Vba32 AntiRootkit 3.12.5 beta

[Oleg Kupreev 0]

А антивирус тоже будет развиваться, есть кому поддерживать его?

Хотя Сергей и занимал значимую позицию в копании и всегда занимался попиныванием разработчиков,

антивирус продолжает улучшаться.

Идет внутреннее тестирование Vba32 v3.5, возможно выпуск приурочим к новому году.

[Dmitry Varshavsky 65]

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 prebeta build 410 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы, которые до сих пор не дают выпустить полноценную бету. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ).

+ Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность

стартовать приложения на выледенном рабочем столе.

Значительно расширили функционал Defender'а. Также в бету будет добавлена возможность контроля приложений из белого списка ( пока отсутствует ).

+ Реализована базовая самозащита.

Позволяет противостоять последним версиям ZeroAccess aka Max++. И не только.

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле

Долго думал, добавлять этот функционал или нет, т.к. на ХР возможны ложные срабатывания. Прошу обратить на них внимание.

+ Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

Актуально для систем на Windows Vista SP1 и более новых.

+ Вывод MD5/SHA1 дайджестов проверенных файлов

Довольно удобная вещь для поиска образцов на том же VirusTotal.

+ Возможность скрывать драйверы/сервисы с пустым ImagePath

+ поддержка Windows 8 Developer Preview

Скрины выкладывал выше.

* Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке

Пока не выкладываю.

Целью пребеты, в общем, является желание определить хотя бы приблизительный процент машин, на которых будут проблемы с прямым чтением и сбор их конфигураций для дальнейшего решения проблем.

Также хотел бы выразить благодарность пользователям K_Mikhail и sergey ulasen, которые принимали и принимают участие в развитии данного продукта и внесли ценные замечания к текущей пребете.

Ото всех с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Предыдущая версия беты также доступна к скачиванию.

[sww 486]

+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

Порты-порты. ЖесткачЪ и АдЪ

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле

Смело выкидывай. Я когда-то такое писал и тестил - сплошные ложные срабатывания.

[Dmitry Varshavsky 65]

Порты-порты. ЖесткачЪ и АдЪ

На самом деле, если бы я сразу знал, какой объём подводных камней нам встретится при реализации данного функционала, то наверное мы бы пошли альтернативным путём. Дело в том, что стандарт, например IDE, простой. И работать с контроллером, не важно с каким, не сложно. Если ты один в системе. Точнее, если ты сам - операционная система . Проблемы кроются в драйверах вендоров, которые, как бы это помягче сказать, не рассчитывают на то, что кто-то с железкой будет работать параллельно. А из-за этого, в общем-то, логичного предположения, начинаются казусы такого плана: зачем лишний раз проверять занят ли слот команд у контоллера? У меня есть своя внутренняя очередь, в которой указано, что слот свободный! А на самом деле нет, аркит туда уже что-то пишет. Итог, думаю, очевиден

Тем не менее, что-то да получилось.

[Юрий Паршин 330]

На самом деле, если бы я сразу знал, какой объём подводных камней нам встретится при реализации данного функционала, то наверное мы бы пошли альтернативным путём. Дело в том, что стандарт, например IDE, простой. И работать с контроллером, не важно с каким, не сложно. Если ты один в системе. Точнее, если ты сам - операционная система . Проблемы кроются в драйверах вендоров, которые, как бы это помягче сказать, не рассчитывают на то, что кто-то с железкой будет работать параллельно. А из-за этого, в общем-то, логичного предположения, начинаются казусы такого плана: зачем лишний раз проверять занят ли слот команд у контоллера? У меня есть своя внутренняя очередь, в которой указано, что слот свободный! А на самом деле нет, аркит туда уже что-то пишет. Итог, думаю, очевиден

Тем не менее, что-то да получилось.

Ну то есть "файлуха слетать" теперь будет не только при Force Reset-е, но и при просто запуске антируткита?

[Dmitry Varshavsky 65]

Ну то есть "файлуха слетать" теперь будет не только при Force Reset-е, но и при просто запуске антируткита?

