Экспериментальный «невидимый» бэкдор создан по образу шпионского ПО АНБ

Шон Диллон (Sean Dillon), исследователь кибербезопасности из фирмы RiskSence, сообщил о создании вредоносного ПО SMBdoor, относящегося к категории бэкдоров – программ, открывающих несанкционированный доступ в заражённую ими систему.

SMBdoor замаскирован под драйвер ядра Windows, после установки использует недокументированные возможности API в процессе srvnet.sys и регистрирует себя обработчиком соединений SMB (Server Message Block).

Это концептуальное ПО не привязывается к каким-либо локальным сокетам и открытым портам, не подключается к имеющимся функциям, оставаясь практически необнаружимым для многих антивирусных систем.

Примером для автора SMBdoor служили вредоносные импланты DoublePulsar и DarkPulsar, созданные в АНБ и обнародованные печально знаменитой группой хакеров Shadow Brokers в начале 2017 г.

В отличие от этих программ, экспериментальный бэкдор Диллона имеет ряд ограничений, препятствующих использованию его в преступных целях. Обойти их в принципе можно, сообщает исследователь, но цель не будет оправдывать затраченных усилий.

Автор рассчитывает, что его «невидимая» программа вызовет интерес в академической среде и у производителей средств обнаружения вторжений, позволив улучшить безопасность пользователей Windows благодаря более эффективному детектированию угроз SMBdoor, DoublePulsar и DarkPulsar.