Показано с 1 по 17 из 17.

Предложен детектор руткитов нового типа

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Lightbulb Предложен детектор руткитов нового типа

    Группа разработчиков North Security Labs предложила детектор руткитов, основанный на аппаратной виртуализации. Заявлена способность детектирования ряда известных руткитов, таких как Shadow Walker и Rustock.

    Hypersight Rootkit Detector работает в качестве монитора виртуальной машины. Ядро запускается в качестве гипервизора при старте системы, контролируя в дальнейшем критические операции и оставаясь незаметным как для системы, так и для вредоносного ПО. Контролируются типичные действия руткитов, в том числе попытки перехода в режим гипервизора, характерные для руткитов, приобщившихся к аппаратной виртуализации - наподобие известной Blue Pill.

    Реализована поддержка процессоров Intel с технологией VT-x, в ближайшем будущей обещается и поддержка процессоров AMD. Продукт представлен в виде альфа-версии, подключиться к тестированию на свой страх и риск приглашаются все желающие.
    Источник: North Security Labs


    http://www.northsecuritylabs.com/

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Не получится северный олень из этого. То событие, что я видел на скриншоте, способен сгенерировать любой не слишком правильно написанный HIPS или иной перехватчик SSDT в ядре. Но это можно и обойти, переписав перехватчик или использовав инлайн-перехваты, документированные функции и сложно-детектируемые поля данных. Так что, как отдельный компонент на основе виртуализации оно не сработает. Ring-1 подсистема может лишь служить поддержкой обычной anti-rootkit инструмента, но никак не отдельным инструментом как таковым.
    Последний раз редактировалось rav; 17.12.2007 в 14:10.
    http://www.softsphere.com - DefenseWall, DefencePlus

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от rav Посмотреть сообщение
    Не получится северный олень из этой поделки, как бы они не старались.
    Илья, а где там написано, что должен получиться "северный олень"? =)

    Читаем:
    Hypersight RD перехватывает и блокирует попытки перехода в режим гипервизора. Данный тип активности присущ руткитам, которые используют аппаратную виртуализацию (Blue Pill, Vitriol). Кроме того, Hypersight RD перехватывает все операции с таблицей страниц, а также с GDT и IDT, что позволяет обнаруживать руткиты, применяющие стелс-технологии для скрытия в памяти (руткиты типа Shadow Walker).
    Ни больше, ни меньше... Т.е., по сути, это "как-бы" антирукит (авторы определяют его как "VIPS") для вполне специфического применения, точнее - для некоторых вполне определенных методик, применяемых отдельными руткитами (и не только руткитами - для этих случаев есть отдельная проясняющая ситуацию сноска в описании).

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Просто на сайте они позиционируют его как средство борьбы с руткитами в основном. А на это средство оно как раз и не шибко тянет. Ну изменит руткит методики внедрения и сокрытия себя в системе- и всё, отвалился VIPS. HIPS-системы значительно более надёжны в этом смысле- если всё спроектировано грамотно, как средство борьбы с руктитами оно надёжнее будет.

    Добавлено через 2 минуты

    Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU. Например, домен зареган через прокси...
    Последний раз редактировалось rav; 17.12.2007 в 14:32. Причина: Добавлено
    http://www.softsphere.com - DefenseWall, DefencePlus

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от rav Посмотреть сообщение
    Просто на сайте они позиционируют его как средство борьбы с руткитами в основном.
    Зато вот что написано в пресс-релизе:
    Однако было бы неправильно считать, что аппаратная виртуализация может обеспечить полную защиту ПК. Комплексная защита должна сочетать методы, применяемые в системах безопасности 1-го, 2-го, 3-го и 4-го типов (сигнатурные сканеры, системы предупреждения вторжений, сканеры целостности ядра, виртуальная система предупреждения вторжений)
    Позиционирование и понимание ситуации вполне адекватное, разве нет?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от aintrust Посмотреть сообщение
    Зато вот что написано в пресс-релизе:
    А, я его не читал.

