Forsker tilbyr verktøy for å skjule skadelig programvare i. Net

En datasikkerhetsforsker har gitt ut et oppgradert verktøy som kan forenkle plasseringen av vanskelig å oppdage skadelig programvare i Microsofts.Net-rammeverk på Windows-datamaskiner.

Verktøyet kalles.Net-Sploit 1.0, tillater for modifikasjon av.Net, et program installert på de fleste Windows-maskiner som gjør det mulig for datamaskiner å utføre visse typer applikasjoner.

Microsoft lager en serie utviklerverktøy for programmerere til å skrive programmer som er kompatible med rammen. Det gir utviklere fordelene med å skrive programmer på flere forskjellige språk på høyt nivå som alle vil kjøre på en PC.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

.Net-Sploit tillater hacker å endre. Net-rammeverket på målrettede maskiner, setter inn ondsinnet programvare i rootkit-stil på et sted som er uberørt av sikkerhetsprogramvaren, og hvor få sikkerhetsfolk vil synes å se, sa Erez Metula, programvare sikkerhetsingeniør for 2BSecure som skrev verktøyet.

"Du vil bli overrasket over hvor enkelt det er å utarbeide et angrep," sa Metula under en presentasjon på Black Hat-sikkerhetskonferansen i Amsterdam på fredag.

.Net-Sploit lar i hovedsak en angriper erstatte et legitimt kodeks innenfor.Net med en ondsinnet. Siden noen applikasjoner er avhengige av deler av.Net-rammen for å kunne kjøre, betyr det at malware kan påvirke funksjonen til mange applikasjoner.

For eksempel kan et program som har en godkjenningsmekanisme bli angrepet dersom den manipulerte. Net-rammen skulle avskjære brukernavn og passord og sende dem til en ekstern server, sier Metula.

.Net-Sploit automatiserer noen av de vanskelige kodingsoppgaver som er nødvendige for å ødelegge rammen, og fremskynde utviklingen av et angrep. For eksempel kan det bidra til å trekke et relevant DLL-bibliotek (dynamisk koblingsbibliotek) fra rammen og distribuere den ondsinnede DLL.

Metula sa at en angriper allerede skulle ha kontroll over en maskin før han kunne bruke verktøyet. Fordelen med å ødelegge. Net-rammen er at en angriper lenge kunne opprettholde kontroll over maskinen.

Det kan potensielt bli misbrukt av rogue systemadministratorer, som kunne misbruke deres tilgangsrettigheter til å distribuere såkalte "bakdører" "eller skadelig programvare enn muliggjør ekstern tilgang, sa Metula.

Microsoft Security Response Center ble varslet om problemet i september 2008. Selskapets posisjon er at siden en angriper allerede må ha kontroll over en PC, er det ikke en sårbarhet i.Net. Det ser ikke ut til at Microsoft har noen planer om å utstede en kortsiktig løsning.

Minst en Microsoft-offiser snakket med Metula etter presentasjonen, og forsvarer selskapets posisjon. Metula sa at han ikke anser problemet som et sårbarhet, men heller en svakhet, om enn en som Microsoft kunne ta tiltak for å gjøre et slikt angrep vanskeligere.

"Ingen kuletett løsning vil fikse det," sa Metula. Sikkerhetsleverandører bør også oppgradere programvaren deres for å oppdage manipulering med. Net-rammen, Metula sa … Net er ikke det eneste applikasjonsrammeverket som er sårbart for angrepet, da variasjoner også kunne brukes på andre applikasjonsrammer, slik som Java Virtual Machine (JVM) brukes til å kjøre programmer skrevet i Java.

Metula har utgitt et vitbok om teknikken, samt den nyeste versjonen av.Net-Sploit.