Перейти к содержанию
p2u

Буткит: вызов 2008

Recommended Posts

p2u

Хотя имеется некоторые неточности, мне понравилась статья об опасности 'MalWare 2.0'

Буткит: вызов 2008

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Хотя имеется некоторые неточности,

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Предполагаю, что когда Александр Гостев выйдет на пенсию, то скорее всего будет писать детективы, которые в свою очередь будут очень хорошо продаваться :D Спасибо за оперативно предоставленную ссылку, очень познавательно!

Хотя имеется некоторые неточности

А в чём неточности? Можно подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Мне статья очень понравилась- классное детективное чтиво! Маринина нервно курит в сторонке и долбится фейсом об тейбл от зависти. Правда, я так и не понял, в чём именно состоит этот самый "вызов"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
я так и не понял, в чём именно состоит этот самый "вызов"...

Вызов наверное порталу Anti-Malware... :)

Там же написано: Malware 2.0. Хотя лучше спросить у Первоисточников.

Этой статьёй один из Первоисточников, наконец, признаёт существование SpyWare (см. подзаголовок "Шпионский модуль").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Хотя имеется некоторые неточности
Какие неточности?
А в чём неточности? Можно подробнее?

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Какие неточности?
А в чём неточности? Можно подробнее?
Какие неточности?

1) В описании механизма заражения - есть маленькие детали (типа 'недостающего звена'), которые либо пропустили, либо разглашать не хотят.

2) В описании того, что можно или нужно делать для того, чтобы НЕ заразиться. То, что обязательно комбайн надо ставить (как там было? 'Веб-антивирус, фильтрацию трафика, поведенческие анализаторы, «песочницы», системы анализа сетевого трафика и межсетевые экраны') - хороший пиар, конечно, но это вовсе необязательно.

Офф-топ (то есть: не относится напрямую к вашему вопросу):

1) Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сенятбря работает уже Neosploit 3.1.

2) На мой взгляд, если мы не научимся настроить ОС и программы как следует, то тогда только защитный софт будет недостаточно, чтобы предохраниться от буткитов. Единственный способ защиты в таком случае будет - защита на аппаратном уровне.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сентября работает уже Neosploit 3.1.

Вероятно, статья или её часть о MalWare 2.0 была написана раньше: июль-август.

И сейчас вышла её окончательная редакция с иллюстрациями и схемами. :)

Единственный способ защиты в таком случае будет - защита на аппаратном уровне

А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

В первую очередь надо, чтобы не Майкрософт для нас определила, какой софт 'правильный'. Любопытно, что когда вы начинаете НЕ доверять MS и её деловым партнёрам, и сами определяете, что будет у вас на компе, то тогда многие проблемы сами по себе снимаются. (Этим я не хочу сказать, что все эти организации - злые; просто так это всё работает на практике... ;))

А далее уже дело технических деталей. Пусть умные головы думают. Здесь, например, описано как можно бы:

Концепция безопасной загрузки

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Ссылка по концепции загрузки - нерабочая ;)

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ссылка по концепции загрузки - нерабочая ;)

Да, возможно там что-то со сертификатом - я вручную поправил в файрфоксе. Копирую изначальное сообщение от автора ntldr:

Наверняка вы читали про Trusted Computing (TCPA, Palladium). Вкратце, это концептуальная система безопасной обработки информации, в которой может выполняться только довереный код. Для этого предлагается контролировать загрузку и работу ОС на всех уровнях, начиная с аппаратного контроля кода BIOS. Все это преподноситься как панацея от вредоносного ПО, но к сожалению панацеей это не является по причине того, что в архитектуре системы заложено постулируемое доверие к поставщикам "правильного" софта (а конкретно Microsoft), которые имеют право решать, какой софт вы можете использовать на своем компьютере, а какой нет.

Все это преимущественно будет использовано для создания всяких гнусных вещей, вроде DRM, и совершенно не защищает пользователя от вредоносных программ всем известной корпорации.

Я хочу предложить вам весьма похожую концепцию контроля за загружаемым кодом, в которой только владелец компьютера, и никто иной, имеет право решать, какому софту он доверяет.

Моя концепция состоит в верификации любого исполняемого кода по базе довереного софта, в идеале не должно быть никакой возможности выполнить недовереный код. Для этого необходима верификация всего загрузочного кода в процессе загрузки ос, и верификация кода драйверов и программ запускаемых после загрузки ос.

Основной частью системы верификации будет дополнительный модуль (optional rom) прошиваемый в BIOS и изменяющий процесс загрузки компьютера. Этот модуль содержит в себе открытый ключ, механизм загрузки каталогов довереного кода и механизм проверки кода по загруженым каталогам.