Юрий, вы в своём репертуаре

На самом деле сегодня, перед тем, как выкладывать продукт, посмотрел счётчик кол-ва скачиваний прошлой версии, да и фидбек на почте тоже скопился солидный. И что вы думаете ? Ни одной файловой системы у пользователей не слетело Можно снова начинать холивар, что это все не показатели и т.п. Тут не буду вступать в дискуссию. Нет, вы конечно правы, подход, далеко не лучший. Но он работает. Более того, как только появится свободное время, обязательно реализую адекватный force reboot вместо force reset'а, чтобы троллей не кормить

С контроллерами немного сложнее. Есть проблемы - об этом уже написал выше. "Улёт" файловой системы теоретически возможен, на практике не разу не повторялся. Даже если такое случится - fixmbr, fixboot, chkdsk и еже с ними с высокой долей вероятности справятся с проблемой.

[rkhunter 150]

Ну то есть "файлуха слетать" теперь будет не только при Force Reset-е, но и при просто запуске антируткита?

Если не ошибаюсь, tdsskiller использовал порты, так сказать, на ранней стадии развития =)

+ поддержка Windows 8 Developer Preview

А это кому-нибудь надо? =)

С контроллерами немного сложнее. Есть проблемы - об этом уже написал выше. "Улёт" файловой системы теоретически возможен, на практике не разу не повторялся. Даже если такое случится - fixmbr, fixboot, chkdsk и еже с ними с высокой долей вероятности справятся с проблемой.

С портами работать всегда сложнее из-за вопросов синхронизации, есть один драйвер, например, диска он и занимается их обслуживанием, в противном случае могут происходить странные вещи, ну вы и так в курсе конечно...

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле

Согласен с sww на сей счет; изначально это был PoC, но реальной пользы, по-моему, он так никому не принес. Или можете доказать иное? =)

Дмитрий, а какие руткиты сейчас можно детектировать вашим продуктом?

Еще хотелось бы хотя бы в каком-нибудь продукте увидеть дамперы FS ZeroAccess и tdl (в смысле уже расшифрованные конфиги и плагины в их ФС). Пока то что видел, этот tdl fs reader от eset. Хотя фича была бы очень и очень полезная.

[rkhunter 150]

Решил посмотреть на предмет детекта ZeroAccess.

Запустил дроппер (2d93ce4323104a87252d8bc4ee155b4e), перезагрузился. Сразу же запустил Xuetr для определения факта заражения.

Далее запустил tdsskiller для идентификации зараженного файла. Им оказался redbook.sys.

Запускаю VBA Ark.

Kernel modules, виден подмененный драйвер. Все ок.

Но, в то время как, Xuetr показывает два красных/suspicious объекта - два драйвера руткита. Один вспомогательный, второй основной -

детектируется (сдампленный) Kaspersky как Rootkit.Win32.ZAccess.g - Jotti

Т. е. имеем два драйвера с адресами и размерами.

0xF65B6000 - 0x9000

0xF87DA000 - 0xE000

VBA Ark, судя по всему, продублировал один из драйверов дважды, но с разными вердиктами.

Вердикты для первых аномалий (основной драйвер руткита):

Base Entry Point Size DriverObject Path State

0x00000000 ( 0xF87DA000 ) 0x820A9110 ( 0xF87E7B20 ) 0x0 ( 0xE000 ) (null) [0x820B87A0]

{(null)}

Description:

Company name:

Size: 0 Attrs: -----

SHA1: Not Avalible

Created: 10:00:00 01.01.1601

Modified: 10:00:00 01.01.1601

Accessed: 10:00:00 01.01.1601

MD5: Not Avalible

Hidden in memory Anomaly detected ( Name missing DriverSection hidden from PsLoadedModuleList DriverObject/PsLoadedModuleList entry data mismatch )

0x820A7000 0xE000

{(null)}

Description:

Company name:

Size: 0 Attrs: -----

SHA1: Not Avalible

Created: 10:00:00 01.01.1601

Modified: 10:00:00 01.01.1601

Accessed: 10:00:00 01.01.1601

MD5: Not Avalible

Hidden in memory

В итоге по второму вердикту какой-то странный Base Address.

Второй (не основной) драйвер.

