В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера. Другие варианты кернелмодных рукитов пока так же останутся без внимания, однако изложенные ниже принципы могут быть использованы, я думаю, во всех возможных случаях.
Известные антируткиты ищут модифицированный код, скрытые структуры данных и т.п. По этим косвенным признакам делаются выводы о наличии в системе скрытого драйвера. Последние находки в дикой природе показали нестойкость такого подхода. Например ascesso попросту удаляет файл и таким образом разбор структур NTFS остаётся не у дел. Так же ходят байки о недетектируемых новых версиях Rustock C & D (хотя лично я не считаю их ничем более, поскольку Rustock на самом деле имел не буквенную, а цифровую нумерацию версий).
Не хочу уводить разговор в сторону недетектируемых существующими инструментами хуков, но всё же попробую показать, что распространённый подход не безупречен и в теории. Существует понятие "наблюдаемое поведение программы" (или "побочный эффект"). Это то, что видит пользователь как результат работы программы. В случае руткита наблюдаемым поведением будет скрытие объектов. А хуки\патчи и весь остальной 0day код руткита — это всего-лишь средства для достижения результата. Как следсивие мы имеем 2 проблемы: хуки могут быть установлены не для скрытия; один и тоже побочный эффект может быть достигнут разными путями, если инструмент не позволяет анализировать их все, то это останется незамеченным.
Если детектировать руткит по его наблюдаемому поведению, этих проблем можно избежать. У руткита оно, на первый взгляд, такое:
1. драёвер загружается, в этот момент он видим в системе;
2. драйвер каким-то образом делает себя невидимым в системе.
Делать подобный анализ программным образом довольно сложно, требуется эмуляция или песочница. А главный недостаток — когда руткит себя скрыл, его можно и "потерять".
Но можно сделать несколько проще, если вспомнить, что руткит на самом деле запускается "в цикле":
1. составляем список видимых драйверов в системе;
2. фильтруем по этому списку после ребута системы;
Что бы это беспроблемно заработало на самом деле, нужно учесть еще некоторые нюансы, но впринципе уже можно попробовать http://files.rsdn.ru/45067/zenadriver.0.25.src.rar
Исходники (только для MSVC2005) открыты, ИМХО пора уже выходить из каменного века — в security, о котрой пишет Шнайер, принято использовать публичные и как следует отпинанные обществом алгоритмы защиты.
Если кто-то решится запускать — перед этим лучше отключить все аппаратные звуковые устройсва в дистпетчере, иначе будут проблемы с эксплорером из-за карантина легитатимных драйверов, но всё должно решаться ребутом или восстановлением контрольной точки.
Ну а кавычки в теме — в память об ADinf
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Re: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
11.11.07 12:06
Оценка:
GN>1. драёвер загружается, в этот момент он видим в системе;
Руткит может грузить до нас. Более того — скажу по секрету уже довольно обкатана технология патча ntoskrnl.exe GN>2. драйвер каким-то образом делает себя невидимым в системе.
Кстати, про rootkit revealer тут все надеюсь слышали?
Re: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
11.11.07 12:39
Оценка:
добавлю еще способ более красивого детекта: делается Boot-cd под линухой, который монтирует и снимает снимки NTFS разделов и реестра (дада, самба уже давно умеет с ним работать). После чего делаются аналогичные действия из под винды и diff между снимками.
здесь на сходную тему доклад Symantec. Но это еще больше телодвижений, я пытаюсь автоматизировать процесс. Вообще ИМХО вариант подобного должен присутствовать непосредственно в ОС и в некотором роде есть в Висте.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, <Аноним>, Вы писали:
А>Руткит может грузить до нас.
Да много кто может, я не отрицаю... Когда увижу, поверю, что это реально используется.
А>Более того — скажу по секрету уже довольно обкатана технология патча ntoskrnl.exe
Как раз собираюсь добавить проверку подписей.
А>Кстати, про rootkit revealer тут все надеюсь слышали?
Это к чему?
Лучше сделай благое дело в обмен на сорцы — напиши, детектит ли тебя
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Re[3]: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
11.11.07 13:44
Оценка:
А>>Кстати, про rootkit revealer тут все надеюсь слышали? GN>Это к чему?
Ну просто прога есть примерно такого же назначение от Руссиновича, правда она вроде такого не делает с загрузкой винды.. малоли..
GN>Лучше сделай благое дело в обмен на сорцы — напиши, детектит ли тебя
А я в лагере "хороших"
Да, действительно используется похожий на RootkitRevealer принцип. Есть один нюанс — у меня сравнение идет с системойй где руткит еще не активен. Поэтому пока работает.
А>А я в лагере "хороших"
"Когда в Поднебесной все узнали, что такое прекрасное, тогда и появилось безобразное"
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
А>Руткит может грузить до нас. Более того — скажу по секрету уже довольно обкатана технология патча ntoskrnl.exe
Это очень легко обнаружить.
А>Кстати, про rootkit revealer тут все надеюсь слышали?
