黑客工具可将恶意软件隐藏于.Net框架

　　一位电脑安全研究人员发布了一款升级工具，它可以轻易地在微软Windows的.Net框架里安装难以被察觉的恶意软件。

　　该工具名为.Net-Sploit 1.0，可以用来修改.Net框架，后者是安装在Windows机器上用来执行特定类型程序的软件，微软提供了一整套开发工具供程序员来编写兼容该框架的应用程序。

　　据该软件的作者，2BSecure的软件安全工程师Erez Metula称，.Net-Sploit允许黑客修改目标机器上的.Net框架，并在安全软件没有触及、安全人员也不注意的位置，植入rootkit类的恶意软件。

　　上周五在阿姆斯特丹举行的黑帽安全会议上，Metula在报告中说道：“你会对它发起攻击行为的简单程度感到惊讶。”

　　.Net-Sploit可以让黑客使用恶意代码取代.Net框架中的合法代码。当一些依赖于.Net框架的程序运行后，恶意软件可以影响到这些程序的功能。

　　例如，某个应用程序具有身份认证机制，一旦被攻击之后，.Net框架能自动拦截用户名和密码，并发送到远程服务器中。

　　.Net-Sploit还能自动执行一些攻破该框架所必需的耗费精力的代码任务，使得攻击的速度加快，例如，它可以感染到.Net框架相关的DLL，从而部署恶意的DLL。

　　Metula指出，在使用该工具之前，黑客必须首先要取得对目标机器的控制，之后利用被修改的.Net框架，攻击者可以秘密地控制这台机器很长一段时间而可能不会被察觉。

　　Metula说该工具最有可能被一些品行不端的系统管理员所滥用，这些管理员可能会滥用其访问权限去部署“后门”或恶意软件。

　　微软安全响应中心早在2008年9月已被告知该问题的存在。然而，微软的立场是，既然黑客发起攻击前需要事先获得控制权，这就说明不是.Net存在漏洞。没有任何迹象表明微软近期有计划解决该问题。

　　Metula也承认该问题应该算一个弱点而非一个安全漏洞。尽管微软可能会采取措施，使这种攻击变得更加困难，但是Metula说“不存在可以修复该问题的解决方案”。

　　此外，Metula表示为了查明.Net框架中被篡改的情况安全厂商，应该升级他们的软件。.Net并不是唯一一个容易受到攻击的应用框架，其他应用框架如JVM(Java虚拟机)也一样。

　　除了最新版本的.Net-Sploit，Metula还发表了一份关于该技术的白皮书。