0xF65B6000 0xF65B7B40 0x9000 \driver\4172487776 [0x821686E8]

{} ( @80000000 )

Description:

Company name:

Size: 0 Attrs: -----

SHA1: Not Avalible

Created: 10:00:00 01.01.1601

Modified: 10:00:00 01.01.1601

Accessed: 10:00:00 01.01.1601

MD5: Not Avalible

Hidden in memory Anomaly detected ( DriverSection hidden from PsLoadedModuleList )

Оба драйвера были успешно сдамплены из памяти.

Далее, kernel hooks.

Тут ок, ругался на множественные сплайсинги/перехваты у подмененного redbook.sys.

[Dmitry Varshavsky 65]

rkhunter, постараюсь ответить по порядку:

А это кому-нибудь надо? =)

Поддержка Windows 8 Developer Preview была добавлена по нескольким причинам. Первая и основная состоит в том, что как показывает практика ( Vista, 7 ), релизные версии ядер практически не отличаются от тех, которые попадают в паблик ( будь то альфа, бета, либо превью, как тут ). Можно вспомнить билд 7100 например. Так вот, к выходу релиза Win 8 руткит будет либо уже готов, либо потребуются лишь незначительные корректировки.

К тому же, сколько конкурентов уже работают на Win 8? А ведь есть люди, которые уже поставили её как основную ОС...

С портами работать всегда сложнее из-за вопросов синхронизации, есть один драйвер, например, диска он и занимается их обслуживанием, в противном случае могут происходить странные вещи, ну вы и так в курсе конечно...

Дмитрий, а какие руткиты сейчас можно детектировать вашим продуктом?

Продукт тестируется на коллекции, состоящей из порядка 30 руткитов. Начиная от первого рустока и заканчивая трояном-некурс. Детектируем, в принципе, всё. Лучше спросите, сколько можем самостоятельно вылечить В этом направлении работаем.. TDL4, как и большинство буткитов, лечим без проблем. Того же Necurs.A успешно сносим.. Есть проблемы, например, с TDL3, ZeroAccess, Didox.. К следующей бете, кстати, планируем опубликовать гайды ( возможно видео ) по теме лечения различных типов заражений с помощью исключительно Vba32 Arkit..

Согласен с sww на сей счет; изначально это был PoC, но реальной пользы, по-моему, он так никому не принес. Или можете доказать иное? =)

Код у меня лежал, чтобы не соврать, наверное года 2-3. И так бы и лежал, наверное, если бы у мсь-е Groft не возникло проблем с дампом модулей TDL2. Дело в том, что с помощью драйвера расширенного мониторинга мы ловили момент их загрузки ( скажем, по базовым адресам A и B ), однако они переносили свой код в выделенную память ( скажем по баз. адресам C и D соотвественно ), а в DriverEntry возвращали ошибку и система выгружала эти драйвера, поэтому попытка сдампить их по базовым адресам A и B приводила к неудаче. Скрипя зубами, пришлось добавить код поиска. В виду наличия false positives, видимо, просто уберу этот функционал из того, что работает на Windows XP. На Windows 2003 и выше ложных срабатываний нет.

Еще хотелось бы хотя бы в каком-нибудь продукте увидеть дамперы FS ZeroAccess и tdl (в смысле уже расшифрованные конфиги и плагины в их ФС). Пока то что видел, этот tdl fs reader от eset. Хотя фича была бы очень и очень полезная.

Вообще, хочу много чего добавить, но рук не хватает. Сам думал про это, помечу как feature request..

VBA Ark, судя по всему, продублировал один из драйверов дважды, но с разными вердиктами.

В антирутките реализовано несколько механизмов поиска скрытых/аномальных драйверов. В виду того, что один и тот же вредоносный драйвер может быть найден несколькими способами одновременно и, если не удаётся автоматически сопоставить эти данные, будет дублирование. Так что это поведение, считаю, вполне корректным - стараемся показывать по-максимуму.

Далее, kernel hooks.

Тут ок, ругался на множественные сплайсинги/перехваты у подмененного redbook.sys.

Да, потому что он hijacked. С другой стороны, у hijacked модулей, возможно, просто не имеет смысла проверять аттрибуты секций, сами секции, импорт и т.п.

[rkhunter 150]

На счет 7100 не совсем соглашусь... сам переносил антируткит на семерку и потом выяснилось, что между RC 7100 и 7600 были различия в ядре.

