Перейти к содержанию
spw

Avira и Kaspersky не готовы к отражению "новых" угроз (x64 rootkits)

Recommended Posts

spw
Только вот на основе этого одного банального ребилда драйвера строится вся "теория заговора".

Теории заговора, dr_dizel, строю не я. Я описал реальный факт, имеющий место быть. Люди это подтвердили, провели разъяснительные беседы, внесли коррективы в работу и т.д. Что ты еще хочешь услышать?

У автора есть уже две разгромные "статьи" на основе сэмплов, которых почему-то никто так и не увидел. Впечатляет. Так писать можно всё что угодно - бумага стерпит.

"Автор", в отличие от кое-кого, не является п-болом. А про имеющиеся здесь факты см. выше.

Теоретически вообще можно всё. Но где реальный PoC? Все давно его ждут. Не томите. И только не отмазывайтесь как некоторые эксперты, которым нужно для подтверждения их же слов от других "стотыщмильёнов".

Вот тут. К тому времени, когда выйдет в паблик первая x64 бета, я очень рассчитываю, что ты, наконец, освоишь технику: "Не знаешь - лучше промолчи. За умного сойдешь".

P.S. Я так вижу, ты все не угомонишься. Ну хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Ответы на ваши вопросы легко находятся поиском и чтением букв.

Например несколько ссылок бородатых годов:

http://www.anti-malware.ru/forum/index.php...=6702&st=16

http://blogs.technet.com/b/security/archiv.../03/444666.aspx

http://blogs.technet.com/b/security/archiv.../12/446104.aspx

Я описал реальный факт, имеющий место быть.

Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят. Наверное нужно начинать молиться. :lol:

К тому времени, когда выйдет в паблик первая x64 бета...

Про это?

10 января, 2008

Реализована 64-битная версия OSPD: Proactive Defense. Проводится альфа-тестирование.

Да уже 2,5 года прошло, а даже бета версия для x64 всё никак не.... ммм... не выйдет. :lol:

"Автор", в отличие от кое-кого, не является п-болом.

Фу. Правила прочти. Быдло. Закамуфлированное оскорбление всё так же является оскорблением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят. Наверное нужно начинать молиться. :lol:

Под словом "аналитики", Вы, конечно, имеете в виду себя?

Я вот, как аналитик, не только верю в x64 драйвер без подписи, но и привожу его пример. А так же легко приведу примеры векторов атак установки на пользовательскую систему (через повышение привилегий через чужие подписанные драйвера, через изменение бут-сектора и еще ряд около-техник).

Про это?
10 января, 2008

Реализована 64-битная версия OSPD: Proactive Defense. Проводится альфа-тестирование.

Да уже 2,5 года прошло, а даже бета версия для x64 всё никак не.... ммм... не выйдет. :lol:

Смейся-смейся. Непонятно только над чем ты смеешься. Над собой?

Эта технология за этот срок не устарела. Даже интересно стало, что ты горлопанить начнешь после выхода. Как обычно - съедешь?

Фу. Правила прочти. Быдло. Закамуфлированное оскорбление всё так же является оскорблением.

Ох, какая у нас тонкая душевная организация. Простите великодушно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...верю в x64 драйвер без подписи, но и привожу его пример. А так же легко приведу примеры векторов атак установки на пользовательскую систему...

Одни вектора да слова, а где же семпл или poc? Я готов запустить его на своей 7-ке!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Ха, прикольный лай:)

Очень вероятно, но где пруф?

Ребят, вы че нить сами тестили, или все еще верите пруфам?:)

Но где реальный PoC? Все давно его ждут.

Весьма наивно:) А вы бы отдали _добровольно_ свои деньги?

P.S. Я так вижу, ты все не угомонишься. Ну хорошо.

Пошли угрозы:) Жесть:) I like it^_^

Факт того, что аналитики и боты не верят в угрозу малварных x64 драйверов без подписи? Действительно - не верят.

Не верят? Хорошо:) Вообще, загрузить _свой_ р0 драйвер(заметьте, про подписи я молчу) и сделать потом с системой все что угодно - не представляет _никакой_ сложности. Как не прискорбно(для некоторых:)), но х64 ядра уже разложены по байтам.

