Peneliti Menawarkan Alat untuk Menyembunyikan Malware di .Net

Peneliti keamanan komputer telah merilis alat yang ditingkatkan yang dapat menyederhanakan penempatan perangkat lunak berbahaya yang sulit dideteksi dalam kerangka Microsoft.Net pada komputer Windows.

Alat, yang disebut.Net-Sploit 1.0, memungkinkan untuk modifikasi.Net, perangkat lunak yang diinstal pada sebagian besar mesin Windows yang memungkinkan komputer menjalankan jenis aplikasi tertentu.

Microsoft membuat seperangkat alat pengembang untuk pemrogram untuk menulis aplikasi yang kompatibel dengan framework. Ini menawarkan kepada pengembang keuntungan dari menulis program dalam beberapa bahasa tingkat tinggi yang semuanya akan berjalan di PC.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

.Net-Sploit memungkinkan seorang peretas untuk memodifikasi kerangka. Bersih pada mesin yang ditargetkan, memasukkan perangkat lunak berbahaya ala rootkit di tempat yang tidak tersentuh oleh perangkat lunak keamanan dan di mana beberapa orang keamanan akan berpikir untuk melihat, kata Erez Metula, insinyur keamanan perangkat lunak untuk 2BSecure yang menulis alat.

"Anda akan kagum pada betapa mudahnya menyusun serangan," kata Metula saat presentasi di konferensi keamanan Black Hat di Amsterdam, Jumat.

.Net-Sploit pada dasarnya memungkinkan penyerang mengganti potongan kode yang sah dalam.Net dengan yang jahat. Karena beberapa aplikasi bergantung pada bagian dari framework.Net untuk menjalankannya, itu berarti malware dapat mempengaruhi fungsi banyak aplikasi.

Sebagai contoh, aplikasi yang memiliki mekanisme otentikasi dapat diserang jika kerangka Net rusak. adalah untuk mencegat nama pengguna dan kata sandi dan mengirimnya ke server jarak jauh, kata Metula.

.Net-Sploit mengotomatiskan beberapa tugas pengkodean yang sulit yang diperlukan untuk merusak kerangka kerja, mempercepat pengembangan serangan. Sebagai contoh, dapat membantu menarik DLL terkait (dynamic link library) dari framework dan menyebarkan DLL jahat.

Metula mengatakan bahwa seorang penyerang sudah harus memiliki kontrol mesin sebelum alatnya dapat digunakan. Keuntungan dari merusak kerangka. Bersih adalah bahwa penyerang dapat secara diam-diam mempertahankan kendali atas mesin untuk waktu yang lama.

Ini berpotensi disalahgunakan oleh administrator sistem nakal, yang dapat menyalahgunakan hak akses mereka untuk menyebarkan apa yang disebut "backdoors" "Atau malware daripada mengaktifkan akses jarak jauh, kata Metula.

Pusat Respons Keamanan Microsoft diberitahu tentang masalah ini pada September 2008. Posisi perusahaan adalah karena penyerang sudah harus memiliki kendali atas PC, tidak ada kerentanan dalam.Net. Tampaknya Microsoft tidak memiliki rencana untuk mengeluarkan perbaikan jangka pendek.

Setidaknya satu pejabat Microsoft berbincang dengan Metula setelah presentasinya, membela posisi perusahaan. Metula mengatakan dia juga tidak menganggap masalah sebagai kelemahan, tetapi lebih merupakan kelemahan, meskipun Microsoft dapat mengambil langkah-langkah untuk membuat serangan semacam itu lebih sulit.

"Tidak ada solusi antipeluru akan memperbaikinya," kata Metula.

Juga, vendor keamanan harus meng-upgrade perangkat lunak mereka untuk mendeteksi gangguan dengan kerangka Net., Metula mengatakan … Net bukan satu-satunya kerangka kerja aplikasi yang rentan terhadap serangan, karena variasi juga bisa diterapkan pada kerangka kerja aplikasi lainnya, seperti Java Virtual Machine (JVM) digunakan untuk menjalankan program yang ditulis di Java.

Metula telah menerbitkan kertas putih pada teknik serta versi terbaru.Net-Sploit.