Кстати, на этом примере плагины ZeroAccess - @8000XXX нашлись, по-моему, именно с помощью поиска PE/MZ в памяти. Стало быть работает

На счет лечения, как я понял, в вашем антирутките пока оно не предусмотрено...

А Necurs блокирует старт вашего драйвер по сигнатуре/подписи?

А Didox это хто?

[Dmitry Varshavsky 65]

На счет 7100 не совсем соглашусь... сам переносил антируткит на семерку и потом выяснилось, что между RC 7100 и 7600 были различия в ядре.

Они были, но наш антируткит их не заметил. К счастью, vba32 arkit не привязан к номеру билда если поменять только номер билда, 7601 например на 7900 или даже на 2600, то это никак не отразится работе антируткита. Чего не скажешь о некоторых других продуктах, пальцем тыкать не буду.

Кстати, на этом примере плагины ZeroAccess - @8000XXX нашлись, по-моему, именно с помощью поиска PE/MZ в памяти. Стало быть работает

Возможно. Если хотите знать точно, могу завтра уточнить

На счет лечения, как я понял, в вашем антирутките пока оно не предусмотрено...

Как такового лечения не предусмотрено. Однако есть функционал, позволяющий в ручном режиме бороться со зловредами ( можно снять нотификаторы, снять хуки, удалить сервисы / элементы автозагрузки, вайпнуть файл, восстановить MBR, убить процесс, заанмапить модуль и т.д. и т.п. ). Если найдем человека для реализации скриптового языка, то будет значительно интереснее.. пока только в планах..

А Necurs блокирует ваш драйвер по сигнатуре/подписи?

Блокирует.

А Didox это хто?

Не пинайте сильно, так я иногда называю Win32.Cidox ( он же Trojan.Mayachok )

Тут ещё пару личных наблюдений добавлю, возможно покажутся кому-то интересными. На тестовой машине делал две вещи - выставлял фейковый номер билда ОС и ставил систему на диск D ( при этом диск C отсутствовал ). Так вот, более половины дропперов из набора на такой конфигурации обломалось ! Если с первым ещё ладно, то со вторым меня, если честно, удивило. Неужели сложно вызывать там GetSystemDirectory или что-то подобное, вместо хард-кода CreateFile ( "\\.\C:",... ) ?

[rkhunter 150]

Еще раз посмотрел, на счет этих плагинов ZAccess с windbg, выводятся какие-то невалидные адреса + Xuetr ничего такого вообще в не показывает + ваш же дампер говорит что не может сдампить их. Стало быть у вас непорядок...

[Dmitry Varshavsky 65]

Стало быть у вас непорядок...

То, что Dump не доступен - скорее всего ошибка в гуи..

Киньте, пожалуйста, дроппер на arkit[@]anti-virus.by, завтра с утра точно гляну, что там и как.

И ещё... у этих модулей не unloaded module статус случайно? Если да, то всё валидно..

[rkhunter 150]

То, что Dump не доступен - скорее всего ошибка в гуи..

Киньте, пожалуйста, дроппер на arkit[@]anti-virus.by, завтра с утра точно гляну, что там и как.

И ещё... у этих модулей не unloaded module статус случайно? Если да, то всё валидно..

Я вам специально и написал, что смотрел с windbg, который и пишет, что там адреса именно не валидные. Статус у них не unloaded.

[rkhunter 150]

Еще "до кучи". Перезаразил систему (тем же дроппером), на сей раз это cdrom.sys.

Теперь он увидел эти плагины "как они есть" вместе с путями на скрытом диске, но при попытке сдампить их, делает файлы из нулей.

К сожалению, не успел сделать kernel dump для анализа, система повисла

[Dmitry Varshavsky 65]

rkhunter, Рассадил сегодня данный экземпляр. Без интернета загружать дополнительные драйвера наотрез отказался. Что имеем:

Смотрим первый:

Да, память не валидная. Делаем lm:

Ага, драйвер здесь всё-таки был, но успел выгрузится.

Смотрим второй драйвер:

Этот выгрузиться ещё не успел.

После рефреша - оба драйвера имеют статус File doesn't exist Unloaded Module.

Всё работает, как и должно...

[rkhunter 150]

Вопрос по этому поводу, есть ли смысл вообще показывать unloaded modules?

[Dmitry Varshavsky 65]

Вопрос по этому поводу, есть ли смысл вообще показывать unloaded modules?