Не самая сильная программка в этом смысле...
А как данный подход различает динамически выгружаемые драйвера и рк? У меня сложилось впечатление, что данный подход будет хорошо работать только в антивирусной лаборатории, обычных пользователей — замучает .
По поводу кода:
немножко не хватает комментов , тем более, что плюсовый код несколько отличается от традиционного "ддкашного" стиля.
Да пребудет с тобою сила
Re[3]: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
12.11.07 09:26
Оценка:
А>>Руткит может грузить до нас. Более того — скажу по секрету уже довольно обкатана технология патча ntoskrnl.exe DOO>Это очень легко обнаружить.
это если руткит не подсовывает драйверам при обращению к файлам и страницам памяти оригинальный ntoskrnl
Здравствуйте, Аноним, Вы писали:
А>>>Руткит может грузить до нас. Более того — скажу по секрету уже довольно обкатана технология патча ntoskrnl.exe DOO>>Это очень легко обнаружить. А>это если руткит не подсовывает драйверам при обращению к файлам и страницам памяти оригинальный ntoskrnl
Хм... О такой изощренности я как-то и не подумал...
Re[3]: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
12.11.07 11:33
Оценка:
GN>здесь на сходную тему доклад Symantec. Но это еще больше телодвижений, я пытаюсь автоматизировать процесс. Вообще ИМХО вариант подобного должен присутствовать непосредственно в ОС и в некотором роде есть в Висте.
Просто фишка в том что загрузчик ОС сам по себе может быть заменен руткитом даже в бут секторе винта. И выступать супервизором при последующей загрузки висты или чего угодно еще даже не особо заботясь об этой системе — не юзая ее апи и тп — тихонько зашиться в последней странице памяти, спрятать ее от известнх способов определения объема памяти на уровне железа, навесить свой обработчик на сетевую карту "завиртуализовов" ее таким образом. Свой tcp/ip стек и вуаля.
А>Просто фишка в том что загрузчик ОС сам по себе может быть заменен руткитом даже в бут секторе винта. И выступать супервизором при последующей загрузки висты или чего угодно еще даже не особо заботясь об этой системе — не юзая ее апи и тп — тихонько зашиться в последней странице памяти, спрятать ее от известнх способов определения объема памяти на уровне железа, навесить свой обработчик на сетевую карту "завиртуализовов" ее таким образом. Свой tcp/ip стек и вуаля.
Бут сектор это не самый интересный метод... Вот зашиться в firmware винта или какой-нибудь PnP-шной карточки — это да
Именно поэтому все руководящие документы по ИБ требуют наличие системы контроля целостности, которая активизируется раньше ОС и контролирует все, в том числе firmware. Ну и во многих конторах на рабочие места администраторов ставятся "электронные замки".
DOO>Бут сектор это не самый интересный метод... Вот зашиться в firmware винта или какой-нибудь PnP-шной карточки — это да
Запросто. Но на материнках бывает делается аппаратный переключатель защиты FLASH ROM, а видюху и веник можно поставитьк акую нить экстремально неизвестную, или опять же аппаратно ограничить возможность перезаписи флэш
DOO>Именно поэтому все руководящие документы по ИБ требуют наличие системы контроля целостности, которая активизируется раньше ОС и контролирует все, в том числе firmware.
Вопрос только в том как эта система контроля целостности отличит загрузчик ос от руткита
Единственное — подписать его сертификатом который наглухо зашит в железо. И даже не в FLASH, а в неперепереписываемое ПЗУ.
Вот вам документик о том как ломали X-Box, дабы лишить веры в непогр.. невзламываемость аппаратных решений) http://web.mit.edu/bunnie/www/proj/anatak/AIM-2002-008.pdf
Здравствуйте, TarasCo, Вы писали:
TC>А как данный подход различает динамически выгружаемые драйвера и рк?
Пока никак (и это основная проблема, поскольку сюда попадаю некоторые звуковые драйвера). Часть файлов виндовс сама восстановит, остальные руками (но можно подумать об автоматизации). Я думаю для начала проверки подписей должно хватить, что бы не удалять такие драйвера, а потом оценить процент проблемных.
TC>У меня сложилось впечатление, что данный подход будет хорошо работать только в антивирусной лаборатории, обычных пользователей — замучает .
В общем то да, но с другой стороны запускается это однократно, в отличие от запросов проактивки, хотя возможно постоянный запуск драйвера и реализация настраеваемого фильтра была бы даже лучше. И некоторые пользователи идут в интернет где им объясняют как и что запускать, другими антируткитами не проще пользоваться на мой взгляд. Да и наверняка система глючит и так когда там 5 руткитов наставят.
TC>По поводу кода: TC>немножко не хватает комментов , тем более, что плюсовый код несколько отличается от традиционного "ддкашного" стиля.