    Цитата Сообщение от aintrust Посмотреть сообщение
    Позиционирование и понимание ситуации вполне адекватное, разве нет?
    Да, совершенно верно.
    http://www.softsphere.com - DefenseWall, DefencePlus

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    насколько я понял сначала запускаеться данный антируткит, а потом он уже передает управление ядру оси.. если неправ поправьте меня..
    Хотелось бы уточнить, разве может быть какой-то способ обхода? разве это не тоже самое(примерно) что хард подрубить к другому компу(запустить под другой осью)..как может себя что-то скрывать если оно не запущенно..

    Заранее благодарю экспертов за ответ=))
    или я чего-то недоганяюю..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    "гамнoсофт" имхо, ZenaDriver мне показалась более практичной =)

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Ego1st Посмотреть сообщение
    или я чего-то недоганяюю..
    Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.
    http://www.softsphere.com - DefenseWall, DefencePlus

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    Цитата Сообщение от rav Посмотреть сообщение
    Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.
    ring -1 запускаеться до ядра оси?
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    ring-1 - это новый уровень привилегий, доступный в процессоре для реализации хардверной виртуализации. Вопрос неправилен по своей сути.
    http://www.softsphere.com - DefenseWall, DefencePlus

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    Большое спасибо rav за пояснение изучу данный вопрос более подробно..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  14. #13
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от rav Посмотреть сообщение
    Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU
    Они это не особо скрывают.

    Цитата Сообщение от aintrust Посмотреть сообщение
    Зато вот что написано в пресс-релизе:

    Позиционирование и понимание ситуации вполне адекватное, разве нет?
    Почти. НО разница тут примерно как между security и safety.

    Защита должна не что-то в себе сочетать, а обеспечивать безопасность. Защита от вторжений malware подразумевает гарантию целостности системы. Это обеспечивается гарантией неизменности данных (кода) системы. Сигнатурные сканеры и сканеры целостности ядра (а полноценные реализации анхукеров практически не возможны на сегодняшний день) - это всего лишь часть необходимых для контроля вещей. Про другие можно прочитать например в докладе Semantec

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от S.T.A.S. Посмотреть сообщение
    Защита от вторжений malware подразумевает гарантию целостности системы.
    Скорее, гарантию некритичности подобных изменений. Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.
    http://www.softsphere.com - DefenseWall, DefencePlus

  16. #15
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от rav Посмотреть сообщение
    Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.
    Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от S.T.A.S. Посмотреть сообщение
    Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.
    Надёжная систеима должна или давать возможность откатить подобные изменения либо блокировать их.
    http://www.softsphere.com - DefenseWall, DefencePlus

  18. #17
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от rav Посмотреть сообщение
    Надёжная система должна или давать возможность откатить подобные изменения либо блокировать их.
    Необходимые и достаточные условия - очень разные вещи. Авторы Hypersight указали не все необходимые условия (потому что "Rustock.C" судя по всему детектился AdInf'ом). У тебя же выходит, что достаточные ограничиваются только 2мя; возможная ошибочность этого утверждения следует из того, что если мы о чем-то не знаем, это не значит что этого не может быть. Вот еще достаточное условие - проверять целостность при чтении. Да, работа системы может быть нарушена (как и в случае возможности отката (отката)). Но она не будет компрометирована.

    Добавлено через 2 минуты

    Да, кстати, не уверен, что возможночть отката - достаточное условие.
    Последний раз редактировалось S.T.A.S.; 21.12.2007 в 22:40. Причина: Добавлено

Похожие темы

  1. Ответов: 16
    Последнее сообщение: 06.11.2010, 00:10
  2. ПРЕСТУПНИКИ НОВОГО ТИПА
    От SDA в разделе Оффтоп
    Ответов: 0
    Последнее сообщение: 01.12.2009, 21:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01558 seconds with 19 queries