Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Антивирус не решает проблем: мнение автора руткита

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639

    Антивирус не решает проблем: мнение автора руткита

    Антивирус не решает проблем: мнение автора руткита
    Автор одного из руткитов (под названием Hacker Defender), некто, скрывающийся под ником "holy_father", опубликовал на сайте Emailbattles.com своё видение текущей ситуации на рынке антивирусных средств. Привожу его вашему вниманию в переводе, максимально близком к оригинальному тексту. Несмотря на то, что я не совсем согласен с его точкой зрения, думаю, что мнение хакера должно быть интересно нашим читателям - хотя бы для того, чтобы понять, что именно движет им, и что заставляет его использовать свой инструментарий для проникновения в компьютерную систему...

    "Антивирусные компании продают фальшивое чувство защищённости, но они не приносят на ваш компьютер настоящую безопасность. Антивирус просто борется со злоумышленными программами, которые обычно и так видны большинству пользователей, а вот первопричиной угрозы - он не занимается. Если я опубликую коды, предотвращающие нахождение моего руткита в системе, многие антивирусные компании не сделают ничего, кроме как добавят несколько байт к своим сигнатурам или просто попробуют как-то обмануть "движок" моего руткита. Далее, они будут утверждать, что могут бороться с руткитами на базе моего функционала, предотвращающего нахождение вредоносного кода. Но саму проблему руткитов - они не решат, остановившись только на конкретике и частном случае. И их антивирусный "движок" можно будет обходить снова и снова...

    Такое отношение к делу приносит прибыль компаниям на рынке информационной безопасности, поскольку пользователи скачивают обновления и покупают новые версии антивирусного программного обеспечения. Таким образом, получается замкнутый круг и постоянный приток денег - поэтому антивирусные компании не хотят менять ситуацию.

    Да, антивирусы защитят вас от постоянно распространяющихся на просторах Интернет сетевых "червей". Но всё-таки основная угроза пользовательской системе - это подготовленная адресная атака. В ней используется специальный инструментарий, и те методы, которыми пользуюсь и я в своих программах. И эти инструменты практически невозможно определить. Антивирусные компании не могут получить к ним доступ, и поэтому не могут добавить их определение в свои базы данных. Таким образом, успешно атаковавший конкретную систему профессиональный хакер с помощью своего инструментария обычно скрывает руткит, установленный в системе.

    Похоже, ситуация должна поменяться. Hacker Defender и другие руткиты должны заставить компании на рынке компьютерной безопасности позаботиться о сути проблемы, улучшая свои продукты. Уже на данный момент я вижу значительный прогресс - ситуация действительно улучшается, но работы - ещё по прежнему непочатый край: необходимо совершенствовать детекторы руткитов и антивирусные модули.

    Поэтому я продолжу свою работу - буду находить уязвимости слабых антивирусных продуктов, и антивирусные компании рано или поздно выпустят настоящее средство защиты. Вообще, среди моих заказчиков - в основном ребята из фирм, занимающихся компьютерной безопасностью - они просят меня протестировать тот или иной продукт на противостояние сетевому вторжению и т.д. А "плохим парням" свои программы и методы я не отдаю.

    Люди часто спрашивают меня - почему я не начну выпускать средства для борьбы с руткитами, а не сами руткиты. Очевидно, что я должен был сделать выбор между руткитом и анти-руткитом. Если я предпочёл бы последний, то никто из хакеров просто не использовал бы технологии, которые останавливает моя программа...

    Корпорация Microsoft утверждает, что её антивирусный модуль Windows Malicious Software Removal Tool детектирует Hacker Defender. Я всегда проверяю последнюю версию Windows Malicious Software Removal Tool на своём Hacker Defender, и она не может определить даже последнюю общедоступную версию Hacker Defender (hxdef 1.0.0), давно уже опубликованную вместе с исходными кодами. Если не верите - можете попробовать сами...

    Платные версии Hacker Defender - идут с переписанным кодом, который предотвращает обнаружение антивирусными программами. Каждый раз перед продажей платной версии своего руткита я тестирую его на восьми антивирусных программах с самыми свежими базами: Avast!, AVG, Kaspersky, McAfee, NOD32, Norton, Panda, PC-cillin. Код каждой проданной версии Hacker Defender - в чём-то отличается от предшественников, так что в этом случае соблюдаются интересы заказчиков.