В библиотеке точно надо, но там непонятно, можно ли копировать из MSDN А сам детектор показывал коллеге — единственный вопрос который у него возник по сорцам "почему подписи не проверяются?" Да и шифровка это, хеккиры принципиально не знают о классах
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, DOOM, Вы писали:
DOO>Бут сектор это не самый интересный метод... Вот зашиться в firmware винта или какой-нибудь PnP-шной карточки — это да
Есть достаточно надёжные методы детекта исполняемого кода в памяти (включая Shadow Walker), AFAIK появится в RKTrap следующем. да и врядли такое найдёт применение в мэйнстриме, там скорее придумают какой-нибудь хитро*опый изврат.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Ну идея то как бы уже стара, причем реальизована в разных варианциях, в какой то степени это можно отнести и к AVZ(bootcleaner у них зовется это), при рестарте системы запускается дравер его и удаляет все плохое, в принипе это вариация того что ты написал, просто в твоем подходе постоянная проверка на загружаемость драйверов(в ходе ожного рестарта даже), а там проверили список, уидили что в списке есть того кого нада удалить , ну и удалили.
Одно время я хотел даже для себя написать такую же вещицу, просто сделать при старте каждого драйвера запрос, грузить или нет. Но руки так и не дошли до этого.
Да и кстати как быть с пропатченными дровами, кои сейчас есть, патчат и ядро и tcpip.sys.
Данный подход по сути часть общей системы, сюда по любому нужно добавить проверку по хеш функции, ну т.е. грузить только хорошие дрова.
ЗЫ: Вспомнил еще у анхакми есть некое подобие, он сравнивает список дров в реестре при рестарте и после рестрата, псравнивая эти списки получишь скрытые ветки реестра с дравами.
Только этот платный мегабайтный монстр практически бесполезен даже с прошлогодним rustock 1.2
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, Denwer, Вы писали:
D>в какой то степени это можно отнести и к AVZ(bootcleaner у них зовется это), при рестарте системы запускается дравер его и удаляет все плохое, в принипе это вариация того что ты написал, просто в твоем подходе постоянная проверка на загружаемость драйверов(в ходе ожного рестарта даже), а там проверили список, уидили что в списке есть того кого нада удалить , ну и удалили.
То есть они по блэк-листу фильтруют? Блэклисты вообще не надежный подход (так сделано и в combofix), поскольку можно просто поменять имя.
D>Одно время я хотел даже для себя написать такую же вещицу, просто сделать при старте каждого драйвера запрос, грузить или нет. Но руки так и не дошли до этого.
Запросы возможно тоже надо добавить будет, но по-моему идеально было бы — запустил и получил результат (пусть и после нескольких ребутов, но автоматически)
D>Да и кстати как быть с пропатченными дровами, кои сейчас есть, патчат и ядро и tcpip.sys. D>Данный подход по сути часть общей системы, сюда по любому нужно добавить проверку по хеш функции, ну т.е. грузить только хорошие дрова.
Подписи будут проверяться.
D>ЗЫ: Вспомнил еще у анхакми есть некое подобие, он сравнивает список дров в реестре при рестарте и после рестрата, псравнивая эти списки получишь скрытые ветки реестра с дравами.
Не детектит ascesso.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
GN>То есть они по блэк-листу фильтруют? Блэклисты вообще не надежный подход (так сделано и в combofix), поскольку можно просто поменять имя.
Ну блек лист по имени это канечто сомнительная фича, либо MD5(можно даже не на весь файл, а на кусок), либо простой сигнатурный движок.
А вообще по хорошему, антируткит технологии не очень спасают от всех вредителей кернел-моде. Мне так кажется что нужен антивирус с возможностями антируткита(например прямой доступ к NTFS, т.е. своя парсилка). И неплохобы сделать свою загрузочную ОС, и оттуда чекать. Ну при инсталляци АВ, сделатьл из основной ОС, вторую, урезанную. Вот только тут вопрос лицензии.
Здравствуйте, Denwer, Вы писали:
D>Мне так кажется что нужен антивирус с возможностями антируткита(например прямой доступ к NTFS, т.е. своя парсилка).
А много ли это даст? Современный уровень технологий позволяет генерировать уникальные штаммы на каждой машине, что сделает сигнатурный анализ бесполезным.
D> И неплохобы сделать свою загрузочную ОС, и оттуда чекать. Ну при инсталляци АВ, сделатьл из основной ОС, вторую, урезанную. Вот только тут вопрос лицензии.
По-моему, того же можно добиться заменив драйвер своим бутлоадером.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, Denwer, Вы писали:
D>Как вариант: пропатчили tcpip.sys
Это как peacomm один из последних? Ну, во-первых, целостность стандартного файла можно проверить, а во-вторых, даже если снимать нотификатор — я знаю еще как минимум 2 способа сделать аналогичное.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, gear nuke, Вы писали:
GN>Здравствуйте, Denwer, Вы писали:
D>>Как вариант: пропатчили tcpip.sys
GN>Это как peacomm один из последних? Ну, во-первых, целостность стандартного файла можно проверить, а во-вторых, даже если снимать нотификатор — я знаю еще как минимум 2 способа сделать аналогичное.
