-
Мифы о 7-ми популярных антируткитах, или как поймать невидимку
Авторы: Денис Шавровский, Юрий Ромащенко (Product Manager) - специалисты компании S.N Safe&Software Ltd.
http://www.safensoft.ru/ S.N Safe&Software Ltd.
Altufievskoe shosse 5/2
127106, Moscow, Russia
Tel. +7(495) 967-1451
Fax. +7(495) 967-1452
Видимый нами мир мы познаем благодаря четырем фундаментальным видам взаимодействия элементарных частиц, которые классифицированы учеными-физиками и названы сильным, электромагнитным, слабым и гравитационным взаимодействием. Это фундамент, на котором базируется наше представление о мире, и к функционированию которого, в конечном счете, сводится работа всех наших органов чувств
Теперь представьте на мгновенье, что существует мир, такой же насыщенный и состоящий из множества частиц, подобно нашему, но эти частицы никак не взаимодействуют с нашим миром классическими видами взаимодействий, - этот мир мы никогда не увидим, и никогда не сможем доказать или опровергнуть его существование. Именно поэтому гипотезы о параллельных мирах живут лишь в фантазиях некоторых ученых, которые ломают головы в поисках еще неизведанных тайн вселенной... Какое это имеет отношение к этой статье? А самое непосредственное, поскольку речь здесь пойдет о невидимом мире, мире rootkit, который может существовать параллельно с тем, который мы видим ежедневно, сидя у монитора. Также рассмотрим, способны ли современные программы, призвание которых - борьба с rootkit, противостоять этой невидимости в мире ПК......
Меня больше заитересовало ихнее мнение об АВЗ:
AVZ, антивирус Зайцева
По словам разработчиков, программа способна выявлять перехватчики режима ядра и пользовательского режима. AVZ действительно способен находить перехватчики API функций, однако неискушенный пользователь не знает, что существует множество способов этого самого перехвата. Стоит напомнить, что для перехвата может осуществляться модификация таблиц IAT/EAT, перезапись кода функции системной библиотеки в ее начале (сплайсинг), производиться модификация системных таблиц SSDT, IDT; rootkit может перезаписывать также код системных сервисов режима ядра, вписывая в их начало команду безусловного перехода на собственный обработчик, кроме того может устанавливаться брейкпоинт (опкод CC) в начало перехватываемой функции с перенаправлением отладочного прерывания int 3 на собственный обработчик. Для перехвата могут также использоваться отладочные DRx регистры процессора. Из всех вышеперечисленных методик AVZ определяет только те, которые чаще всего используют легитимные приложения (антивирусы, firewall и др.), например, перехват через SSDT легко обнаружить, поэтому современный rootkit врядли воспользуется этой техникой. В тоже время такой перехват осуществляет множество программного обеспечения – от драйверов эмуляторов типа Alcohol 120% до антивирусов и HIPS, например, Kaspersky Internet Security 2006, проактивная система защиты Safe’n’Sec®. AVZ не обнаружит перехват, использующий отладочные регистры, или перезапись в режиме ядра кода системного сервиса. Следовательно, программа только запутает пользователя, указывая на перехват системных функций, осуществленный легитимными приложениями.
Я думаю Олегу будет интересно, привести свои аргументы данным авторам. Лично на мой взляд продукт Safe’n’Sec в части проактивной защиты гораздо ниже, чем к примеру касперский,DefenseWall HIPS или ZA 6, на взгляд наших хелперов ...В общем неплохо для первой версии, но обеспечить достойную защиту от неизвестных вирусов пока не в состоянии, пока пригодна только для поднятия тревоги на опасную активность.( как там дела у следующих версий неизвсестно). Лично я бы себе Safe’n’Sec не поставил, существуют более достойные и продвинутые продукты.(где-то Олег Зайцев писал, что "защита" S'n'S сносится прожкой, написанной им за пять минут)
Полностью статья http://www.izcity.com/data/security/article1343.htm
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Статью писали кулики с болота Safe’n’Sec, их в общем можно понять - люди свою зарплату отрабатывают.
Неоднократно проверял работу AVZ. Она видит не только перехваты легальных программ, как утверждают авторы.