    Вообще, в ряде случаев изменение одного байта в начале, и одного - в конце злоумышленного кода, который на данный момент уже определяется антивирусными модулями - может привести к тому, что вирус не будет вызывать подозрения у ряда антивирусных продуктов. Это наводит меня на мысли по поводу текущего технического оснащения "движков", которые заявляют возможности эвристического обнаружения злоумышленного кода. Посетите сайт торговца антивирусами, почитайте, какие высокие технологии он вам обещает, затем поменяйте несколько байт в скачанном вами сэмпле вируса и составьте своё собственное мнение об этом производителе...

    Вообще, механизмы предотвращающие нахождение руткита в платных версиях моего Hacker Defender успешно обходят современные средства детектирования, вроде BlackLight, RootkitRevealer, IceSword, UnHackMe и RKDETECTOR 2.0. Это весьма удивительно, так как механизм анти-детектирования Hacker Defender был создан несколько месяцев назад и практически не изменялся. Так что подождём настоящих программ, которые смогут решать проблемы безопасности. Мой Hacker Defender существует для того, чтобы продемонстрировать антивирусным вендорам тот факт, что им необходимо продолжать совершенствовать свои технологии"...

    Автор: Алексей Перевертайлов
    Источник: fcenter.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Tra1toR
    Guest
    интересно а AVZ поймает его??? )

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Публичную версию великолепно видят - AVZ, PHunter и IceWord остальных не проверял.
    По идее должен увидеть Spider от веба, если переключить с оптимальной проверки на полную.

  5. #4
    Geser
    Guest
    По идее должен увидеть Spider от веба, если переключить с оптимальной проверки на полную.
    Речь идёт об определении новых версий. ДрВеб явно не определит.

  6. #5
    Tra1toR
    Guest
    a AVZ?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Exxx
    Регистрация
    05.07.2005
    Адрес
    Москва
    Сообщений
    301
    Вес репутации
    64
    a AVZ?
    Цитата Сообщение от RiC
    Публичную версию великолепно видят - AVZ, PHunter и IceWord остальных не проверял.

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)

    Суть не в простом анти детекте изменяя сигнатуры а вхитрых манипуляциях - к примеру перехвата DeviceIoControl() и патчинг там структур возвращаемых драйвером анти-руткита.. но там еще методы есть..
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  9. #8
    Geser
    Guest
    Цитата Сообщение от Sanja
    я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)

    Суть не в простом анти детекте изменяя сигнатуры а вхитрых манипуляциях - к примеру перехвата DeviceIoControl() и патчинг там структур возвращаемых драйвером анти-руткита.. но там еще методы есть..
    И что, АВЗ не сможет нейтрализовать перехват DeviceIoControl() как нейтрализует другие перехваты?

  10. #9
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    не то чтобы несможет.. он просто этот перехват необнаружит
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от Sanja
    я вам вот что скажу.. если автор ХакДефа узнает об АВЗ - он перестанет его ловить Ж)
    ...
    Как это ни забавно прозвучит, но holy_father как раз-то знает об AVZ, я писал уже об этом достаточно давно в обсуждении предстоящих доработок AVZ. Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...

  12. #11
    Geser
    Guest
    Цитата Сообщение от aintrust
    Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...
    В то же время верно и обратное. Если Олегу послать руткит который не видит АВЗ, то не составит труда сделать так что он его увидит
    Кстати, тут разнообразие антируткит программ играет против хакера. Потому как нужно попотеть что бы ни одна не обнаруживала.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    209
    Цитата Сообщение от aintrust
    Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...
    Вот бы увидеть цикл заметок от людей более-менее понимающих в системном программировании, о разных мелочах, которые не требуют значительных затрат времени, в виде коротких заметок как, например, тут

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от HATTIFNATTOR
    Вот бы увидеть цикл заметок от людей более-менее понимающих в системном программировании, о разных мелочах, которые не требуют значительных затрат времени, в виде коротких заметок как, например, тут
    Так http://www.rootkit.com или http://www.hxdef.org еще никто не отменил пока что... какой смысл в тиражировании информации оттуда?
    Последний раз редактировалось aintrust; 29.12.2005 в 16:08.