Вот уже минусы идеологии, тут не должно быть кто сколько знает, и кто сколько обезвредит, это же получается дело времени найти все твои хуки или нотификаторы.
Здравствуйте, Denwer, Вы писали:
D>Вот уже минусы идеологии, тут не должно быть кто сколько знает, и кто сколько обезвредит, это же получается дело времени найти все твои хуки или нотификаторы.
Это я не к тому, что переделка сразу обломит чайников, а к тому, что в эту сторону можно долго развивать атаку-защиту с переменным успехом. Впринципе это и не нужно. Меня больше беспокоит вопрос, достаточны ли мощности современных ботнетов для подбора SHA.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Здравствуйте, gear nuke, Вы писали:
GN>Меня больше беспокоит вопрос, достаточны ли мощности современных ботнетов для подбора SHA.
Так скажем слабым местом у ботнетов сейчас это сервера, не выдерживают нагрузок. Решение канечно существует, это распределенная сеть ботнет, без централизованного управления. Такая есть насколько мне известно в единичном экземпляре, достаточно сложна логика таких программ. Но это как раз следующий шаг ботнетов.
Здравствуйте, Denwer, Вы писали:
D>слабым местом у ботнетов сейчас это сервера, не выдерживают нагрузок.
В криптографии исходят из того, что атакующая сторона обладает всеми необходимыми техническими средствами. Если у кого-то и есть проблемы с сервером, это не значит, что так у всех, в сети достаточно примеров серверов выдерживающих на порядки большие нагрузки.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Re[2]: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
17.11.07 10:35
Оценка:
D>Кстати, а почему бы не сделать отдельный форум по компьютерной безопасности?
Da nifik on nujen. Chto, etogo malo?
Re: "Новый" подход к обнаружению руткитов
От:
Аноним
Дата:
20.11.07 16:03
Оценка:
В бинарнике zenadriver.sys бОльшая часть забита нулями.
Статический буфер?
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Ну и дальнейшее движение будет или нет ?
Алкогольный драйвер не ловит, а ведёт он себя похуже некоторых руткитов %)
Читается только из raw
Некоторые хидден дрова вроде не ловит, толком небыло желания копать.
Ложняки вот у меня
aec.sys
Cdaudio.SYS
DMusic.sys
Sfloppy.SYS
splitter.sys
swmidi.sys
Здравствуйте, lamogun, Вы писали:
L>Ну и дальнейшее движение будет или нет ? Алкогольный драйвер не ловит, а ведёт он себя похуже некоторых руткитов %)
Спасибо за интерес. здесь микроисправление, v0.26 ловит дрова, что не скрывают себя, но блокируют доступ к файлам, вроде runtime2.sys и, кстати, sptd.sys
L>Читается только из raw
То есть?
L>Некоторые хидден дрова вроде не ловит, толком небыло желания копать.
А можно сэмплы? А то немного расплывчатый багрепорт. Некоторые дрова действительно не ловятся, например, если малвара состоит из 2х дров и первый загружает 2й, то последний не будет задетекчен, т.к его некому будет грузить.
L>Ложняки вот у меня L>aec.sys L>Cdaudio.SYS L>DMusic.sys L>Sfloppy.SYS L>splitter.sys L>swmidi.sys
Это у всех (ОС обычно восстановает эти файлы). Здесь понятно, что следует делать проверку целостности, но мне немного сложнее, чем счастливым пользователям стандартных хидеров.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Пора, пора. Пора перестать сидеть админами на рабочих столах, и никаких руткитов не будет.
Пора перестать открывать спам из почты, особенно когда почтарь под админом запущен.
Пора перестать жать "Да" на пожелания вебсайтов установить софтины, ускоряющие все подряд, или там всякие GATORы и GAINы.
Это как минимум. Как максимум еще желателен регулярный Windows Update (многие вирусы пишутся уже после апдейта путем сравнения апдейтнутой DLL и старой, это сразу указывает на дыру в старой DLL), и сидение за NATом.
GN>В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера.
Да, совсем забыл. 64битная Виста — это новый уровень борьбы с кернеловскими руткитами, по всем известной причине.
ПиЭмша по этой группе фич — Дженнифер Степлер — мне лично на MVP Summitе говорила, что именно удушение малвари есть одна из главных причин введения всего этого. Борьба с кряками — вторая причина. Конечно, она сказала не все, из других источников — например, руководителей osr.com — стало известно, что все же главная причина это таки DRM для медийного контента, но то, что Дженнифер сказала — реально действует.
Здравствуйте, gear nuke, Вы писали:
GN>Спасибо за интерес. здесь микроисправление, v0.26 ловит дрова, что не скрывают себя, но блокируют доступ к файлам, вроде runtime2.sys и, кстати, sptd.sys
Я как раз об этом и говорил, в алкоголе sptd.sys жестоко прячет другой свой драйвер (название обычно начинается на букву a.....sys)
Антируткиты (и то не все) так-называемые могут только дамп снять с него и то дампится походу он некорректно. http://www.free-downloads.net/downloads/Alcohol_120_/
L>>Некоторые хидден дрова вроде не ловит, толком небыло желания копать.
