p2u

Буткит: вызов 2008

В этой теме 43 сообщений

Хотя имеется некоторые неточности,

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Предполагаю, что когда Александр Гостев выйдет на пенсию, то скорее всего будет писать детективы, которые в свою очередь будут очень хорошо продаваться :D Спасибо за оперативно предоставленную ссылку, очень познавательно!

Хотя имеется некоторые неточности

А в чём неточности? Можно подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне статья очень понравилась- классное детективное чтиво! Маринина нервно курит в сторонке и долбится фейсом об тейбл от зависти. Правда, я так и не понял, в чём именно состоит этот самый "вызов"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я так и не понял, в чём именно состоит этот самый "вызов"...

Вызов наверное порталу Anti-Malware... :)

Там же написано: Malware 2.0. Хотя лучше спросить у Первоисточников.

Этой статьёй один из Первоисточников, наконец, признаёт существование SpyWare (см. подзаголовок "Шпионский модуль").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотя имеется некоторые неточности
Какие неточности?
А в чём неточности? Можно подробнее?

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие неточности?
А в чём неточности? Можно подробнее?
Какие неточности?

1) В описании механизма заражения - есть маленькие детали (типа 'недостающего звена'), которые либо пропустили, либо разглашать не хотят.

2) В описании того, что можно или нужно делать для того, чтобы НЕ заразиться. То, что обязательно комбайн надо ставить (как там было? 'Веб-антивирус, фильтрацию трафика, поведенческие анализаторы, «песочницы», системы анализа сетевого трафика и межсетевые экраны') - хороший пиар, конечно, но это вовсе необязательно.

Офф-топ (то есть: не относится напрямую к вашему вопросу):

1) Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сенятбря работает уже Neosploit 3.1.

2) На мой взгляд, если мы не научимся настроить ОС и программы как следует, то тогда только защитный софт будет недостаточно, чтобы предохраниться от буткитов. Единственный способ защиты в таком случае будет - защита на аппаратном уровне.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сентября работает уже Neosploit 3.1.

Вероятно, статья или её часть о MalWare 2.0 была написана раньше: июль-август.

И сейчас вышла её окончательная редакция с иллюстрациями и схемами. :)

Единственный способ защиты в таком случае будет - защита на аппаратном уровне

А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

В первую очередь надо, чтобы не Майкрософт для нас определила, какой софт 'правильный'. Любопытно, что когда вы начинаете НЕ доверять MS и её деловым партнёрам, и сами определяете, что будет у вас на компе, то тогда многие проблемы сами по себе снимаются. (Этим я не хочу сказать, что все эти организации - злые; просто так это всё работает на практике... ;))

А далее уже дело технических деталей. Пусть умные головы думают. Здесь, например, описано как можно бы:

Концепция безопасной загрузки

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ссылка по концепции загрузки - нерабочая ;)

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ссылка по концепции загрузки - нерабочая ;)

Да, возможно там что-то со сертификатом - я вручную поправил в файрфоксе. Копирую изначальное сообщение от автора ntldr:

Наверняка вы читали про Trusted Computing (TCPA, Palladium). Вкратце, это концептуальная система безопасной обработки информации, в которой может выполняться только довереный код. Для этого предлагается контролировать загрузку и работу ОС на всех уровнях, начиная с аппаратного контроля кода BIOS. Все это преподноситься как панацея от вредоносного ПО, но к сожалению панацеей это не является по причине того, что в архитектуре системы заложено постулируемое доверие к поставщикам "правильного" софта (а конкретно Microsoft), которые имеют право решать, какой софт вы можете использовать на своем компьютере, а какой нет.

Все это преимущественно будет использовано для создания всяких гнусных вещей, вроде DRM, и совершенно не защищает пользователя от вредоносных программ всем известной корпорации.

Я хочу предложить вам весьма похожую концепцию контроля за загружаемым кодом, в которой только владелец компьютера, и никто иной, имеет право решать, какому софту он доверяет.

