Researcher bietet Tool zum Ausblenden von Malware in .Net

Ein Computer-Sicherheitsforscher hat ein aktualisiertes Tool veröffentlicht, das die Platzierung von schwer zu erkennender bösartiger Software im Microsoft.NET-Framework auf Windows-Computern vereinfachen kann.

Das Tool namens.Net-Sploit 1.0 ermöglicht zum Modifizieren von.Net, einer Software, die auf den meisten Windows-Rechnern installiert ist und es den Computern ermöglicht, bestimmte Arten von Anwendungen auszuführen.

Microsoft stellt eine Reihe von Entwicklertools für Programmierer zur Verfügung, um mit dem Framework kompatible Anwendungen zu schreiben. Es bietet Entwicklern den Vorteil, Programme in mehreren verschiedenen Hochsprachen zu schreiben, die alle auf einem PC laufen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

.Net-Sploit erlaubt es einem Hacker Ändern Sie das.Net-Framework auf den Zielmaschinen, indem Sie bösartige Software im Rootkit-Stil an einer von Sicherheitssoftware unberührten Stelle einfügen, an der nur wenige Sicherheitsleute denken würden, sagte Erez Metula, Software-Sicherheitsingenieur für 2BSecure, der das Tool geschrieben hat.

"Sie werden erstaunt sein, wie einfach es ist, einen Angriff zu planen", sagte Metula während einer Präsentation bei der Sicherheitskonferenz Black Hat in Amsterdam am Freitag.

.net-Sploit lässt einen Angreifer im Wesentlichen einen legitimen Code ersetzen in.Net mit einem bösartigen. Da einige Anwendungen von Teilen des.Net-Frameworks abhängig sind, um ausgeführt zu werden, bedeutet dies, dass die Malware die Funktion vieler Anwendungen beeinflussen kann.

Zum Beispiel könnte eine Anwendung mit einem Authentifizierungsmechanismus angegriffen werden, wenn das manipulierte.Net-Framework Sie sollten Benutzernamen und Passwörter abfangen und sie an einen Remote-Server senden, so Metula.

.Net-Sploit automatisiert einige der mühsamen Programmieraufgaben, die notwendig sind, um das Framework zu korrumpieren und die Entwicklung eines Angriffs zu beschleunigen. Zum Beispiel kann es helfen, eine relevante DLL (Dynamic Link Library) aus dem Framework zu ziehen und die bösartige DLL zu implementieren.

Metula sagte, dass ein Angreifer bereits die Kontrolle über eine Maschine haben müsste, bevor sein Werkzeug verwendet werden könnte. Der Vorteil der Korruption des.Net-Frameworks besteht darin, dass ein Angreifer heimlich die Kontrolle über die Maschine für lange Zeit behalten kann.

Er könnte möglicherweise von bösartigen Systemadministratoren missbraucht werden, die ihre Zugriffsrechte für die Bereitstellung sogenannter "Hintertüren" missbrauchen könnten "Malware, die Remote-Zugriff ermöglicht", sagte Metula.

Das Microsoft Security Response Center wurde im September 2008 über das Problem informiert. Da ein Angreifer bereits die Kontrolle über einen PC haben müsste, gibt es keine Schwachstelle in.Net. Es scheint nicht, dass Microsoft plant, eine kurzfristige Lösung zu veröffentlichen.

Mindestens ein Microsoft-Offizieller plauderte nach seiner Präsentation mit Metula und verteidigte die Position des Unternehmens. Metula sagte, dass er das Problem nicht als Schwachstelle ansehe, sondern als Schwäche, obwohl Microsoft Maßnahmen ergreifen könnte, um einen solchen Angriff zu erschweren.

"Keine kugelsichere Lösung wird das Problem lösen", sagte Metula.

Außerdem sollten Sicherheitsanbieter ihre Software aufrüsten, um Manipulationen am.Net-Framework zu entdecken, sagte Metula. Net ist nicht das einzige Anwendungsframework, das für den Angriff anfällig ist, da Variationen auch auf andere Anwendungsframeworks, wie z Java Virtual Machine (JVM) zum Ausführen von in Java geschriebenen Programmen.

Metula hat ein White Paper zur Technik sowie zur neuesten Version von.Net-Sploit veröffentlicht.