GN>А можно сэмплы? А то немного расплывчатый багрепорт. Некоторые дрова действительно не ловятся, например, если малвара состоит из 2х дров и первый загружает 2й, то последний не будет задетекчен, т.к его некому будет грузить.
хз, как будут дам, обычно секретутки в конторах такое зверьё приносят, что часами потом выгребаешь во всей сети :D
Здравствуйте, Maxim S. Shatskih, Вы писали:
GN>>В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера.
MSS>Да, совсем забыл. 64битная Виста — это новый уровень борьбы с кернеловскими руткитами, по всем известной причине.
MSS>ПиЭмша по этой группе фич — Дженнифер Степлер — мне лично на MVP Summitе говорила, что именно удушение малвари есть одна из главных причин введения всего этого. Борьба с кряками — вторая причина. Конечно, она сказала не все, из других источников — например, руководителей osr.com — стало известно, что все же главная причина это таки DRM для медийного контента, но то, что Дженнифер сказала — реально действует.
хз-хз, AMD тоже раньше говорила что DEP спасёт мир от зловредов..
Здравствуйте, Maxim S. Shatskih, Вы писали:
GN>>В последнее время актуальность юзерлендных руткитов снизилась из-за практически гарантированного детекта, поэтому далее речь пойдёт о детектировании руткитов, использующих драйвера. MSS>Да, совсем забыл. 64битная Виста — это новый уровень борьбы с кернеловскими руткитами, по всем известной причине.
Интересно только, а насколько ядерные руткиты вообще актуальны? Все вирусные заражения, которые я только видел, вообще не использовали никакие схемы скрытия потоков.
Опять же, для серьезных малварей (которые не предназначены для тупой рассылки спама) никто не мешает сделать подписаный драйвер.
И я точно знаю из надежных источников, например, что можно в ядро в текущей Vista x64 зайти через дырку в каком-то стандартном драйвере.
C>Интересно только, а насколько ядерные руткиты вообще актуальны? Все вирусные заражения, которые я только видел, вообще не использовали никакие схемы скрытия потоков.
Я их видел очень мало, но таки +1.
Да, кстати, еще одна хорошая антируткитная мира — забутится с сидюка с антивирусом и просканить машину.
C>Опять же, для серьезных малварей (которые не предназначены для тупой рассылки спама) никто не мешает сделать подписаный драйвер.
...чтобы потом руководство компании-подписанта получило уголовное преследование?
C>И я точно знаю из надежных источников, например, что можно в ядро в текущей Vista x64 зайти через дырку в каком-то стандартном драйвере.
Через какую дырку, в каком драйвере, в каком IOCTLе. Сообщили бы, а я бы в микрософт отписал.
Вообще говоря, такая информация устаревает при следующем запуске Windows Update найдутся те, кто зайдут на хакерский сайт, почитают его, а потом отпишут в микрософт его содержимое.
Принципиальных проблем с уязвимостью ядра у виндов нет, как и у юниксов. Все такие проблемы лечатся крошечным патчами, как только авторы узнали о дырке.
L>хз-хз, AMD тоже раньше говорила что DEP спасёт мир от зловредов..
DEP разом закрывает кучу дыр, но все же не все.
Тут же речь идет о том, что для загрузки малвари в кернел нужно будет править ntoskrnl на диске, причем желательно еще до того, как кернел получит управление. Кстати, он вроде тоже цифровой подписью защищен.
Здравствуйте, Maxim S. Shatskih, Вы писали:
MSS>Да, кстати, еще одна хорошая антируткитная мира — забутится с сидюка с антивирусом и просканить машину.
Это вообще почти что TheUltimate мера.
C>>Опять же, для серьезных малварей (которые не предназначены для тупой рассылки спама) никто не мешает сделать подписаный драйвер. MSS>...чтобы потом руководство компании-подписанта получило уголовное преследование?
Ты же понимаешь, что если руткитами займется орг.преступность — то на такую мелочь им будет плевать. В крайнем случае, оформят компанию на украденый/подделаный паспорт.
Ну или "ХорошаяКомпанияА" делает вполне легальный драйвер, который занимается миганием лампочки ScrollLock и распространяет его бесплатно. Ну и в качестве дополнительной функции — специально вставленая уязвимость. Так вообще "все в белом" будут — фиг кто докажет, что уязвимость специально была вставлена.
C>>И я точно знаю из надежных источников, например, что можно в ядро в текущей Vista x64 зайти через дырку в каком-то стандартном драйвере. MSS>Через какую дырку, в каком драйвере, в каком IOCTLе. Сообщили бы, а я бы в микрософт отписал.
Я бы рад, но мне самому детали не сказали Автор сказал, что в MS сообщит сам в ближайшее время.
