O tym, jak backdoor NSA miał dbać o prawidłową pracę oprogramowania Huawei
Laptopy Huawei Matebook, wyposażone w narzędzie PCManager, zawierały sterownik, który pozwalał nieuprzywilejowanym użytkownikom tworzyć procesy z uprawnieniami superużytkownika. Co prawda zagrożenie zostało już usunięte, ale jego historia jest niezwykle ciekawa.
Niezabezpieczony sterownik odkrył Microsoft, korzystając z funkcji monitorowania w systemie Windows 10 w wersji 1809. Chodzi konkretnie o usługę Advanced Threat Protection (ATP).
Huawei załatał lukę i opublikował bezpieczną wersję na początku stycznia. Stąd osoby korzystające z ich komputerów nie powinny mieć powodów do obaw. Oczywiście pod warunkiem, że narzędzie PCManager jest zaktualizowane, lub zostało kompletnie usunięte. Tym niemniej, jak już zostało wspomniane, w tej historii istotny jest nie efekt, lecz sposób jego uzyskania.
Usługa ATP, w odróżnieniu od większości oprogramowania zabezpieczającego, nie opiera się wyłącznie na analizie sygnatur. Wykorzystuje również technikę analizy heurystycznej, szukając potencjalnie szkodliwych zachowań. Nawet jeśli nie zidentyfikuje żadnego konkretnego malware'u. Co więcej, sam system Windows także bierze udział w tym procesie i raportuje podejrzane działania do chmury. Algorytmy oparte na uczeniu maszynowym wykrywają anomalie w raportach.
Dziękujemy Ci, NSA
Windows 10 w wersji 1809 został przystosowany do wykrywania backdoorów typu Doublepulsar. Co ciekawe, jest to forma malware'u przygotowana przez Narodową Agencję Bezpieczeństwa (NSA – od ang. National Security Agency). Tyle że kod rządowego backdoora w pewnym momencie wyciekł i trafił w ręce internetowych szkodników.
Doublepulsar umożliwia uruchomienie dowolnego kodu w trybie uprzywilejowanym, z poziomu procesu atakowanego sterownika. Kod jest kopiowany do pamięci uprzywilejowanego procesu, który już działa, a następnie wykonywany poprzez manipulację żądaniami przerwania. Mówiąc bardziej obrazowo, szkodliwa instrukcja zostaje wstawiona pomiędzy domyślne instrukcje danego programu.
Wymaga to dwóch operacji, które można wykryć: alokacji pamięci w działającym procesie i wysłania odpowiedniego żądania. Osobno nie są to działania szkodliwe, ale użyte razem, wskazują na atak techniką Doublepulsar. Windows 10 w wersji 1809 wykrywa takie przypadki.
Backdoor jako strażnik
Huawei natomiast postanowił wykorzystać rozwiązanie NSA w roli swoistego strażnika. Sterownik monitorował regularną usługę PCManagera, uruchamiając ją ponownie w przypadku, gdy ulegała awarii albo przestawała działać. Jak nietrudno się domyślić, celem wykonania restartu posłużono się kodem Doublepulsar. Tak, aby sprawnie wstrzyknąć uprzywilejowany proces, bez względu na uprawnienia użytkownika. Producent nie umieścił żadnego malware'u, co potwierdza Microsoft, jednak w niedostateczny sposób zabezpieczył narzędzie przed crackerami.
Udowodniono, że inny proces mógł przejąć kontrolę nad mechanizmem nadzorcy sterownika Huawei i wykorzystać go do ataku z pełnymi uprawnieniami. Ponadto, odkryto intrygującą zdolność sterownika Huawei do mapowania pamięci fizycznej z uprawnieniami zarówno do odczytu, jak i zapisu.