Каталог представляет из себя блок данных содержащий отсортированый список хэшей довереного кода и подписаный секретным ключем, открытая часть которого прошита в BIOS. Модуль безопасности BIOS ищет в конце диска загрузочную область, в которую прописан начальный загрузочный модуль и каталог довереного кода. Загрузочный код проверяется по каталогу, загружается в память, и ему передается управление. Начальный загрузчик грузит ядро и драйвера ранней стадии загрузки, и проверяет их код используя интерфейс предоставляемый BIOS, после чего в действие вступает драйвер проверяющий код всех запускаемых процессов и загружаемых драйверов.

При установке этой системы мы генерируем ключ, создаем каталог довереного кода и подписываем его своим ключем, после чего ключ внедряется в модуль безопасности который прошивается в BIOS. После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой. Теперь вы обладаете полным контролем над вашим компьютером, и без вашего ведома на нем нельзя выполнить код.

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

См. выше. Ни 'пользовательский режим', ни программная защита здесь ни при чём. Во-первых надо отключть/удалить определённый функционал по умолчанию. Повторять не буду; все, которые знают меня, знают, что я имею в виду. Далее - ликбез. Можно, конечно, говорить, что чайники тоже имеют право на жизнь, но тогда мы НИКОГДА не двинемся с мёртвой точки. Когда вы хотите водить машину, то тогда тоже приходится права получить. А в конечном счёте надо аппаратно защищать загрузочный сектор и через него ядро.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
то такого точно не будет никогда

Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Приведите лучше статистику о том, сколько остались в живых. ;)

Против собственного поведения человека ничего не сделаем, правильно? (пьянство, невнимательность, усталость, звонить по телефону 'потому что со мной такое не будет', и т.д.)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Для того, чтобы создать систему (любую), в которой должны участвовать люди, мы ДОЛЖНЫ исходить из того, что все будут готовы выполнить правила как положено. Что это на практике так не всегда будет не очень много говорит о качестве самой системы. Кто заражается выйдет из игры - провайдеры должны за этим следить. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой.

Это он - ntldr - в прямом или переносном смысле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Чтиво хорошее с картинками. Написано так же красиво: так когда-то писали о реверсивных троянах :). В качестве защиты от подобного лучше применять профилактические меры в виде работы с доверенными сайтами через прокси сервер и блокировании 80 и остальных ненужных портов :blink: на рабочем компьютере. Даже в случае закачки вредоносного кода с доверенного сайта схема не заработает :P .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Реклама Висты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Констатация факта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Можно дилетантский вопрос?

А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

А статья классная, действительно читается как детектив :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

Нет, не спасёт.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы?

Поясню. Предположим у меня стоит лицензионный антивирус Х. Мне как-то будет не с руки сносить его, ставить Касперского и кого-то там еще, проверять систему, а потом ставить обратно антивирус Х.

Какие варианты предложит сообщество для таких случаев? Какие утилиты могут в боевых условиях детектировать наличие в системе буткита без сноса штатного антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы.

Хороший ревизор дисков и файловых систем должен выручить в принципе. Но работать с ним не каждому дано.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хороший ревизор дисков и файловых систем должен выручить в принципе.

Он выручит, если его поставить до заражения буткитом. А по условиям задачи буткит может или нет быть в системе, в идеале надо просто убедиться, что его там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) Тема с WMI http://www.tehnari.ru/f35/t261417/ здесь для ряда объектов: Полное имя                  A3D.DLL
      Имя файла                   A3D.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                                  
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
      ------------------------------------ Полное имя                  A3DAPI.DLL
      Имя файла                   A3DAPI.DLL
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
      -------------------------------- Как-то маловато информации Или нет ? 2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d Чтобы не было такого: http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717  
    • Dpensermeda
      ceap viagra
      viagra for men for sale
      viagra online usa report
      viagra for sale for men
      - cialis half life
      cialis pills side effects positive 1
    • Bladery
      я иногда делаю на заказ ремонт техники, так как я разбираюсь в этом. а вот ваши советы на счет клубов, типа эльдорадо на деньги https://casinout.net/eldorado-na-dengy , это полная ерунда. Нужно думать о реальных возможностях, а не воздушных замках. Поймите же это.
    • Bladery
      я чаще всего использую гугл хром. в нем у меня нормально работают все мои любимые ресурсы. я часто использую брокерские платформы и мне приходится работать с десятками онлайн графиков. Вот с хромом проблем совсем не было, а другие браузеры иногда не отображают те графики, что работают у меня в хром. 
    • xxxzionxxx
      Качественные автомобильные чехлы из экокожи. Заводские лекала. Респектабельный внешний вид. http://autopelt.ru/ 
      Также вступайте в нашу группу где наш менеджер ответит на все интересующие Вас вопросы. https://vk.com/autopelt 
×