Моя концепция состоит в верификации любого исполняемого кода по базе довереного софта, в идеале не должно быть никакой возможности выполнить недовереный код. Для этого необходима верификация всего загрузочного кода в процессе загрузки ос, и верификация кода драйверов и программ запускаемых после загрузки ос.

Основной частью системы верификации будет дополнительный модуль (optional rom) прошиваемый в BIOS и изменяющий процесс загрузки компьютера. Этот модуль содержит в себе открытый ключ, механизм загрузки каталогов довереного кода и механизм проверки кода по загруженым каталогам.

Каталог представляет из себя блок данных содержащий отсортированый список хэшей довереного кода и подписаный секретным ключем, открытая часть которого прошита в BIOS. Модуль безопасности BIOS ищет в конце диска загрузочную область, в которую прописан начальный загрузочный модуль и каталог довереного кода. Загрузочный код проверяется по каталогу, загружается в память, и ему передается управление. Начальный загрузчик грузит ядро и драйвера ранней стадии загрузки, и проверяет их код используя интерфейс предоставляемый BIOS, после чего в действие вступает драйвер проверяющий код всех запускаемых процессов и загружаемых драйверов.

При установке этой системы мы генерируем ключ, создаем каталог довереного кода и подписываем его своим ключем, после чего ключ внедряется в модуль безопасности который прошивается в BIOS. После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой. Теперь вы обладаете полным контролем над вашим компьютером, и без вашего ведома на нем нельзя выполнить код.

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

См. выше. Ни 'пользовательский режим', ни программная защита здесь ни при чём. Во-первых надо отключть/удалить определённый функционал по умолчанию. Повторять не буду; все, которые знают меня, знают, что я имею в виду. Далее - ликбез. Можно, конечно, говорить, что чайники тоже имеют право на жизнь, но тогда мы НИКОГДА не двинемся с мёртвой точки. Когда вы хотите водить машину, то тогда тоже приходится права получить. А в конечном счёте надо аппаратно защищать загрузочный сектор и через него ядро.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
то такого точно не будет никогда

Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Приведите лучше статистику о том, сколько остались в живых. ;)

Против собственного поведения человека ничего не сделаем, правильно? (пьянство, невнимательность, усталость, звонить по телефону 'потому что со мной такое не будет', и т.д.)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Для того, чтобы создать систему (любую), в которой должны участвовать люди, мы ДОЛЖНЫ исходить из того, что все будут готовы выполнить правила как положено. Что это на практике так не всегда будет не очень много говорит о качестве самой системы. Кто заражается выйдет из игры - провайдеры должны за этим следить. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой.

Это он - ntldr - в прямом или переносном смысле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чтиво хорошее с картинками. Написано так же красиво: так когда-то писали о реверсивных троянах :). В качестве защиты от подобного лучше применять профилактические меры в виде работы с доверенными сайтами через прокси сервер и блокировании 80 и остальных ненужных портов :blink: на рабочем компьютере. Даже в случае закачки вредоносного кода с доверенного сайта схема не заработает :P .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Реклама Висты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно дилетантский вопрос?

А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

А статья классная, действительно читается как детектив :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

Нет, не спасёт.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы?

Поясню. Предположим у меня стоит лицензионный антивирус Х. Мне как-то будет не с руки сносить его, ставить Касперского и кого-то там еще, проверять систему, а потом ставить обратно антивирус Х.

Какие варианты предложит сообщество для таких случаев? Какие утилиты могут в боевых условиях детектировать наличие в системе буткита без сноса штатного антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы.

Хороший ревизор дисков и файловых систем должен выручить в принципе. Но работать с ним не каждому дано.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хороший ревизор дисков и файловых систем должен выручить в принципе.

Он выручит, если его поставить до заражения буткитом. А по условиям задачи буткит может или нет быть в системе, в идеале надо просто убедиться, что его там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS