АнтиРуткиты - Невидимая Война

[Saule]

АнтиРуткиты

Невидимая Война

EP_X0FF

UG North Division

Весна 2007

Введение

Данный документ представляет собой обзор имеющихся на текущий момент времени (конец весны 2007 года) средств обнаружения объектов «руткит». Он не содержит какой-либо особо закрытой технической информации и предназначен, прежде всего, для введения в очень интересную и бурно протекающую войну «под ковром». Если вы в курсе событий, сие лирическое введение можно пропустить и сразу переходить к описанию ПО.

Почему война? Называть то, что происходит последние четыре года «состязанием» и «противостоянием умов» у меня как-то язык не поворачивается. Это самая настоящая война с крупными победами, крупными поражениями, жертвами и т.д. В этой войне нечетко ограничены две противоборствующие стороны – руткитописатели и так называемое Security Community. Переводить это или находить похожее словосочетание на русском даже не хочется, так здорово лично для меня оно ассоциирует эту многочисленную группу людей и организаций. Почему стороны выражены нечетко? Зачастую бывшие авторы руткитов (или просто – вредоносного ПО, «зловред») работают на вполне легитимные компании, а порой и совмещают эти занятия.

Итак, что такое «руткит». Существует достаточно большое количество определений, созданных противоположными сторонами. Но суть их в принципе одинакова и сводится к тому, что «руткит – это программа, скрывающее свое присутствие в системе от пользователя и других программ». Определение достаточно обтекаемое и кому-то может не понравиться. Руткиты в чистом виде не применяются нигде. Собственно, руткиты – это всего лишь набор методов. Программы, использующие руткит-технологии на платформе Windows известны достаточно давно, и Грег Хоглунд отнюдь не является отцом всея rootkit для Windows :sm(100):

Руткит-технологии применяются практически везде. Начиная от примитивных троев, перехватывающих функции ОС, и заканчивая вашим любимым антивирусом и/или фаерволом. Security Community всегда было достаточно тугодумным и крайне медленным на подъем. Но к эре руткитов оно оказалась совершенно не готово. Несмотря на то, что большинство технологий известны уже многие годы, ни одна антивирусная компания не была готова к появлению первых руткитов под линейку ОС Windows NT. Лишь спустя три (!) года тупого вращения глазами забугорные господа, наконец, начали шевелить мозгами и что-то менять в своих примитивных антивирусах, что-то кроме их аляпистого интерфейса. Процесс пошел, однако, как вы далее увидите, пошел он совсем не по правильному пути. Общество оказалось совсем не готовым к появлению нового типа зловредов, что активно сопротивляются и не менее активно скрываются. Потребовался инструмент для борьбы, примитивный топор. Пока Security Community успешно хлопало своими дамбовскими ушами и сладострастно изрыгало очередные бессмысленные и глюкавые пачки сигнатур в народе нашлись умельцы, создавшие первые программы, способные (иногда) противостоять новым угрозам. Конечно, качество этих программ вызывает серьезные сомнения, но, однако некоторое время это было единственным средством способным идентифицировать и иногда успешно противостоять новой угрозе. Вы уже догадались – речь идет об «антируткитах».

Сейчас количество этих программ уже идет на десятки. Появилось деление на классы, группы, все как у взрослых. К сожалению, качество программ по-прежнему оставляет желать лучшего. Впрочем, вы все увидите сами...

_________________________

Продолжение и полная версия самого обзора: http://www.rootkit.com/blog.php?newsid=723

[invisible_war.rar]

[_Leon_]

Антируткиты часто ошибаются -в смысле выдают все прехваты фунций.тут надо думать ,что к чему.

Если уж большинство и антавир не могут настроить..то тут то знаний надо еще больше .

[Iomhar Dealgach]

Мда, сурово...

По ходу все HIPSы похоронены... А дальше будет еще хуже, я так понял...

[NickGolovko]

Яда EP_X0FF не занимать, как всегда. :smiles20(11): Было бы странно ожидать, что через завалы некачественных дрянных антируткитов не просматривался бы светлый лик Rootkit Unhooker. :cray1:

В целом материал интересный, неплохое подтверждение прописных истин, как то:

- проще не болеть, чем лечиться,

- нет защиты, которую нельзя обойти.

Еще можно добавить, что демонстрационные руткиты, созданные в тестовых целях для демонстрации "беспомощности" антируткитов, не обязательно свидетельствуют о никчемности последних. Ну и, конечно, приятно, что нашим специалистам удалось убедить авторов документа, что AVZ не является специализированным антируткитом. :smiles20(12):

[Saule]

Антируткиты часто ошибаются -в смысле выдают все прехваты фунций.тут надо думать ,что к чему.

Не ошибаются, а именно "осознанно" выдают все, видимые им, перехваты. Так как перехват - либо есть, либо нет (не по сигнатурам ведь сканим). Или другими словами: от системы (и вас вместе с ней) либо что-то скрывается, либо же нет.

А для того, чтобы удостовериться в каких именно целях скрывается (в целях вашей же безопасности или наоборот) на крайний случай, если нужно в чем-то удостовериться, есть: google.com и форумы :smiles20(12):

По ходу все HIPSы похоронены... А дальше будет еще хуже, я так понял...