Я вот, как аналитик, не только верю в x64 драйвер без подписи, но и привожу его пример

Ну это, конечно, веская причина обзывать себя АНАЛитиком:)

через повышение привилегий через чужие подписанные драйвера, через изменение бут-сектора и еще ряд около-техник

Это уже ближе к телу. Но _строго говоря_ "*говорю шопотом" это давно устарело:)

Я готов запустить его на своей 7-ке!

А вы уверены, что он еще не запущен?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Одни вектора да слова, а где же семпл или poc? Я готов запустить его на своей 7-ке!

Как только выйдет первая public бета вышеобозначенного - сразу же отпишу. Повторю еще раз - будет забавно посмотреть, что ты в этом случае начнешь рассказывать. Можешь заняться выдумыванием "отмазок" уже сейчас. У тебя есть несколько месяцев на это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Реклама - это конечно хорошо. Но мне не нужен "гербалайф", я не просил и не говорил о нём. Мне нужен сэмпл или пок руткита для запуска на моей x64 7-ке. Да хоть бы тот несчастный сэмпл из топика. Ну хоть что-нибудь.

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Реклама - это конечно хорошо. Но мне не нужен "гербалайф", я не просил и не говорил о нём. Мне нужен сэмпл или пок руткита для запуска на моей x64 7-ке. Да хоть бы тот несчастный сэмпл из топика. Ну хоть что-нибудь.

Еще немножко. Давай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Похоже, мальварописатели, даже обелившись, не угомонятся в своих методах воздействия. Ждем "preved dr_dizel" в коде нового x64-сэмпла и фото в порно-баннерах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Схема работы "пункта приема зловредов" мне представляется так:

1). автомат принимает архив и пытается его распаковать применяя один из популярных паролей (infected, virus, 123, qwerty и т.д)

2). автомат пытается определить формат файла (файлов - если их несколько), при этом расширение файла (или его отсутствие) роли не играют. Наиболее "лакомым" форматом является PE - именно ему уделяются все силы. Наверняка есть еще несколько делений и критериев для выделения более мелких групп - например выделение из текстовых файлов bat-сценариев. На этом же этапе определяется валидность PE-файлов. Он может быть битым или нет.

Вот тут автомат был плохо обучен разбору x64 и обзывал файл нехорошими словами.

3). Дабы упростить работу людям автомат скорее всего пытается определить вредоносность и сам (запустить файл и посмотреть насколько он плохо себя ведет). Но такой способ (и в таком простом описании) не подходит для библиотек и драйверов. Конечно библиотеку можно цепануть к процессу в надежде на то, что она отработает весь зловредный потенциал по DLL_PROCESS_ATTACH, но стопроцентной гарантии этого никто не дает :)

4). То, на что автомат не смог выдать какого-то точного вердикта, или посчитал образец сложным/интересным/или по еще каким-то заданным человеком специфическим условиям - передается на анализ человеку.

5). Человек также исследует не в блокноте (про инструменты как-то писал sww в интервью + это видно на скринах/заметках в секуреблоге, блоге sww и т.д - не все инструменты могут нормально работать с x64, а если у человека нет опыта их разбора, то можно и вовсе понять, что файл не валиден.

Из сказанного выше в этой теме можно сделать следующий вывод:

Юрий Паршин провел разъяснительные работы с персоналом, а sww провел разъяснительные работы с автоматом, что бы он не откидывал x64. В ЛК проблема с этим вроде решена, причем оперативно. А с другими вендорами дело или буксует или тоже определились что делать и делать ли что-то вообще... :)

Похоже, мальварописатели, даже обелившись, не угомонятся в своих методах воздействия. Ждем "preved dr_dizel" в коде нового x64-сэмпла и фото в порно-баннерах?

Лучше "preved" чем фото в голом виде :)

По крайней мере никому от "превед" не будет обидно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Юрий Паршин провел разъяснительные работы с персоналом, а sww провел разъяснительные работы с автоматом, что бы он не откидывал x64.

Не, я всего лишь скинул ссылку на эту тему нужным людям. А дальше они уж сами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

priv8v

Мне-то что, я знаю, в чей офис ребята с Литейного заходят кофе попить.

А вот когда редакторам русского MSDN угрожают девелоперы, которые от Литейного подальше... :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Отсылал. Реакция - 0. Даже ответа от робота нет.

Возможно, они закрыли тот e-mail (в смысле - принимается, но не анализируется).

Да, у Симантековцев ящик больше не работает. Все семплы принимаются через веб-форму или через карантин продуктов. Но, как думаю, смысла слать нет. Потому что:

1. Приходит номер тикета, что файл получен.

