Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

TDSS aka TDL3 и все-все-все

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809

    TDSS aka TDL3 и все-все-все

    В последнее время появилось достаточно много шума в статьях и блогах касательно вируса TDL3 (TDSS, Tidserv). Кто-то называет его кризисом современной антивирусной индустрии, кто-то - гениальным изобретением, а кто-то просто боится. Не будем влазить в глубины и специфику, а просто попытаемся понять, кто же этот TDL3 и так ли он опасен?

    1. Дроппер. Неважно, используется ли уязвимость браузера, его компонентов или Windows в целом, либо кто-то прислал Вам "интересный файл", который Вы запустили - всё начинается с дроппера, то есть некоего файла, целью которого есть заразить систему и самоудалиться. Итак, что здесь интересного?

    А) Автор постоянно использует перепаковку дроппера. Используется также и ряд приёмов обфускации, направленных против эвристических движков современных антивирусов. Не будем судить, насколько удаётся победить эвристику, но факт в том, что найти в данный момент времени дроппер, на данный момент не детектируемый антивирусом - удаётся.

    Б) При запуске дроппера, если его не зафиксировал антивирус, следующей линией обороны выступает проактивная защита или HIPS. Эта система фиксирует все подозрительные действия и запрашивает пользователя о разрешении их. Не будем обсуждать, насколько пользователь разбирается в поведении и что будет разрешать, а что запрещать. Предположим, что пользователь - опытный. Чтобы выполнить вредоносный код, дроппер TDL3 использует функцию AddPrintProcessor, якобы добавляй новый процессор печати. При выполнении этой функции системный спуллер печати spoolsv.exe выполняет вредоносный код и приводит к заражению. То, что код выполняется в рамках доверенной системной программы, делает системы HIPS слепыми. Однако стоит заметить, что для выполнения AddPrintProcessor требуются привилегии SeLoadDriverPrivilege, проще говоря - права на установку и выгрузку драйверов. По этому признаку некоторые системы HIPS отлавливали деятельность дроппера и указывали на это пользователю. Однако в последних версиях TDL3 используется функция AddPrintProvidor, аналогичная по итогу, но не требующая привилегий, а потому опять полностью "ослепляющая" HIPS.

    В итоге мы получаем файл, который выполняется и заражает систему абсолютно свободно. Да, антивирусные вендоры продолжают добавлять сигнатуры, да, уязвимости браузеров залатываются, но мы живём в реальном мире, где невсегда обновления ставятся моментально и кому-то всегда хочется денег, а кто-то не хочет платить...

    2. Заражение. При заражении системы наблюдается несколько интересных вещей.

    А) В самой процедуре заражения имеется механизм защиты от статического дезассемлирования: перехват и подмена одной из функций API на процедуру расшифровки вредоносного кода. Это затрудняет анализ кода с помощью ряда дезассемблеров (например, IDA) и таким образом добавляет работы вирусным аналитикам.
    Б) После запуска расшифрованного кода инфектора в случайный активный системный драйвер в раздел ресурсов файла дописывается вредоносный код. Меняется точка запуск драйвера на данную секцию, при этом делается бэкап оригинального файла в отдельную область диска. Именно его будет "подсовывать" вредонос при попытке копирования или проверки системы, оставаясь, таким образом, незамеченным.
    В) В конце физического диска создаётся собственная файловая система, зашифрованная по определённому алгоритму. В ней хранятся вредоносные библиотеки tdlcmd.dll, tdlswp.dll, а также файл конфигурации вредоноса.

    3. "Нео, ты в матрице". Что же происходит на заражённой системе?

    А) Руткит в режиме ядра отслеживает все IRP_MJ_SCSI (в последних версиях - и IOCTL_SCSI_PASS_THROUGH) вызовы, а также попытки чтения последних секторов, где находится шифрованная файловая система вредоноса. Вызовы, направленые на детектирование присутствия руткита - подменяются. Находясь на очень низком уровне доступа, фактически вредонос невидим для большинства антивирусов, которые не могут ни физически удалить скрытый раздел, ни вылечить поражённый вирусом системный драйвер, ни препятствовать его работе.
    Б) При каждом вызове kermel32.dll в вызываемый поток инжектируются вредоносные tdlcmd.dll и tdlswp.dll. Именно это фиксируют антивирусные мониторы. Однако вылечить не могут.
    В) Активный вредонос формирует ботнет со всеми вытекающими.

    Итак, велика ли угроза TDL3? Подведём итоги.

    • Вредонос использует практически незаметную для систем безопасности схему заражения. Более того - эту схему начинают перенимать и другие вредоносные программы, в частности, Sinowal.
    • Вредонос работает на крайне низком уровне, что затрудняет его детектирование и лечение. Фактически, программы защиты должны работать на ещё более низком уровне для эффективного противодействия, однако это влечёт за собой проблемы совместимости с различными контроллерами дисков и затрудняет разработку универсального решения.
    • Заражение системы зачастую незаметно. Если печально известный Kido заражал флешки, пытался заразить компьютеры в сети и всячески стремился к распространению, TDL3 фактически можно зафиксировать по сообщениям о вредоносном объекте в памяти (не все антивирусы) и по паразитному трафику. Отнюдь не каждый обращает внимание на подобное.
    • Единственной универсальной схемой лечения на данный момент является использование актуальных антивирусных LiveCD. Эффективны некоторые антивирусные утилиты, однако с некоторыми наблюдаются упомянутые выше проблемы совместимости. При активном заражении в активном состоянии системы удалить руткит установленным антивирусным продуктом не удаётся.

    О том, насколько это опасно или нет - судить уже Вам.

    P.S. Огромная благодарность всем, кто вложил в изучение этого вида вредоноса свои силы и ум, а особенно Nguyễn Phố Sơn, Алисе Шевченко, Юрию Паршину и многим другим, без которых было бы не только невозможно написать этот краткий обзор, но и невозможно как-то бороться с этой заразой.

    P.P.S. TDL3 активно развивается на момент написания обзора. Как и развиваются методы борьбы с ним. Поэтому вполне возможно, что через какое-то время обзор потеряет актуальность либо будет требовать дополнения. Приглашаются все для активного обмена мнениями и информацией.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от gjf Посмотреть сообщение
    Однако в последних версиях TDL3 используется функция AddPrintProvidor, аналогичная по итогу, но не требующая привилегий, а потому опять полностью "ослепляющая" HIPS.
    Есть HIPS, которые несколько равнее, чем другие и продолжающие блокировать дроппер.

    Добавлено через 3 минуты

    Цитата Сообщение от gjf Посмотреть сообщение
    а особенно Nguyễn Phố Sơn, Алисе Шевченко, Юрию Паршину
    Про Диму Алексюка забыли.
    Последний раз редактировалось rav; 08.05.2010 в 21:39. Причина: Добавлено
    http://www.softsphere.com - DefenseWall, DefencePlus

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    114
    А существует надёжный способ его детектирования?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    rav, это радует, пока таких не наблюдал. А можно примеры для тестирования? Если это действительно так, то добавим в эту ветку.

    Благодарности приведены для тех, с кем лично знаком и кто помогал. С Дмитрием Алексюком я не знаком. Если же благодарить всех, кто когда-либо изучал этот зловред и что-то против него сделал - можно составить список длиннее, чем этот обзор.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от MedvedD Посмотреть сообщение
    А существует надёжный способ его детектирования?
    Да, существует.
    Вот этот детект имеют все версии, от первой до текущей.
    [Memory scanning] Process in memory: C:\WINDOWS\System32\svchost.exe:892 infected with BackDoor.Tdss.565 - eradicated
    Как индикатор наличия в системе этого трояна - работает прекрасно.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Детект инжектируемых библиотек в памяти работает прекрасно. Проблемы возникают при удалении.
    Б) При каждом вызове kermel32.dll в вызываемый поток инжектируются вредоносные tdlcmd.dll и tdlswp.dll. Именно это фиксируют антивирусные мониторы. Однако вылечить не могут.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от gjf Посмотреть сообщение
    То, что код выполняется в рамках доверенной системной программы, делает системы HIPS слепыми. Однако стоит заметить, что для выполнения AddPrintProcessor требуются привилегии SeLoadDriverPrivilege, проще говоря - права на установку и выгрузку драйверов. По этому признаку некоторые системы HIPS отлавливали деятельность дроппера и указывали на это пользователю. Однако в последних версиях TDL3 используется функция AddPrintProvidor, аналогичная по итогу, но не требующая привилегий, а потому опять полностью "ослепляющая" HIPS.
    Вот это очень интересный момент.
    Left home for a few days and look what happens...

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от gjf Посмотреть сообщение
    rav, это радует, пока таких не наблюдал.
    Стоит присмотреться к моей подписи. DefenseWall останавливал все версии TDSS, всегда.
    http://www.softsphere.com - DefenseWall, DefencePlus

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Vagon
    Регистрация
    15.06.2008
    Сообщений
    386
    Вес репутации
    72
    DefenseWall останавливал все версии TDSS, всегда.
    А Армор разве его не останавливает?
    Раз этот руткит в память записывается,то можно память выбросить и купить новую,тогда можно будет от него избавится?Может я путаю памяти - это про какую память говорится,про плашки,что в материнку вставлены?
    Последний раз редактировалось Vagon; 09.05.2010 в 18:50. Причина: Добавил
    Comodo Internet Security

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Цитата Сообщение от rav Посмотреть сообщение
    Стоит присмотреться к моей подписи. DefenseWall останавливал все версии TDSS, всегда.
    Хорошо, я сейчас скачаю DefenseWall HIPS и проверю. Надеюсь, что он работаете в среде VMWare, в отличие от DefensePlus?

    Vagon,я сомневаюсь, что выбрасывание ОЗУ приведёт к излечению. Рекомендую Вам, как студенту, очень серьёзно почитать про виды памяти, используемые в системе.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Vagon
    Регистрация
    15.06.2008
    Сообщений
    386
    Вес репутации
    72
    gjf
    очень серьёзно почитать про виды памяти, используемые в системе.
    По какому запросу в поиске можно найти и почитать?
    Comodo Internet Security

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от Vagon Посмотреть сообщение
    По какому запросу в поиске можно найти и почитать?
    Почитайте здесь... и еще много где...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Vagon, Iron_Monk, пожалуйста, не устраивайте оффтопик. Vagon, это уже даже не смешно, если идеей было пошутить.

    rav, как я понял, DefenseWall HIPS - это HIPS-песочница? Актуальная версия с оффсайта в Вашей подписи после установки в триальном режиме, перезагрузки и автоматического обновления разрешила запуск дроппера TDL3 с библиотекой 3.747 (Trojan.Win32.TDSS.bcfd по Касперскому) без малейших запросов.
    Файл конфигурации, выдернутый после заражения:
    [main]
    quote=I felt like putting a bullet between the eyes of every panda that wouldn't screw to save it's species. I wanted to open the dump valves on oil tankers and smother all those french beaches I'd never see. I wanted to breathe smoke
    version=3.273
    botid=e71c51f6-5151-41d1-a295-4e05013203f2
    affid=11418
    subid=0
    installdate=9.5.2010 15:33:24
    builddate=30.4.2010 1:45:9
    rnd=1708537768
    [injector]
    *=tdlcmd.dll
    [tdlcmd]
    version=3.747
    После запуска дроппера как "Untrusted" - да, ничего не произошло. То же самое "ничего не произошло" и при запуске в Sandboxie и в ограниченной учётной записи. Обращаю внимание, что Sandboxie может использоваться бесплатно неограниченное время (с некоторым урезанием функционала, непринципиальным в рассматриваемом контексте), а ограниченная учётная запись - вообще встроенная фича Windows. Так зачем платить больше?

    Безусловно, песочницы блокируют заражение, это даже не обсуждается. Вопрос о классических HIPS.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от gjf Посмотреть сообщение
    То же самое "ничего не произошло" и при запуске в Sandboxie и в ограниченной учётной записи.Так зачем платить больше?
    Платить больше стоит за то, что может больше. DefenseWall может намного больше, чем SBIE и ограниченная учётная записть. Просто если копнуть возможности продукта хоть чуть-чуть, таких замечаний не было бы.
    http://www.softsphere.com - DefenseWall, DefencePlus

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Я "копнул" продукт в той области, которая обсуждается. Предлагаю обсуждение DefenseWall перенести вот сюда. А здесь продолжим обсуждать то, что написано в названии темы.

  17. #16
    Junior Member Репутация
    Регистрация
    11.05.2010
    Сообщений
    2
    Вес репутации
    51
    Цитата Сообщение от gjf Посмотреть сообщение
    Однако в последних версиях TDL3 используется функция AddPrintProvidor, аналогичная по итогу, но не требующая привилегий, а потому опять полностью "ослепляющая" HIPS.
    это недоработка?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    redden, ну а как Вы думаете? Со стороны HIPS - да.

  19. #18
    Junior Member Репутация
    Регистрация
    11.05.2010
    Сообщений
    2
    Вес репутации
    51
    Т,е. ждем очередную заплатку от MS? Но с другой стороны хваленые эвристические анализаторы куда смотрят... замкнутый круг, одни пишут другие латают и наоборот.

    Давеча вылечивал очередной "сложный случай", стандартными методами (AVZ и блабла) не лечился, в отчаянии переименовал папку куда писался зловред из памяти, чем поставил его в тупик мигом перегрузил ПК (пинком по блоку питания, т.к. зловред в попытке записаться таки на диск повесил перезагрузку) и ура... Т.е. одна голь на другую выдумку пока еще помогает, надолго хватит, не знаю

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Собственно, отсюда:
    Before an application calls the AddPrintProvidor function, all files required by the provider must be copied to the SYSTEM32 directory.
    Отсюда вывод: дроппер должен быть запущен с правами опытного пользователя, минимум (файловую систему FAT32 не рассматриваем). Т.е., при работе со всеми ограничениями локального пользователя и sandbox как бы не должен быть обязательным.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Numb, а я и не говорил такого Или sandbox или ограниченная учётка.
    redden, я очень сильно сомневаюсь, что MS выпустит заплату для решения проблем с HIPS у сторонних разработчиков.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab
    От Kuzz в разделе Вредоносные программы
    Ответов: 26
    Последнее сообщение: 07.11.2010, 18:56
  2. backdoor.tdss.565 aka tdl3
    От dodgenator в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 10.06.2010, 13:12
  3. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
    От Shanna в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 24.01.2010, 17:42
  4. Детектирование и лечение новейшего руткита TDSS TDL3
    От DVi в разделе Новости компьютерной безопасности
    Ответов: 10
    Последнее сообщение: 27.11.2009, 08:29

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01581 seconds with 19 queries