Не путаем сканеры для детектирования руткитов с HIPS-системами - это разные вещи :smiles20(11):

[_Leon_]

А для того, чтобы удостовериться в каких именно целях скрывается (в целях вашей же безопасности или наоборот) на крайний случай, если нужно в чем-то удостовериться, есть: google.com и форумы smile.gif

Да кто ж из юзеров копать-то будет ))? У одного нашел 9200 вирей :smiles20(12): ,а он говорит вирусов нет ..

Самый лучший совет Ложась спать-не забудьте отключить электричество :smiles20(11):

[Saule]

Да кто ж из юзеров копать-то будет ))? У одного нашел 9200 вирей :) ,а он говорит вирусов нет ..

Самый лучший совет Ложась спать-не забудьте отключить электричество :)

С тем же успехом можно спросить: а что делать тем людям, кто не знает, как отключается электричество?

Видимо, этот топик создавался для пользователей немного другого уровня (и потом: вы слишком не дооцениваете юзеров :D).

P.S. Вирус, скорее всего, был 1 (максимум: их было не больше десятка). Всё остальное - это уже зараженные этим вирусом файлы.

[veiK]

Здорова

добавлю

Предисловие

Данный цикл статей посвящен достаточно актуальной в настоящей момент проблеме – технологиям, применяемым разработчиками вредоносного программного кода. В последнее время появилось множество вредоносных программ, по определению нельзя считать вирусами, поскольку они не обладают способностью к размножению. Речь пойдет о RootKit, клавиатурных шпионах, троянских и шпионских программах.

Введение

Термин RootKit исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. RootKit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

В системе Windows под RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции, или производит замену системных библиотек.

...................

Заключение

Описанные выше базовые методики перехвата функций поясняют основные принципы работы RootKit. Однако следует помнить, что разработчики RootKit-технологий не стоят на месте, в результате постоянно появляются новые разработки, подходы и методы.

Практика показывает, что разработчики вредоносных программ (вирусов, троянских программ, шпионского ПО) все чаще начинают использовать RootKit-технологии, что существенно затрудняет обнаружение и удаление созданных ими вредоносных программ. Чаще всего применяются методики перехвата функций в режиме пользователя, но в последнее время появились весьма эффективные реализации с применением драйверов.

:D

http://www.z-oleg.com/secur/articles/rootkit.php

Современные киберпреступники решают эту проблему точно так же, как ее решали «киберхулиганы» 10-15 лет назад. Одним из первых известных вирусов для PC был Virus.Boot.Brain.a — загрузочный вирус, который перехватывал системные функции доступа к диску и при чтении загрузочного сектора (например, антивирусной программой) подставлял на место зараженных оригинальные данные. Со временем те же самые stealth-механизмы (перехват системных функций и подмена возвращаемых ими данных) стали использоваться в Windows-вирусах (Virus.Win32.Cabanas.a).

................

В последнее время использование rootkit-технологий для сокрытия присутствия вредоносного ПО становится все более популярным, что подтверждается ростом стабильным числа ежемесячно обнаруживаемых новых rootkit-программ

.....................

Rootkit-технологии для Windows

Сокрытие присутствия в системе

В настоящее время используемые rootkit методы сокрытия присутствия в системе можно разделить на две группы:

1. модификация пути выполнения обработчиков;

2. модификация системных структур.

http://www.viruslist.com/ru/analysis?pubid=167237574

PS Шарят! :)

[_Leon_]

С тем же успехом можно спросить: а что делать тем людям, кто не знает, как отключается электричество?

Видимо, этот топик создавался для пользователей немного другого уровня (и потом: вы слишком не дооцениваете юзеров :)).

P.S. Вирус, скорее всего, был 1 (максимум: их было не больше десятка). Всё остальное - это уже зараженные этим вирусом файлы.

Эх..юзеры ..) У большинства ни антивиров,ни стенок и в помине нет )

Да не буду я спорить с дамой ,конечно :) даже ,наоборот ,соглашусь :)

[Iomhar Dealgach]

Эх..юзеры ..) У большинства ни антивиров,ни стенок и в помине нет ) ...

Ой-ли? Стенка есть у всех - встроенная - по умолчанию устанавливается, скорее многие не знают что она есть и как ее отключить...

А что качается антивирей - к скольки чужим компам притрагивался - так и нигде отсутствия антивиря не наблюдал... Неужель попадаются еще такие юзеры?

[_Leon_]

Ой-ли? Стенка есть у всех - встроенная - по умолчанию устанавливается, скорее многие не знают что она есть и как ее отключить...

А что качается антивирей - к скольки чужим компам притрагивался - так и нигде отсутствия антивиря не наблюдал... Неужель попадаются еще такие юзеры?

ггг) Ну да -стенка-то есть-вернее подобие. Потом ставят Аутпост и жалуются на тормоза )) Антивири ? Наблюдал ..Касперского 2003 года ,который ни разу не обновлялся ..

Жалуются юзвери-антивир и стенка мешает ИГРАТЬ и отключают навсегда )

[Trotil82]

Сайт .rku.nm.ru в настоящее время не работает. Не осталось ли у кого копии этого интересного обзора?

[Saule]

Сайт .rku.nm.ru в настоящее время не работает. Не осталось ли у кого копии этого интересного обзора?

Invisible War