo e anche parlato di come parti terze aveva suggerito patch per le vulnerabilità di Windows prima del rilascio di correzioni ufficiali.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo