Перейти к содержанию
Kopeicev

Тест на предотвращение проникновения в ring0 II (подготовка)

Recommended Posts

DiabloNova
Патчинг и загрузка из mbr.

dr_dizel хоть бы промолчали если не в теме :)))

Что прицепились к этому ioctl? Там еще команд прилично есть и все работают и совсем не обязательно открывать именно "диск" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
SWW подскажи, а руткиты написанные под x86 работают на x64?

Драйверы? Нет.

P.S. Смотря что понимать под словом "руткит".

sww

Дык, сделай красиво - подкинь тестовые тулзени.

У меня их нет. А сорцы TDL5 я не дам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Атака на спулер? Прямой инжект в services/csrss? Особенно в csrss.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
хоть бы промолчали если не в теме :)))

Чёрт. Я забыл что для загрузки из mbr нужна тема. :)

Что прицепились к этому ioctl? Там еще команд прилично есть и все работают и совсем не обязательно открывать именно "диск" ;)

Понравился он мне. Но я не писал про диск - про него писал vaber. И про что вы там намекаете? Про VBR, NTLDR, boot.ini, etc? Колитесь уже. :) И как мне вообще быть со своей 7x64 на GPT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Атака на спулер? Прямой инжект в services/csrss? Особенно в csrss.

От инжектов лучше отказаться, использовать только прямые способы. Ибо либо тест на проникновение в ядро или же просто тест HIPS - аналог Матушека.

И про что вы там намекаете? Про VBR, NTLDR, boot.ini, etc?

Угу, отправить ioctl в boot.ini =))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Инжект в csrss лучше включить. Потому что оттуда попасть в ядро- проще пареной репы. Отследить будет практически невозможно. Я серьёзно. win32k предоставляет этому процессу функции с невалидизируемыми параметрами, можно что угодно записать куда угодно в ядро из пользователя. Снять те же хуки в ядре, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Угу, отправить ioctl в boot.ini =))))

А чего смеёмся? Прописываем в boot.ini по дефолту бутсектор в файле и вуаля. Вы никогда не настраивали загрузку линуха так? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги, я у тут полностью доверяю вашему коллегиальному мнению, давай придем к какому-то списку методов для теста. Если мы хотим сделать его быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А чего смеёмся? Прописываем в boot.ini по дефолту бутсектор в файле и вуаля. Вы никогда не настраивали загрузку линуха так? smile.gif

Да причем тут линух и boot.ini вообще? :) Я говорю о TDL и ф-ции ZwDeviceIoControlFile - в плане применимости к тесту.

Коллеги, я у тут полностью доверяю вашему коллегиальному мнению, давай придем к какому-то списку методов для теста. Если мы хотим сделать его быстро.

ИМХО, нужно применять все то, что и было - это основные способы попадания в нулевое кольцо. Стал известен способ с применением FltMgr драйвера, но в малваре я ни разу не видел его применения. Работа с секцией Knowndlls можно исключить, это все-таки инжект. А если и применять,то с небольшими изменениями, чтобы больше HIPS тест провалило))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Думаю, бессмысленно опираться только на то, что было. Ценность теста от этого упадёт. Нужно смотреть, как зловредный код может проникнуть в ring0 и от чего именно и как именно пользователя защищают.

Кстати, трюк с KnownDlls реально использовался. И именно для проникновения в доверенные процессы, которым можно ставить драйвера. Так что, думаю, нужно просто сделать "эмулятор" такого вот действия- проникновения в доверенный системный процесс и попытка установить драйвер оттуда (или же снять хуки). И FltMgr тоже можно вполне до кучи прицепить- расход ресурсов на программирование небольшой, а ценную информацию в себе несёт. Кто может гарантировать, что завтра в руки Василия не попадёт такой вот семпл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Я говорю о TDL и ф-ции ZwDeviceIoControlFile - в плане применимости к тесту.

Вот и вообще ничего не надо кроме прав админа. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И FltMgr тоже можно вполне до кучи прицепить- расход ресурсов на программирование небольшой, а ценную информацию в себе несёт. Кто может гарантировать, что завтра в руки Василия не попадёт такой вот семпл?

Мы по методологии берем реальные самплы. Если прототипа с таким методом нет то ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А, не вопрос. Но KnownDlls точно есть. Сам видел. :)

Вспоминая, видел ещё один фрукт- есть зловреды, модифицирующие записи драйверов в реестре на себя через ChangeServiceConfig/ChangeServiceConfig2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

мысль, как обойти сигнатурный детект: надо запаковать реальные вирусы самодельным пакером с подобными трюками. сорри, если это уже где-то обсуждалось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
мысль, как обойти сигнатурный детект

Отключать файловый антивирус как писали выше и всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Итак, давайте конкретизировать по этому тесту.

В тест предлагаю взять такие продукты, где есть HIPS:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 4.1

Еще можно в этот список добавить

Safe`n`Sec Deluxe

Online Solutions Security Suite 1.5

DefenceWall Personal Firewall

По поводу методом тестирования, то давайте конкретно уже решим, какие именно методы (вредоносы) добавляем в тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Согласен, из списка кого можно добавить нужно определённо взять OSSS. В связи с отличными результатами теста в самозащите можно ожидать от них высокий результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
DefenceWall HIPS

Personal Firewall, точнее. Он подходит под методологию (антивирусы, файерволы с HIPS и IS).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley
В тест предлагаю взять такие продукты, где есть HIPS

А в Bitdefender 2010 есть хипс? Или он там слабоват? Буду теперь их продвигать, пока они у меня в фаворе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username

Что нибудь из этого, что наиболле подходит к тесту:

ZoneAlarm Extreme Security

ZoneAlarm Internet Security Suite

ZoneAlarm Antivirus

ZoneAlarm Pro

Таблица сравнения:

http://www.zonealarm.com/security/en-us/co...re-software.htm

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
в Bitdefender 2010 есть хипс?

нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
Comodo Internet Security 4.1

Пятерку берите.

А оси какие будут? Ждать результатов когда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
А оси какие будут? Ждать результатов когда?

Сейчас могу сказать по ОСям это точно win XP SP3 x86 и win 7 x86

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×