PDA

Просмотр полной версии : Новые разновидности rootkits



SDA
19.02.2005, 15:23
На этой неделе, на конференции по информационной безопасности RSA Security 2005 представители Microsoft, Майк Дансеглио (Mike Danseglio) и Курт Диллард (Kurt Dillard) из Security Solutions Group предупредили о новой опасности для пользователей Windows. Исходит она от нового поколения программ, установленных на уровне ядра ОС, которые используют хакеры для мониторинга системы пользователя (т.н. "kernel rootkits"). По мнению представителей MS, их практически невозможно обнаружить современными средствами защиты.

Эти программы потенциально могут быть использованы для создания нового поколения программ-шпионов (spyware) и "червей", утверждают эксперты.

Программы для удаленного мониторинга системы существуют уже давно, последнее поколение таких приложений, созданных злоумышленниками, носят названия "Hacker Defender", "FU", "Vanquish" и др. Хакеры используют их для контроля системы, проведения атаки или передачи информации с пораженного компьютера. Как правило, эти приложения устанавливаются на ПК пользователя без его ведома (при помощи вируса или хакерской атаки).

Эти программы выполняются в "фоновом" режиме, а найти их можно в списке запущенных процессов пораженной системы, или при тщательном мониторинге исходящего трафика.

Новые разновидности rootkits в большинстве способны перехватывать запросы и системные вызовы, которые передаются ядру ОС и отфильтровывать те, что были сгенерированы самой вредоносной программой. В результате типичные признаки запущенного приложения (имя исполнимого файла, именованный процесс) невидимы для администраторов и антивирусных программ.

По словам Динсеглио, единственный надежный способ удалить такую программу – отформатировать жесткий диск и заново установить операционную систему.

"Rootkits" существуют далеко не только для ОС Windows.

Источник: gazeta.ru

Интересно новый АВЗ будет отлавливать такие "Rootkits

Minos
19.02.2005, 18:44
Здесь (http://www.securitylab.ru/50717.html) о rootkit-ах можно почитать по подробнее, в том числе и о "новейших".

Alexey P.
19.02.2005, 18:56
Здесь (http://www.securitylab.ru/50717.html) о rootkit-ах можно почитать по подробнее, в том числе и о "новейших".

А здесь (http://www.rootkit.com/index.php) можно на них и посмотреть, в том числе и на новейшие :).

Зайцев Олег
19.02.2005, 19:11
Интересно новый АВЗ будет отлавливать такие "Rootkits

AVZ бессилен против руткитов Ring0. Вернее сказать, детектировать их он в скором времени будет, а вот блокировать скорее всего нет ... Тут фокус вот в чем - методика восстановления SDT в NT есть, но она оказывает глобальное воздействие на систему и экспериментальная версия AVZ на тестах "полечила" систему, отрубив антивирусный монитор, большую часть Firewall и Process Guard :) Причем корректно отрубив ... ведь AVZ не понятно, что это такое - руткит или антивирус.
Но по моему разумению руткиты Ring0 в вирусе или трояне - это несколько фантастично, скорее всего распространение получат клоны HackerDefender - они просты в реализации и весьма эффективны. Вот их AVZ давит легко и корректно, что проверено как HackerDefender, так и на его "потомках". И опасности в "лечении" нет - борьба с таким руткитом идет в рамках контекста AVZ, в худшем случае дело закончится его зависанием.
Кстати, новый AVZ реализует новую методику борьбы с руткитами, основанными на подмене адреса функции (такие руткиты прекрасно работают в Win98) - он делает себе "прививку", модифицируя собственный программный код для обхода перехватчиков руткита

SDA
19.02.2005, 19:57
Спасибо Олег! Как всегда твой ответ полный и ясный. Когда примерно ждать выхода релиза АВЗ? Очень ждем!

SDA
19.02.2005, 20:08
В дополнение привожу отрывок из статьи "Windows под прицелом"


Как и в деле создания rootkits, так и в деле борьбы с ними есть свои лидеры. Признанной руткитоборкой первой степени является Joanna Rutkowska, чей новый сервер http://www.invisiblethings.org я настоятельно советую посетить. Её перу принадлежат такие утилиты как Patchfinder и Klister. Первая из них направлена на обнаружения rootkit, модифицирующих пути исполнения, в кто время как Klister помогает обнаруживать DKOM KLT.

Утилита Patchfinder [5] использует оригинальную идею измерения количества инструкций процессора необходимых для выполнения тех или иных операций в нормальном режиме и сравнения этих результатов с текущими показателями системы.

Для определения количества инструкций процессор переводится в пошаговый режим (single stepping mode), в котором при выполнении каждой инструкции вызывается отладочная исключительная ситуация. Количество таких вызовов подсчитывается и сохраняется.

В случае если в системе установлен rootkit, количество инструкций процессора, затрачиваемое на выполнение той или иной функции API увеличится. Разница обуславливается тем, что дополнительно будет обрабатываться код, дописанный rootkit в функцию.

Утилита Klister [15], направлена на обнаружение DKOM KLT и позволяет получать список всех процессов в системе, используя прямой доступ к памяти ядра.

Ещё один интересный и развивающийся проект, это RKDetector, не путать с RKDetect [16]. В ближайшее время автор планирует встроить в него собственный драйвер файловой системы для обнаружения «спрятанных» файлов.

Для обнаружения различных rootkits, использующих метод модификации пути исполнения можно воспользоваться утилитой VICE [17]. Перед её использованием настоятельно советую ознакомиться с документацией, что бы не запутаться в «ложных срабатываниях».

Зайцев Олег
19.02.2005, 20:11
Спасибо Олег! Как всегда твой ответ полный и ясный. Когда примерно ждать выхода релиза АВЗ? Очень ждем!

Завтра примерно к обеду. Я хотел выпустить релиз сегодня к вечеру, но нужно как следует протестировать все новшества. Да и базы проверить нужно - я внес около 700 новых сигнатур зверей, около 20000 цифровых подписей (позволяющих AVZ узнавать системные и заведомо безопасные файлы в любой версии Windows), новый антируткит и нейросеть для отлова кейлоггеров ....