2. Через 1-3 дня придётся сообщение о том, что в файле ничего вредоносного автоматика не обнаружила. (может выдать что файлы повреждены).

3. Если всё-таки файлы остались "не повреждены", будет сообщено о том, что файлы оставлены для анализа людьми. Но как потом связатся с этими самим людьми - пока неизвестно. Возможно, через тех. поддержку и указав им номер тикета. Можно с их сайта запустить чат, и там спросить.

Ответа о том, что файл проанализирован и добавлен в базы - не дождётесь. Отсылал около 100 зловредов - ни одного ответа не получил. :D

Но если что - пробуйте:

https://submit.symantec.com/websubmit/retail.cgi

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Avira и Kaspersky не готовы к отражению "новых" угроз (x64 rootkits)

Старттопик удивил и расстроил. Уже много раз задавал вендорам вопросы по поводу поддержки x64. Похоже, что ответы про (почти)полную поддержку (во всех смыслах слова "поддержка") были сильно преувеличены.

Ложь (полуправда, недосказанности...) сильнее портят Вашу репутацию, товарищи вендоры, чем открытое признание о том, что Вы пока не умеете. Скорее бы matousec выпустил x64 тесты для семерки. Надеюсь, они помогут многих вывести на чистую воду. :(

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Старттопик удивил и расстроил. Уже много раз задавал вендорам вопросы по поводу поддержки x64. Похоже, что ответы про (почти)полную поддержку (во всех смыслах слова "поддержка") были сильно преувеличены.

Ложь (полуправда, недосказанности...) сильнее портят Вашу репутацию, товарищи вендоры, чем открытое признание о том, что Вы пока не умеете. Скорее бы matousec выпустил x64 тесты для семерки. Надеюсь, они помогут многих вывести на чистую воду. :(

У Матусека в тестах приличный процент кривых трактовок. А под Win7 даже x86 уже даже неприличная доля его текущих тестов не запускается, куда там до "покоцанной" x64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

Про матушека вспомнил скорее как про "соломинку" (хоть какая-то защита для простого пользователя, который сам не в состоянии проанализировать уровень защиты)...

Тогда второй вариант - (тут уже предлагали, и я поддерживаю) перевести все местные тесты (в дополнение к существующему тесту родительских контролей) на x64. Это шаг должен подтолкнуть как вендоров, так и пользователей в "правильном" направлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
У Матусека в тестах приличный процент кривых трактовок. А под Win7 даже x86 уже даже неприличная доля его текущих тестов не запускается, куда там до "покоцанной" x64.

Не знаете причин - не пишите глупости.

Они там не запускаются, по причинам говнокода (простите), например, прямых ползаний по PEB без учета, что смещения могут быть разными. Это исправляется достаточно быстро. И разом решает проблему многих тестов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Не знаете причин - не пишите глупости.

Они там не запускаются, по причинам говнокода (простите), например, прямых ползаний по PEB без учета, что смещения могут быть разными. Это исправляется достаточно быстро. И разом решает проблему многих тестов.

Знаю в объеме, достаточном для понимания сути проблемы - SSTS для x64 не работает, для Win7 тоже еле-еле. Между прочим, смысл наших высказываний одинаков, но разные акценты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Не знаете причин - не пишите глупости.

Ха, в точку:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nike

Sp0Raw

на данном форуме зарегистрированы, в основном, представители ЛК.

следовательно, писать что-то о других продуктах нет смысла. особенно о том, что указан в названии темы.

если вы действительно создали данную тему для того, чтобы помочь улучшить два указанных продукта, вас ждут в техподдержке Avira. а если есть возможность сделать запрос на англоязычной странице, то думаю данный вопрос не заставит себя долго ждать. очень интересно будет увидеть дальнейший диалог.

p/s так и не увидел высылаемый вами вредоносец для х64 в теме. хотелось бы аналогично посмотреть на него на Windows 7 x64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
вас ждут в техподдержке Avira

Вирлаб преотлично общается с ТП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nike
Вирлаб преотлично общается с ТП.

а что предлагаете делать? не у всех антивирусов на форумах русскоязычных представители вирлаба есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Coner
В ЛК и Авиру были отправлены тела. Полный текст сообщения:

Упомяните в теме ваш File ID запроса, направленного в Avira, руткит будет перепроверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×