Показано с 1 по 1 из 1.

Руткиты в .NET Framework

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    Руткиты в .NET Framework

    .NET Framework давно вызывает интерес у создателей вредоносного ПО. Эрез Метула (Erez Metula) опубликовал исследование, описывающее новую методику внедрения руткитов в .NET Framework.

    В документе описаны различные пути разработки руткитов для .NET Framework, позволяющие внести изменения в каждый EXE/DLL файл. Анализ кода не позволит определить наличие бекдора в .NET Framework, поскольку пейлоад находится не в самом коде, а в реализации самой фреймворк. Возможность написания руткитов для фреймворка позволит злоумышленнику установить реверсивный шелл внутри фреймворка и похитить потенциально важные данные, ключи шифрования, отключить проверки безопасности и другое.

    Изменение фреймворка можно произвести путем перехвата dll и «отправки» ее обратно фреймворку. Сам процесс состоит из нескольких шагов, описанных в этом документе, и может быть применен ко всем версиям .NET Framework (1.0, 1.1, 2.0, 3.0 и 3.5):
    Обнаружение DLL в GAC (Global Assembly Cache)
    Анализ и декомпиляция DLL с помощью ildasm
    Модификация MSIL кода
    Рекомпиляция новой DLL с помощью ilasm
    Обход механизма защиты подписи сборки (strong name protection) GAC
    Преобразование из NGEN Native DLL
    Перезапись оригинальной DLL

    В документе также описывается брешь в способе загрузки библиотек и возможность обхода механизма подписей и предоставляется общему вниманию утилита для создания MSIL руткитов ".Net-Sploit".

    Внимание, для успешного внедрения руткита злоумышленник должен иметь административные привилегии на системе.

    Ссылки:

    Исследование NET Framework rootkits - backdoors inside your framework

    Презентация

    .NET-Sploit 1.0 beta

    Исходный код .NET-Sploit 1.0 beta

    Модули к .NET-Sploit 1.0 beta(опционально)

    securitylab.ru
    Left home for a few days and look what happens...

  2. Реклама
     

Похожие темы

  1. Не устанавливается .NET Framework
    От adrianna_k в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.03.2012, 14:54
  2. Есть подозрение на .NET Framework
    От ahawk в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 12.06.2011, 12:35
  3. .net framework, all series
    От koksinator в разделе Microsoft Windows
    Ответов: 2
    Последнее сообщение: 23.01.2009, 11:50
  4. Ошибка обновл. и удаления .NET Framework 1.1
    От Dr. в разделе Microsoft Windows
    Ответов: 4
    Последнее сообщение: 07.06.2008, 23:37
  5. Финальная версия .NET Framework 3.0
    От Shu_b в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 08.11.2006, 09:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00589 seconds with 18 queries