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Цитата Сообщение от aintrust
    Как это ни забавно прозвучит, но holy_father как раз-то знает об AVZ, я писал уже об этом достаточно давно в обсуждении предстоящих доработок AVZ. Кто-то из пользователей AVZ послал ему ссылку на сайт и саму программу, на что holy_father сказал, что, во-первых, он не понимает по-русски, а, во-вторых, он абсолютно уверен в том, что написать такой Hacker Defender, который AVZ даже не смог бы увидеть, не говоря уже об "отловить" и "обезвредить", в общем, не составляет труда. Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а...
    Впрочем, любой, кто более-менее представляет себе системное программирование, знает это и без holy_father-а

    И ему проще написать свой антируткит о котором Святой небудет знать ничего Ж)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда. Раз перехватываются функции - это можно заметить. Если прячется процесс - чем-то он себя выдаст. Что-то правится - нельзя испавить все идеально, где-то останутся следы. Если всетаки обнаружение перехватов или модификаций в ядре невозможно - в ход идут косвенные признаки поиска. Если и они не помогают - загрузка с чистого CD и изучение диска ...
    А борьба руткит-антируткит - это процесс бесконечный, как и противостояние вирус-антивирус. Просто все методики маскировки можно разбить на две категории:
    1. Глобальные. Позволяют замаскировть руткита от заранее неизвестного анализатора настолько хорошо, что он его не найдет. Практически недостижимая цель ...
    2. Локальные. Противодействуют определенным анализаторам или методам анализа. Или борьба идет с конкретными продуктами конкретных версий ... Противодействие методам анализа - "хорошая" штука, т.к. сравнительно универсальна. Противодействие конкретным антируткитам эффективно, но чаще всего как раз демаскирует руткита, а не маскирует его.

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от Зайцев Олег
    Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда. Раз перехватываются функции - это можно заметить. Если прячется процесс - чем-то он себя выдаст. Что-то правится - нельзя испавить все идеально, где-то останутся следы. Если всетаки обнаружение перехватов или модификаций в ядре невозможно - в ход идут косвенные признаки поиска. Если и они не помогают - загрузка с чистого CD и изучение диска ...
    Это все лишь теория, и дискутировать тут бессмысленно, т.к. это все прописные истины. Практика же состоит в том, что "бриллиантовую" версию Hacker Defender, по заявлению holy_father (а не верить ему нет никакого смысла), не может обнаружить ни один из более-менее распространенных анти-руткитов (см., в частности, тут).
    Перефразируя твое первое предложение, я бы написал так: "Говоря о рутките/антирутките можно утверждать, что 100% невидимого руткита нет и не буде никогда, так же как и 100% надежного анти-руткита нет и не будет никогда." В данном контексте можно лишь говорить о комплексной методике ловли, включающей множество подходов к поиску руткита, но никак не о конкретной программе анти-руткита.
    Цитата Сообщение от Зайцев Олег
    Просто все методики маскировки можно разбить на две категории:
    1. Глобальные. Позволяют замаскировть руткита от заранее неизвестного анализатора настолько хорошо, что он его не найдет. Практически недостижимая цель ...
    2. Локальные. Противодействуют определенным анализаторам или методам анализа. Или борьба идет с конкретными продуктами конкретных версий ... Противодействие методам анализа - "хорошая" штука, т.к. сравнительно универсальна. Противодействие конкретным антируткитам эффективно, но чаще всего как раз демаскирует руткита, а не маскирует его.
    Я бы сказал, что это как минимум странное "разбиение" на категории (снова теоретизируешь ), впервые слышу о таком! Или ты можешь привести конкретный пример руткита из "глобальной" категории? Это из серии: "написать что-то, что ни при каких условиях не будет видно неизвестно кому/чему"? Сомневаюсь, что хотя бы один руткитер (т.е. автор руткита) когда-либо ставил себе такую цель...
    Так не бывает еще и потому, что любой руткит использует вполне конретный набор методик для сокрытия, так же как и любой анти-руткит использует вполне конкретный набор методик для обнаружения.
    Последний раз редактировалось aintrust; 30.12.2005 в 09:31.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Насчет бриллиантовой версии - не знаю, но я как-то не верю, что все существующшие антируткитные методики против него бессильны. Основные - может быть, но не все.
    Я на 100% согласен, что нельзя использовать в антирутките некую одну технологию - их должно быть много, и чем больше различных методик анализа применяет антируткитная защита, тем сложнее такую защиту будет обмануть или обойти.
    По поводу глобальных технологий - я имею в виду что-то радикально новое. Вернее не новое, а оригинальное ... почему-то все писатели руткитов зациклены на том, что нужно создать процесс / открыть порты или сотворить еще что-то, и потом из кожи вон лезть, чтобы это замаскировать. Но, к примеру, можно написать сервер, который будет принимать соединения и вести обмен по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)... тогда маскировать ничего не придется ... и ни один анализатор не увидит открытого порта, поскольку его нет. Аналогично с процессом - а что если его нет, этого процесса (или потока) ?? Тогда и маскировать ничего не надо, и анализаторы ничего не найдут (вспомним для примера "блоху" ) Т.е. такой концептуально новый подход может поставить заранее неизвестный анализатор в тупик ...