MSS>Вообще говоря, такая информация устаревает при следующем запуске Windows Update найдутся те, кто зайдут на хакерский сайт, почитают его, а потом отпишут в микрософт его содержимое. MSS>Принципиальных проблем с уязвимостью ядра у виндов нет, как и у юниксов. Все такие проблемы лечатся крошечным патчами, как только авторы узнали о дырке.
Так фича в том, что хакерам же не нужно 100% гарантированой работы на всех версиях софта. Вполне достаточно будет наличие достаточно больших окон уязвимостей.
MSS>>Да, кстати, еще одна хорошая антируткитная мира — забутится с сидюка с антивирусом и просканить машину. C>Это вообще почти что TheUltimate мера.
Очевидно, что это лучше, чем ставить гадостные основанные на хуках резидентные антивирусы.
C>Ты же понимаешь, что если руткитами займется орг.преступность — то на такую мелочь им будет плевать.
Вероятность реально сесть не есть мелочь даже для орг. преступности, а особенно для отдельных орг. преступников.
C>В крайнем случае, оформят компанию на украденый/подделаный паспорт.
Это можно сделать в индустриальных количествах?
Все взломы сайтов, вирусо-, руткито- и кряко- писание основаны на том, что за это практически невозможно получить наказание по закону. Анонимность очень высока. С обязательной подписью на кернел бинари эта анонимность в значительной степени убирается.
C>Ну или "ХорошаяКомпанияА" делает вполне легальный драйвер, который занимается миганием лампочки ScrollLock и распространяет его бесплатно. Ну и в качестве дополнительной функции — специально вставленая уязвимость. Так вообще "все в белом" будут — фиг кто докажет, что уязвимость специально была вставлена.
По крайней мере маньячных одиночек, которые сейчас в основном и занимаются вирусописанием, подпись на бинари срежет.
C>Так фича в том, что хакерам же не нужно 100% гарантированой работы на всех версиях софта. Вполне достаточно будет наличие достаточно больших окон уязвимостей.
Угу, и эти окна прикрываются, уменьшаясь раз в 10, совершенно стандартными тупыми методами без расставления хуков в ядро и тому подобное.
Здравствуйте, Maxim S. Shatskih, Вы писали:
MSS>>>Да, кстати, еще одна хорошая антируткитная мира — забутится с сидюка с антивирусом и просканить машину. C>>Это вообще почти что TheUltimate мера.
MSS>Очевидно, что это лучше, чем ставить гадостные основанные на хуках резидентные антивирусы.
Да, тут я думаю лучшего не придумать, только вторая ОСь.
C>>Ты же понимаешь, что если руткитами займется орг.преступность — то на такую мелочь им будет плевать.
MSS>Вероятность реально сесть не есть мелочь даже для орг. преступности, а особенно для отдельных орг. преступников.
Это я тебе точно скажу — НИКАК НЕ ПОВЛИЯЕТ. Сам иногда удивляюсь что творится в киберпреступности сейчас.
MSS>По крайней мере маньячных одиночек, которые сейчас в основном и занимаются вирусописанием, подпись на бинари срежет.
Сейчас прошли времена одиночек, т.к. системы стали очень сложны. Все больше и больше занимаются этим компании.
MSS>Угу, и эти окна прикрываются, уменьшаясь раз в 10, совершенно стандартными тупыми методами без расставления хуков в ядро и тому подобное.
Да, вот Vista явно испортила жизнь вирмейкерам/руткитодевелоперам.
ЗЫ: И на последок, так между делом, как удалить Srizbi голыми руками: создаем в директории system32\drivers\ файл с именем symavc32.sys и делаем рестарт. И никакие бутлоадеры не нужны, жаль только что метода от одного руткита спасает.
Здравствуйте, Denwer, Вы писали:
D>ЗЫ: И на последок, так между делом, как удалить Srizbi голыми руками: создаем в директории system32\drivers\ файл с именем symavc32.sys и делаем рестарт. И никакие бутлоадеры не нужны, жаль только что метода от одного руткита спасает.
В общем-то при помощи консоли восстановления можно удалить, пожалуй, любой руткит из существующих...
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Denwer, Вы писали:
D>>ЗЫ: И на последок, так между делом, как удалить Srizbi голыми руками: создаем в директории system32\drivers\ файл с именем symavc32.sys и делаем рестарт. И никакие бутлоадеры не нужны, жаль только что метода от одного руткита спасает.
DOO>В общем-то при помощи консоли восстановления можно удалить, пожалуй, любой руткит из существующих...
Вот только загрузочного диска в большинстве случаев под рукой не бывает.
Здравствуйте, Denwer, Вы писали:
D>>>ЗЫ: И на последок, так между делом, как удалить Srizbi голыми руками: создаем в директории system32\drivers\ файл с именем symavc32.sys и делаем рестарт. И никакие бутлоадеры не нужны, жаль только что метода от одного руткита спасает.
DOO>>В общем-то при помощи консоли восстановления можно удалить, пожалуй, любой руткит из существующих...
D>Вот только загрузочного диска в большинстве случаев под рукой не бывает.
