安全研究人员根据NSA恶意软件创建了SMBdoor

在RiskSense工作的安全研究人员Sean Dillon(@zerosum0x0)把所研究出的新型恶意软件命名为SMBdoor。

Dillon将SMBdoor设计为Windows内核驱动程序，一旦安装在PC上，就会滥用srvnet.sys进程中未记录的API，并将自身注册为SMB（服务器消息块）连接有效处理程序。这种恶意软件非常隐蔽，它不会绑定到任何本地套接字、打开端口或挂钩到现有功能，这样可以避免触发某些防病毒系统的警报。

SMBdoor的设计灵感是Dillon在Doublepulsar和Darkpulsar上找到的，在看到黑客组织The Shadow Brokers泄露出来的这两个由NSA设计的恶意软件后所产生的。

许多用户可能会问 - 为什么安全研究人员会制造恶意软件？

在接受ZDNet采访中，Dillon告诉我们，SMBdoor代码并没有武器化，网络犯罪分子无法从Github下载并攻击他人。

Dillon说：“smbdoor具有很大的局限性，主要是用于学术探索，我认为它可能成为防病毒之类产品监控的重点，所以更需要向外界公开”

“攻击者必须克服poc的局限性，最重要的是，现代Windows会试图拦截未签名的内核代码。在加载payload的过程中，后门必须考虑到一系列后续问题，以便使用分页存储器而不会使系统锁死。”针对这两个问题存在一些绕过方法，但是当启用Hyper-V Code Integrity等防御措施时，就将会变得很难实现。

Dillon表示，除非攻击者大幅度修改smbdoor，否则这种实验性恶意软件对任何人都没有用。

由于其隐秘设计以及对未记录的API的使用，Dillon在SMBdoor上的研究引起了许多安全研究人员的关注。

This looks good, open source implant piggy backing on SMB (so no new ports opened) a la Doublepulsar. https://t.co/yaxWBNLu4D

— Kevin Beaumont ‍♀️ (@GossiTheDog) April 14, 2019

This is pretty interesting: https://t.co/0jcboffksK

— Joe Slowik (@jfslowik) April 24, 2019

在现有的方法中，在没有接触任何套接字的情况下，通过已经绑定的端口监听网络流量并没有很好地实现，所以未来对这方面将深入研究。

“虽然系统中可能能利用通用内联挂钩实现类似效果，但相比之下SMBdoor更为独特，因为它隐藏了SMB的正常核心功能。Dillon说：“这是一种罕见的情况，需要自定义代码来检测。”

许多研究人员希望他在SMBdoor上的研究能够促进安全软件的改进，为Windows用户提供更好的保护，防范SMBdoor，DoublePulsar和DarkPulsar等威胁。

Dillon在分析NSA恶意软件方面在同行中是很出名的。在此之前，他改造了EternalChampion、EternalRomance和EternalSynergy NSA漏洞，可攻击所有Windows版本;并移植DoublePulsar恶意软件用于基于Windows的IOT设备;还改造EternalBlue SMB漏洞（WannaCry和NotPetya勒索软件使用的漏洞利用）用于Windows 10的现代版本。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/security-researcher-creates-new-backdoor-inspired-by-leaked-nsa-malware/