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от Зайцев Олег
    Насчет бриллиантовой версии - не знаю, но я как-то не верю, что все существующшие антируткитные методики против него бессильны. Основные - может быть, но не все.
    Я на 100% согласен, что нельзя использовать в антирутките некую одну технологию - их должно быть много, и чем больше различных методик анализа применяет антируткитная защита, тем сложнее такую защиту будет обмануть или обойти.
    По поводу глобальных технологий - я имею в виду что-то радикально новое. Вернее не новое, а оригинальное ... почему-то все писатели руткитов зациклены на том, что нужно создать процесс / открыть порты или сотворить еще что-то, и потом из кожи вон лезть, чтобы это замаскировать. Но, к примеру, можно написать сервер, который будет принимать соединения и вести обмен по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)... тогда маскировать ничего не придется ... и ни один анализатор не увидит открытого порта, поскольку его нет. Аналогично с процессом - а что если его нет, этого процесса (или потока) ?? Тогда и маскировать ничего не надо, и анализаторы ничего не найдут (вспомним для примера "блоху" ) Т.е. такой концептуально новый подход может поставить заранее неизвестный анализатор в тупик ...
    Олег, всё хорошо, только одно "но": ты забываешь о предназначении руткита. А он призван маскировать присутствие зверя на компьютере! И теперь скажи мне- а кто пишет зверей? Суперпрофи типа нас с тобой? Нет! И именно поэтому и нужны маскировки открытых портов (да, обмен по TCP/IP можно реализовать и без этого, но много ли людей способно на это?), именно поэтому нужно маскировать процессы (да, можно внедриться очень глубоко в уже существующий, но много ли зверописателей будет на это заморачиваться, ведь и так всё работает!), файлы на диске и ключи реестра. AVZ уже способна на автомате отловить и задавить процентов 90 руткитов ITW, этого более чем достаточно. Так что, сделай-ка лучше английскую версию AVZ и сайта, народ ждёт (и не только в России)!
    http://www.softsphere.com - DefenseWall, DefencePlus

  20. #19
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Зделать демаскировку хакер дефендеру очень просто Ж) просто драйвер должен на диск сдампить список процессов и пидов Ж) а потом пользователь из таск манагера сравнит Ж)

    касперы - тоже хитрожопые - они дампят драйвером список потом запускают таск манагер инжектируются туда.. и сравнивают из него ж)
    Последний раз редактировалось Sanja; 30.12.2005 в 19:04.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  21. #20
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    >по TCP\IP не устанавливая соединений и не прослушивая порты (в понимании операционной системы естественно)...

    сейчас к примеры на XP SP2 это зделать трудновато т.к рав сокет не открыть... а драйвер ставить - так проще перехватить ченить чем с ndis&tdi работать Ж)

    И нащет TCP ack / fin / rst backdoora / icmpЭ - есть у меня такой комбайн но все както менее надежно чем жесткий коннект
    Последний раз редактировалось Sanja; 31.12.2005 в 00:05.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 20.08.2011, 14:32
  2. Ответов: 9
    Последнее сообщение: 30.04.2011, 23:45
  3. Противостояние «Доктор Веб» и автора Trojan.Encoder продолжается
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 02.10.2009, 21:17
  4. Ответов: 17
    Последнее сообщение: 27.02.2009, 20:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00559 seconds with 16 queries