黑客工具可將惡意軟件隱藏于.Net框架

    一位電腦安全研究人員發(fā)布了一款升級工具，它可以輕易地在微軟Windows的.Net框架里安裝難以被察覺的惡意軟件。

    該工具名為.Net-Sploit 1.0，可以用來修改.Net框架，后者是安裝在Windows機器上用來執(zhí)行特定類型程序的軟件，微軟提供了一整套開發(fā)工具供程序員來編寫兼容該框架的應(yīng)用程序。

    據(jù)該軟件的作者，2BSecure的軟件安全工程師Erez Metula稱，.Net-Sploit允許黑客修改目標(biāo)機器上的.Net框架，并在安全軟件沒有觸及、安全人員也不注意的位置，植入rootkit類的惡意軟件。

    上周五在阿姆斯特丹舉行的黑帽安全會議上，Metula在報告中說道：“你會對它發(fā)起攻擊行為的簡單程度感到驚訝�！�

    .Net-Sploit可以讓黑客使用惡意代碼取代.Net框架中的合法代碼。當(dāng)一些依賴于.Net框架的程序運行后，惡意軟件可以影響到這些程序的功能。

    例如，某個應(yīng)用程序具有身份認(rèn)證機制，一旦被攻擊之后，.Net框架能自動攔截用戶名和密碼，并發(fā)送到遠(yuǎn)程服務(wù)器中。

    .Net-Sploit還能自動執(zhí)行一些攻破該框架所必需的耗費精力的代碼任務(wù)，使得攻擊的速度加快，例如，它可以感染到.Net框架相關(guān)的DLL，從而部署惡意的DLL。

    Metula指出，在使用該工具之前，黑客必須首先要取得對目標(biāo)機器的控制，之后利用被修改的.Net框架，攻擊者可以秘密地控制這臺機器很長一段時間而可能不會被察覺。

    Metula說該工具最有可能被一些品行不端的系統(tǒng)管理員所濫用，這些管理員可能會濫用其訪問權(quán)限去部署“后門”或惡意軟件。

    微軟安全響應(yīng)中心早在2008年9月已被告知該問題的存在。然而，微軟的立場是，既然黑客發(fā)起攻擊前需要事先獲得控制權(quán)，這就說明不是.Net存在漏洞。沒有任何跡象表明微軟近期有計劃解決該問題。

    Metula也承認(rèn)該問題應(yīng)該算一個弱點而非一個安全漏洞。盡管微軟可能會采取措施，使這種攻擊變得更加困難，但是Metula說“不存在可以修復(fù)該問題的解決方案”。

    此外，Metula表示為了查明.Net框架中被篡改的情況安全廠商，應(yīng)該升級他們的軟件。.Net并不是唯一一個容易受到攻擊的應(yīng)用框架，其他應(yīng)用框架如JVM(Java虛擬機)也一樣。

    除了最新版本的.Net-Sploit，Metula還發(fā)表了一份關(guān)于該技術(shù)的白皮書。