Onderzoeker biedt tool om malware te verbergen in .Net

Een computerbeveiligingsonderzoeker heeft een bijgewerkte tool uitgebracht die de plaatsing van moeilijk te detecteren kwaadaardige software in Microsoft's.Net-framework op Windows-computers kan vereenvoudigen.

De tool, genaamd.Net-Sploit 1.0, maakt het mogelijk voor de aanpassing van.Net, een softwareprogramma dat op de meeste Windows-computers is geïnstalleerd en waarmee de computers bepaalde soorten toepassingen kunnen uitvoeren.

Microsoft maakt een reeks ontwikkelaarstools voor programmeurs om applicaties te schrijven die compatibel zijn met het framework. Het biedt ontwikkelaars het voordeel van het schrijven van programma's in verschillende hoogstaande talen die allemaal op een pc worden uitgevoerd.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

.Net-Sploit maakt het voor een hacker mogelijk om het.Net-framework aanpassen op bepaalde machines, kwaadaardige software in rootkit-stijl invoegen op een plaats die niet wordt beïnvloed door beveiligingssoftware en waar weinig beveiligingsmedewerkers zouden denken te kijken, zei Erez Metula, de software-beveiligingsingenieur voor 2BSecure die de tool schreef.

"Je zult versteld staan ​​hoe gemakkelijk het is om een ​​aanval uit te voeren", zei Metula tijdens een presentatie op de Black Hat-beveiligingsconferentie in Amsterdam op vrijdag.

.Net-Sploit laat een aanvaller in wezen een legitiem stuk code vervangen binnen.Net met een kwaadwillende. Aangezien sommige toepassingen afhankelijk zijn van delen van het.Net-framework om te kunnen worden uitgevoerd, betekent dit dat de malware de functie van veel toepassingen kan beïnvloeden.

Een toepassing met een verificatiemechanisme kan bijvoorbeeld worden aangevallen als het gekraakte.Net-framework wordt gebruikt waren om gebruikersnamen en wachtwoorden te onderscheppen en ze naar een server op afstand te sturen, zei Metula.

.Net-Sploit automatiseert enkele van de lastige coderingstaken die nodig zijn om het framework te corrumperen, waardoor de ontwikkeling van een aanval wordt versneld. Het kan bijvoorbeeld helpen een relevante DLL (dynamic link library) uit het framework te halen en de kwaadwillende DLL te implementeren.

Het kan mogelijk worden misbruikt door malafide systeembeheerders, die hun toegangsrechten kunnen misbruiken om zogenaamde backdoors in te zetten "of malware dan externe toegang mogelijk maakt, zei Metula.

Het Microsoft Security Response Center werd in september 2008 op de hoogte gebracht van het probleem. De positie van het bedrijf is dat een aanvaller al controle over een pc zou moeten hebben, er is geen kwetsbaarheid in.Net. Het lijkt er niet op dat Microsoft van plan is om een ​​oplossing voor de korte termijn te geven.

Ten minste één officiële Microsoft-medewerker praatte met Metula na zijn presentatie en verdedigde de positie van het bedrijf. Metula zei dat hij het probleem ook niet als een kwetsbaarheid, maar als een zwak punt beschouwt, hoewel Microsoft dit wel eens zou kunnen doen om een ​​dergelijke aanval moeilijker te maken.

"Geen kogelvrije oplossing zal dit oplossen," zei Metula.

Bovendien zouden beveiligingsleveranciers hun software moeten upgraden om te kunnen knoeien met het.Net-framework, zei Metula … Net is niet het enige toepassingskader dat kwetsbaar is voor de aanval, omdat variaties ook kunnen worden toegepast op andere toepassingskaders, zoals de Java Virtual Machine (JVM) gebruikt voor het uitvoeren van programma's die zijn geschreven in Java.

Metula heeft een white paper gepubliceerd over de techniek en de nieuwste versie van.Net-Sploit.