Вот перехваты свежайшего и как бы не самого простого трояна - Trojan.PWS.GoldSpy. Из лога AVZ:
----------------------------------------------------------
1.2 Searching for kernel-mode API hooks
Driver is successfully loaded
SDT found (RVA=082B80)
Kernel ntoskrnl.exe located in the memory at the address 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Function ZwCreateProcess (2F) intercepted (805B3543->F9FDBAE1), hook
C:\WINDOWS\system32\fanxctrld.sys
Function ZwCreateProcessEx (30) intercepted (805885D3->F9FDB3A0), hook
C:\WINDOWS\system32\fanxctrld.sys
Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9FDB29D), hook
C:\WINDOWS\system32\fanxctrld.sys
Functions checked: 284, intercepted: 3, restored: 0
2. Scanning the memory
Processes found: 20
Modules loaded: 223
Memory check completed
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\fanxctrl.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\fanxctrl.dll>>> Behavioral analysis:
Typical for keyloggers behaviour is not registered
----------------------------------------------------------
Это проверка дроппера:
Complete scanning result of "get.php_file_exe", received in VirusTotal at
08.26.2006,
14:35:31 (CET).
Antivirus Version Update Result
AntiVir 6.35.1.3 08.26.2006 HEUR/Malware.Crypted.PSM
Authentium 4.93.8 08.25.2006 W32/Dropper.gen2
Avast 4.7.844.0 08.24.2006 no virus found
AVG 386 08.25.2006 no virus found
BitDefender 7.2 08.26.2006
Dropped:Generic.Malware.SFYdlwdld.0F984700
CAT-QuickHeal 8.00 08.26.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.26.2006 no virus found
DrWeb 4.33 08.26.2006 Trojan.PWS.GoldSpy
eTrust-InoculateIT 23.72.107 08.25.2006 no virus found
eTrust-Vet 30.3.3039 08.25.2006 Win32/ProcHide!generic
Ewido 4.0 08.25.2006 Logger.Goldun.lk
Fortinet 2.77.0.0 08.25.2006 suspicious
F-Prot 3.16f 08.25.2006 W32/Dropper.gen2
F-Prot4 4.2.1.29 08.26.2006 W32/Dropper.gen2
Ikarus 0.2.65.0 08.25.2006 no virus found
Kaspersky 4.0.2.24 08.26.2006 no virus found
McAfee 4838 08.25.2006 no virus found
Microsoft 1.1560 08.26.2006 no virus found
NOD32v2 1.1724 08.24.2006 a variant of Win32/Spy.Goldun.HP
Norman 5.90.23 08.25.2006 Suspicious_F.gen
Panda 9.0.0.4 08.25.2006 Suspicious file
Sophos 4.08.0 08.26.2006 no virus found
Symantec 8.0 08.26.2006 no virus found
TheHacker 5.9.8.200 08.25.2006 no virus found
UNA 1.83 08.26.2006 no virus found
VBA32 3.11.1 08.25.2006 suspected of Rootkit.Agent.10
VirusBuster 4.3.7:9 08.25.2006 no virus found
Aditional Information
File size: 25801 bytes
MD5: 11d0b155b11baee6038ca460665a8664
SHA1: af1f288aac0c16c885d56f58e04191068ea337f2
packers: FSG
packers: FSG
Hовые файлы
C:\WINDOWS\uxnr.exe
C:\WINDOWS\system32\fanxctrl.dll
C:\WINDOWS\system32\fanxctrld.sys
Естественно, файлы не видны. Видят ревизор адинф (все три) и AVZ.
