Перейти к содержанию
p2u

Буткит: вызов 2008

Recommended Posts

p2u

Хотя имеется некоторые неточности, мне понравилась статья об опасности 'MalWare 2.0'

Буткит: вызов 2008

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Хотя имеется некоторые неточности,

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Предполагаю, что когда Александр Гостев выйдет на пенсию, то скорее всего будет писать детективы, которые в свою очередь будут очень хорошо продаваться :D Спасибо за оперативно предоставленную ссылку, очень познавательно!

Хотя имеется некоторые неточности

А в чём неточности? Можно подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Мне статья очень понравилась- классное детективное чтиво! Маринина нервно курит в сторонке и долбится фейсом об тейбл от зависти. Правда, я так и не понял, в чём именно состоит этот самый "вызов"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
я так и не понял, в чём именно состоит этот самый "вызов"...

Вызов наверное порталу Anti-Malware... :)

Там же написано: Malware 2.0. Хотя лучше спросить у Первоисточников.

Этой статьёй один из Первоисточников, наконец, признаёт существование SpyWare (см. подзаголовок "Шпионский модуль").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Хотя имеется некоторые неточности
Какие неточности?
А в чём неточности? Можно подробнее?

Какие неточности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Какие неточности?
А в чём неточности? Можно подробнее?
Какие неточности?

1) В описании механизма заражения - есть маленькие детали (типа 'недостающего звена'), которые либо пропустили, либо разглашать не хотят.

2) В описании того, что можно или нужно делать для того, чтобы НЕ заразиться. То, что обязательно комбайн надо ставить (как там было? 'Веб-антивирус, фильтрацию трафика, поведенческие анализаторы, «песочницы», системы анализа сетевого трафика и межсетевые экраны') - хороший пиар, конечно, но это вовсе необязательно.

Офф-топ (то есть: не относится напрямую к вашему вопросу):

1) Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сенятбря работает уже Neosploit 3.1.

2) На мой взгляд, если мы не научимся настроить ОС и программы как следует, то тогда только защитный софт будет недостаточно, чтобы предохраниться от буткитов. Единственный способ защиты в таком случае будет - защита на аппаратном уровне.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Не знаю, когда писали эту статью, и почему так поздно выпустили, но с сентября работает уже Neosploit 3.1.

Вероятно, статья или её часть о MalWare 2.0 была написана раньше: июль-август.

И сейчас вышла её окончательная редакция с иллюстрациями и схемами. :)

Единственный способ защиты в таком случае будет - защита на аппаратном уровне

А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А каким же образом это можно будет осуществить?

Пропатчить у HDD MBR с его MSB, таблицей разделов и типовой сигнатурой AA55h??

В первую очередь надо, чтобы не Майкрософт для нас определила, какой софт 'правильный'. Любопытно, что когда вы начинаете НЕ доверять MS и её деловым партнёрам, и сами определяете, что будет у вас на компе, то тогда многие проблемы сами по себе снимаются. (Этим я не хочу сказать, что все эти организации - злые; просто так это всё работает на практике... ;))

А далее уже дело технических деталей. Пусть умные головы думают. Здесь, например, описано как можно бы:

Концепция безопасной загрузки

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Ссылка по концепции загрузки - нерабочая ;)

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ссылка по концепции загрузки - нерабочая ;)

Да, возможно там что-то со сертификатом - я вручную поправил в файрфоксе. Копирую изначальное сообщение от автора ntldr:

Наверняка вы читали про Trusted Computing (TCPA, Palladium). Вкратце, это концептуальная система безопасной обработки информации, в которой может выполняться только довереный код. Для этого предлагается контролировать загрузку и работу ОС на всех уровнях, начиная с аппаратного контроля кода BIOS. Все это преподноситься как панацея от вредоносного ПО, но к сожалению панацеей это не является по причине того, что в архитектуре системы заложено постулируемое доверие к поставщикам "правильного" софта (а конкретно Microsoft), которые имеют право решать, какой софт вы можете использовать на своем компьютере, а какой нет.

Все это преимущественно будет использовано для создания всяких гнусных вещей, вроде DRM, и совершенно не защищает пользователя от вредоносных программ всем известной корпорации.

Я хочу предложить вам весьма похожую концепцию контроля за загружаемым кодом, в которой только владелец компьютера, и никто иной, имеет право решать, какому софту он доверяет.

Моя концепция состоит в верификации любого исполняемого кода по базе довереного софта, в идеале не должно быть никакой возможности выполнить недовереный код. Для этого необходима верификация всего загрузочного кода в процессе загрузки ос, и верификация кода драйверов и программ запускаемых после загрузки ос.

Основной частью системы верификации будет дополнительный модуль (optional rom) прошиваемый в BIOS и изменяющий процесс загрузки компьютера. Этот модуль содержит в себе открытый ключ, механизм загрузки каталогов довереного кода и механизм проверки кода по загруженым каталогам.

Каталог представляет из себя блок данных содержащий отсортированый список хэшей довереного кода и подписаный секретным ключем, открытая часть которого прошита в BIOS. Модуль безопасности BIOS ищет в конце диска загрузочную область, в которую прописан начальный загрузочный модуль и каталог довереного кода. Загрузочный код проверяется по каталогу, загружается в память, и ему передается управление. Начальный загрузчик грузит ядро и драйвера ранней стадии загрузки, и проверяет их код используя интерфейс предоставляемый BIOS, после чего в действие вступает драйвер проверяющий код всех запускаемых процессов и загружаемых драйверов.

При установке этой системы мы генерируем ключ, создаем каталог довереного кода и подписываем его своим ключем, после чего ключ внедряется в модуль безопасности который прошивается в BIOS. После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой. Теперь вы обладаете полным контролем над вашим компьютером, и без вашего ведома на нем нельзя выполнить код.

Но если в концепции первым пунктом значится - "не ходить в инет под учёткой админа" - то такого точно не будет никогда. 85-90 процентов пользователей так и останутся при своём мнении, а именно - что им не очень удобен такой расклад, посему нужно упор делать на модернизацию антивирусного и защитного ПО, что в статье сделано абсолюно обосновано.

См. выше. Ни 'пользовательский режим', ни программная защита здесь ни при чём. Во-первых надо отключть/удалить определённый функционал по умолчанию. Повторять не буду; все, которые знают меня, знают, что я имею в виду. Далее - ликбез. Можно, конечно, говорить, что чайники тоже имеют право на жизнь, но тогда мы НИКОГДА не двинемся с мёртвой точки. Когда вы хотите водить машину, то тогда тоже приходится права получить. А в конечном счёте надо аппаратно защищать загрузочный сектор и через него ядро.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
то такого точно не будет никогда

Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
С машинами - не очень удачный пример, почти 40 тыс. человек гибнут на дорогах ежегодно на/под колёсами только в России. А по всему миру ?

Приведите лучше статистику о том, сколько остались в живых. ;)

Против собственного поведения человека ничего не сделаем, правильно? (пьянство, невнимательность, усталость, звонить по телефону 'потому что со мной такое не будет', и т.д.)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Именно - против психологии пользователя (компьютера, машины) не попрёшь. Если ему не очень удобно ездить пристёгнутым ремнями к сиденью - то он всё равно не будет ездить пристегнувшись, хотя это и безопасно, в лучшем случае от одного поста с фуражкой до другого. Если я не хочу получать права официально отучившись - то я вполне смогу пойти их и купить. И не факт, что при этом кого-то задавлю :)

Для того, чтобы создать систему (любую), в которой должны участвовать люди, мы ДОЛЖНЫ исходить из того, что все будут готовы выполнить правила как положено. Что это на практике так не всегда будет не очень много говорит о качестве самой системы. Кто заражается выйдет из игры - провайдеры должны за этим следить. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
После этого отпиливаем от микросхемы BIOS ножку разрещающую запись, и заливаем чип эпоксидкой.

Это он - ntldr - в прямом или переносном смысле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Чтиво хорошее с картинками. Написано так же красиво: так когда-то писали о реверсивных троянах :). В качестве защиты от подобного лучше применять профилактические меры в виде работы с доверенными сайтами через прокси сервер и блокировании 80 и остальных ненужных портов :blink: на рабочем компьютере. Даже в случае закачки вредоносного кода с доверенного сайта схема не заработает :P .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Welcome to Windows Vista. Что под Юзером, что под Админом - и там, и там никаких неудобст: run as прозрачен для пользователя.

Реклама Висты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Констатация факта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Можно дилетантский вопрос?

А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

А статья классная, действительно читается как детектив :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А одна из функций БИОСа - запрет записи в бут-сектор разве не спасет от этого бут-кита?

Нет, не спасёт.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы?

Поясню. Предположим у меня стоит лицензионный антивирус Х. Мне как-то будет не с руки сносить его, ставить Касперского и кого-то там еще, проверять систему, а потом ставить обратно антивирус Х.

Какие варианты предложит сообщество для таких случаев? Какие утилиты могут в боевых условиях детектировать наличие в системе буткита без сноса штатного антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
В свете такой серьезной угрозы, хотелось бы понять, какие у пользователей есть средства для того, чтобы убедиться в чистоте своей системы.

Хороший ревизор дисков и файловых систем должен выручить в принципе. Но работать с ним не каждому дано.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хороший ревизор дисков и файловых систем должен выручить в принципе.

Он выручит, если его поставить до заражения буткитом. А по условиям задачи буткит может или нет быть в системе, в идеале надо просто убедиться, что его там нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×