Ну у меня она именно для таких целей просто напросто установлена раз и навсегда
Здравствуйте, Maxim S. Shatskih, Вы писали:
C>>Это вообще почти что TheUltimate мера. MSS>Очевидно, что это лучше, чем ставить гадостные основанные на хуках резидентные антивирусы.
Да, поэтому я именно так и делаю. Примерно раз в полгода загружаюсь с LiveCD и проверяю систему.
C>>Ты же понимаешь, что если руткитами займется орг.преступность — то на такую мелочь им будет плевать. MSS>Вероятность реально сесть не есть мелочь даже для орг. преступности, а особенно для отдельных орг. преступников.
К сожалению, нет.
C>>В крайнем случае, оформят компанию на украденый/подделаный паспорт. MSS>Это можно сделать в индустриальных количествах?
Я сейчас занимаюсь risk assessment для одного проекта, поэтому изучаю текущее положение в киберпреступном мире. Ситуация просто удручающая — в Сети есть открытые ресурсы, которые торгуют паспортами, SSNами, организациями. Этим, в основном, пользуются всякие кардеры для вывода наличности.
Я не буду здесь писать публично детали всего этого, но получить несколько сертов — не составляет (заметь настоящее время, сейчас вовсю торгуют SSL-сертами) особой проблемы. Тем более, что серьезные руткиты продаются за весьма серьезные бабки.
MSS>Все взломы сайтов, вирусо-, руткито- и кряко- писание основаны на том, что за это практически невозможно получить наказание по закону. Анонимность очень высока. С обязательной подписью на кернел бинари эта анонимность в значительной степени убирается.
К сожалению, нет.
C>>Ну или "ХорошаяКомпанияА" делает вполне легальный драйвер, который занимается миганием лампочки ScrollLock и распространяет его бесплатно. Ну и в качестве дополнительной функции — специально вставленая уязвимость. Так вообще "все в белом" будут — фиг кто докажет, что уязвимость специально была вставлена. MSS>По крайней мере маньячных одиночек, которые сейчас в основном и занимаются вирусописанием, подпись на бинари срежет.
Эпоха маньяков-одиночек уже давно прошла. Я ее с ностальгией уже вспоминаю, такие вирусы были — со спецэффектами и всякими хитрыми трюками, люди их почти всегда делали чисто из любви к искусству.
Сейчас же большая часть малвари пишется преступниками с целью похищения персональных данных.
C>>Так фича в том, что хакерам же не нужно 100% гарантированой работы на всех версиях софта. Вполне достаточно будет наличие достаточно больших окон уязвимостей. MSS>Угу, и эти окна прикрываются, уменьшаясь раз в 10, совершенно стандартными тупыми методами без расставления хуков в ядро и тому подобное.
Самый хороший метод — это просто прикрыть порты файрволом и всякую фигню не запускать. К сожалению, тупоюзеры представляют главный вектор атаки.
Здравствуйте, lamogun, Вы писали:
L>в алкоголе sptd.sys жестоко прячет другой свой драйвер (название обычно начинается на букву a.....sys)
Дык, раз sptd.sys не грузится, то 2й драйвер не запустится.
Или проблема именно в получении его образа? 0.25 не может скопировать файл, т.к. первичных драйвер активен и уже поздно, но можно попробовать сдампить файл после востановления:
static
bool restore_import(pe::image * pimg, const pe::image * original)
{
using namespace pe;
const image::data_directory * const import_table =
pimg->get_data_directory(image::data_directory::import_table);
if ( !import_table || !import_table->VirtualAddress )
return false;
for ( image::import_descriptor * import_entry = pimg->va<image::import_descriptor*>(import_table->VirtualAddress);
! import_entry->is_terminating();
++import_entry )
{
uintptr_t * iat = pimg->va<uintptr_t*>(import_entry->FirstThunk);
for ( int32_t * hint_name = pimg->va<int32_t*>(import_entry->OriginalFirstThunk);
*hint_name;
++hint_name, ++iat )
{
*iat = *hint_name = original->rva(*hint_name);
}
}
return true;
}
// восстанавливаем образ перед дампом
pe::image * original; // адрес образа в памяти
size_t image_size; // размер имиджа в памяти
uint8_t * buf = new(std::nothrow) uint8_t[image_size];
pe::image * copy = pe::image::bind(buf);
std::memcpy(copy, original, image_size);
restore_import(copy, original) && copy->relocate(copy->get_nt_headers()->OptionalHeader32.ImageBase - uintptr_t(original));
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, Cyberax, Вы писали:
C>Интересно только, а насколько ядерные руткиты вообще актуальны? Все вирусные заражения, которые я только видел, вообще не использовали никакие схемы скрытия потоков.
Не удивительно, что ничего не видел. Когда работает руткит, AV и FW обычно тихо курят в сторонке.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, gear nuke, Вы писали:
C>>Интересно только, а насколько ядерные руткиты вообще актуальны? Все вирусные заражения, которые я только видел, вообще не использовали никакие схемы скрытия потоков. GN>Не удивительно, что ничего не видел. Когда работает руткит, AV и FW обычно тихо курят в сторонке.
Я видел работающие руткиты (кроме того, прочитай что я написал про загрузку с LiveCD). Они вполне обнаружимы — по большей нагрузке процессора (хорошо заметна по вентиляторам на ноуте ), странными сетевыми соединениями и т.п.
Здравствуйте, Cyberax, Вы писали:
C>Я видел работающие руткиты (кроме того, прочитай что я написал про загрузку с LiveCD). Они вполне обнаружимы — по большей нагрузке процессора (хорошо заметна по вентиляторам на ноуте ), странными сетевыми соединениями и т.п.
Да и редкая птица (в смысле руткит) сможет обмануть даже такую банальную вещь, как Rootkit Revealer от sysinternals.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, gear nuke, Вы писали:
C>>>Интересно только, а насколько ядерные руткиты вообще актуальны? Все вирусные заражения, которые я только видел, вообще не использовали никакие схемы скрытия потоков. GN>>Не удивительно, что ничего не видел. Когда работает руткит, AV и FW обычно тихо курят в сторонке. C>Я видел работающие руткиты (кроме того, прочитай что я написал про загрузку с LiveCD). Они вполне обнаружимы — по большей нагрузке процессора (хорошо заметна по вентиляторам на ноуте ), странными сетевыми соединениями и т.п.
Есть руткиты, которые удаляют свой драйвер по завершению до следующей перезугрузки, есть и те, которые удаляют транспорт, с помощью которого руткит попал на машину =)
Здравствуйте, gear nuke, Вы писали:
GN>Здравствуйте, lamogun, Вы писали:
L>>в алкоголе sptd.sys жестоко прячет другой свой драйвер (название обычно начинается на букву a.....sys)
GN>Дык, раз sptd.sys не грузится, то 2й драйвер не запустится.
GN>Или проблема именно в получении его образа? 0.25 не может скопировать файл, т.к. первичных драйвер активен и уже поздно, но можно попробовать сдампить файл после востановления:
Да компилить нечем
Кстати я несильно в теме, возможно уже загруженый драйвер можно сдампить, разные "антируткиты" это могут делать.
Другой вопрос в корректности сдампленых данных..
Здравствуйте, lamogun, Вы писали:
L>Да компилить нечем
Компилятор доступен свободно на сайте MS, необходима версия 2005 SP1 (без SP1 возможны ложные warning). Можно взять из VC Express или WDK.
Для компиляции необходимы следующие файлы (если их положить в подпапку /bin то компиляция делается просто build.cmd, можно так же прописать пути к ним в %PATH%)
Так же необходим perl (проще всего скачать и установить пакет ActivePerl).
L>Кстати я несильно в теме, возможно уже загруженый драйвер можно сдампить, разные "антируткиты" это могут делать.
Можно конечно, выше я привёл код который приводит PE имидж к состояний как до обработки загрузчиком (проверить коректность работы можно попытавшись персичитать чексумму PE, она не должна изменяться)
L>Другой вопрос в корректности сдампленых данных..
Да, проблема в том, что если код руткита отработал, то он может тупо попортить имидж в памяти.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
[ Поскипано для счастья модератора ]
DOO>Да и редкая птица (в смысле руткит) сможет обмануть даже такую банальную вещь, как Rootkit Revealer от sysinternals.
Это почему? Не делаем скрытые файлы и скрытые ветки реестра. Эту тулзу я не использую вообще уже, морально устарела.
Здравствуйте, Denwer, Вы писали:
D>Это почему? Не делаем скрытые файлы и скрытые ветки реестра. Эту тулзу я не использую вообще уже, морально устарела.
Не очень понял идею — где тогда твой руткит жить будет?
Наконец, третий патент, полученный "Лабораторией Касперского" 29 мая 2008 года в России, описывает систему обнаружения и устранения руткитов, изобретенную Андреем Собко. Работа системы основана на принципе последовательного создания образов для выделенных файлов операционной системы и реестра до и после загрузки драйверов и сравнении этих образов.
GN>Ну а кавычки в теме — в память об ADinf
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Наконец, третий патент, полученный "Лабораторией Касперского" 29 мая 2008 года в России, описывает систему обнаружения и устранения руткитов, изобретенную Андреем Собко. Работа системы основана на принципе последовательного создания образов для выделенных файлов операционной системы и реестра до и после загрузки драйверов и сравнении этих образов.
GN>>Ну а кавычки в теме — в память об ADinf
Так они скоро дойдут до чексум. Если не ошибаюсь, как раз ADinf использовал БД чексум для проверки целостности/чистоты файлов.
Здравствуйте, pva, Вы писали:
GN>>>Ну а кавычки в теме — в память об ADinf pva>Так они скоро дойдут до чексум. Если не ошибаюсь, как раз ADinf использовал БД чексум для проверки целостности/чистоты файлов.
Так-то это уже встроено в Windows. Причем даже не чексумы, а ЭЦП.
.
Да и шифровка это, хеккиры принципиально не знают о классах 