Записи в реестре:
Сервисом:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000\Co
ntrol]
"ActiveService"="fanxctrld"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD\0000]
"Service"="fanxctrld"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="OPENGL technology access"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_FANXCTRLD]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Enum]
"0"="Root\\LEGACY_FANXCTRLD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld\Security]
"Security"=hex(3):01,00,14,80,90,00,00,00,9C,00,00 ,00,14,00,00,00,30,00,00,00,0
2,\
00,1C,00,01,00,00,00,02,80,14,00,FF,01,0F,00,01,01 ,00,00,00,00,00,01,00,00,00,\
00,02,00,60,00,04,00,00,00,00,00,14,00,FD,01,02,00 ,01,01,00,00,00,00,00,05,12,\
00,00,00,00,00,18,00,FF,01,0F,00,01,02,00,00,00,00 ,00,05,20,00,00,00,20,02,00,\
00,00,00,14,00,8D,01,02,00,01,01,00,00,00,00,00,05 ,0B,00,00,00,00,00,18,00,FD,\
01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02 ,00,00,01,01,00,00,00,00,00,\
05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fanxctrld]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"="\\??\\C:\\WINDOWS\\system32\\fanxctrl d.sys"
"DisplayName"="OPENGL technology access"
и нотифайером:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\fanxctrl]
"DllName"=hex(2):66,61,6e,78,63,74,72,6c,2e,64,6c, 6c,00
"Startup"="fanxctrl"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
"nk48id"="[1A2851615FADBF074]"
и виндовому проводнику можно ходить в интернет.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\F
irewallPolicy\StandardProfile\AuthorizedApplicatio ns\List]
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer .EXE:*:Enabled:explorer"
-
-
Все верно отписали, впрочем, ничего нового из статьи не почерпнул =)
-
Junior Member
- Вес репутации
- 66
Оффтоп. Обсуждение подобных вещей уже напоминает схоластические споры в средние века о толковании библии ...
-
Кстати, о религии
Поскольку всё равно оффтоп...
-
-
Ну, то, что предохраняться завсегда лучше, чем потом лечиться- это факт, с которым, думаю, никто спорить не будет. С другой стороны, естественно, есть куча народа, которому надо лечиться, и как сможно скорее.
Статья же, по сути, достаточно примитивна и рассчитана на новичков. Я, например, ничего полезного там не вычитал. Кроме того, нужно понимать, что антируткит в AVZ предназначен не сколько для детектирования руткитов (а большинство анти-руткитов только детектируют наличие зверька!), сколько для очистки от них системы -а тут уже своя специфика. Например, то, что очень плохо для Rootkit Revealer и иже с ними (а снятие режима невидимости для его процесса полностью убивает детект руткита), для AVZ- манна небесная.
-
-
я сегодня наконец дочитал статью - мох с болота ... но раз всеравно офтоп, то мое мнение примерно таково - авторы не совсем точно понимают, что такое руткит ... и еще менее точно - что такое антируткит. Если по порядку:
1. AVZ - это не антивирус, как у них написано, и не антируткит ... странно, что далее они описывают разные виды перехвата (...однако неискушенный пользователь не знает, что существует множество способов этого самого перехвата ...) - из перечисленного списка AVZ все их детектирует и нейтрализует, кроме модификации таблицы прерываний, SysEnter (его нет у них в списке) и применения отладочных регистров. Первые два (детект и нейтрализацию) я введу в 4.20, хотя это увеличит размер лога - реальных зверей на это основе пока нет. Что до отладочных регистров - я пока не видел реального "зверя" на основе аппаратных точек останова. Отладка с помощью вектора int 3 - это по сути своей модификация машинного кода (запись кода CC = int 3h) вместо первого байта заданной машинной команды.
2. дальше под раздачу попал Process hunter by Ms-Rem Это, равно как и AVZ, не антируткит, а пример, демонстрирующий изложенные автором теоретические методики поиска скрытых процессов. Меня насмешила фраза "Cкрыть процесс от Process hunter очень сложно, но нужно ли это? На самом деле, в последнее время rootkit не создают своего собственного процесса..." Ну называется же программа Process hunter (Охотник на процессы) - какая взаимосвязь PH и библиотек - неясно ..., это же не DLL hunter ...
3. По поводу SVV почему-то не указано, что равно как и AVZ эта программа реагирует на любое изменение и перехват, независимо от того, антивирус это или зловред ... хотя в описании AVZ это у них дважды подчеркнуто как "особенность, вводящая в заблуждение пользователя"
4. В описании RootkitRevealer на оф. сайте описано назначение и ограничение программы - там в первой фразе написано note: RootkitRevealer is not intended to detect rootkits like Fu that don't attempt to hide their files or registry keys ... меж тем автор пишет "RootkitRevealer отображает только скрытые файлы и ключи реестра" - спрашивается, а что еще должен отображать RootkitRevealer, если это - искатель маскируемых файлов и ключей реестра.
По поводу возможности руткита не маскироваться от определенных программ - для AVZ это действительно плюс - тогда программу легко увидеть и удалить или закарантинить. Но современные руткиты чаще делают не так - они блокируют работу антируткита ... так, например, поступают свежие версии Haxdoor, который восстанавливает перехваты и блокирует загрузку драйверов типа avz.sys
-