Вреда точно нет. Как и говорил, стараемся выводить максимум информации...

[Юрий Паршин 330]

Если не ошибаюсь, tdsskiller использовал порты, так сказать, на ранней стадии развития =)

Нет, не использовал.

Была отдельная утилита AntiBoot, которая таким безобразием занималась, за что и была выпилена сразу же после того, как TDSSKiller научился буткитов лечить

Еще хотелось бы хотя бы в каком-нибудь продукте увидеть дамперы FS ZeroAccess и tdl (в смысле уже расшифрованные конфиги и плагины в их ФС). Пока то что видел, этот tdl fs reader от eset. Хотя фича была бы очень и очень полезная.

Кстати, TDSSKiller умеет дампить TDLFS от почти всех его модификаций (TDL3/4, MaxSS, Pihar).

[rkhunter 150]

Не удержался, посмотрел с TDL2

Полную проверку не запускал, прошелся по нескольким вкладкам.

Первое куда пошел, kernel modules.

Нашел pack/unpack версии драйверов, успешно сдампил, отправил на VT -> Trojan:WinNT/Alureon.D (запакованный нормально определила только MS, опять!).

Потом, kernel mode hooks. Вроде тоже все "как надо".

Но главное, сервис, с которого стартует драйвер - ветка реестра, ее не было.

Так он выглядит у Xuetr и так у вас (Drivers and services from registry).

Дальше идем искать драйвер и плагины на Low Level Disk Access Tool. Тут все нашел. Плагины в system32

и драйвер в system32\drivers.

В kernel notificators нашел подозрительный callback, не принадлежащий, кстати ни одному модулю. Наверное, темповый буфер руткита.

Нет, не использовал.

Была отдельная утилита AntiBoot, которая таким безобразием занималась, за что и была выпилена сразу же после того, как TDSSKiller научился буткитов лечить

Кстати, TDSSKiller умеет дампить TDLFS от почти всех его модификаций (TDL3/4, MaxSS, Pihar).

Юрий, пора бы уже переименовывать tdsskiller в rootkitkiller, или... tdsskiller это уже бренд

Видел в настройках есть галочка TDLFS, а куда он ее дампит?...

Кстати, TDSSKiller умеет дампить TDLFS от почти всех его модификаций (TDL3/4, MaxSS, Pihar).

И для MaxSS?? Он же отдельный раздел создает в конце диска с таблицы разделов MBR...

[Юрий Паршин 330]

Юрий, пора бы уже переименовывать tdsskiller в rootkitkiller, или... tdsskiller это уже бренд

Утилита стало известной именно под этим именем, поэтому и не хочется переименовывать

Видел в настройках есть галочка TDLFS, а куда он ее дампит?...

В %системный_раздел%:\TDSSKiller_Quarantine\Дата_Время\*. Согласен, что не совсем очевидно - в планах есть добавление вкладки "Карантин" вместе с отчетом, откуда можно будет и в архив с паролем награбленное паковать.

И для MaxSS?? Он же отдельный раздел создает в конце диска с правкой MBR...

Да, и ее тоже - файловая система осталась почти такой же, только ключ шифрования стал браться из VBR, а не MBR и изменилось смещение корневого раздела (также константа в VBR).

Вот примерно так:

[rkhunter 150]

Юрий, а как вы лечите SST? Там же уже не правится bootstrap код... Не раздел же его сносите в самом деле...

[Юрий Паршин 330]

Юрий, а как вы лечите SST? Там же уже не правится bootstrap код... Не раздел же его сносите в самом деле...

Так для лечения достаточно восстановить MBR с таблицей разделов. А SST-шный раздел после этого остается лишь бесполезным мусором, который никому не мешает.

[rkhunter 150]

Так для лечения достаточно восстановить MBR с таблицей разделов. А SST-шный раздел после этого остается лишь бесполезным мусором, который никому не мешает.

Точно, достать оригинальный с его диска, я ступил...

Для ZeroAccess такую же фичу можно прикрутить, читать с его девайса ACPI#PNP0303#... плагины и оригинальный драйвер.

[Umnik 997]

rkhunter, осторожнее. По тенденции толковые технари этого форума переходят работать в ЛК, либо уходят в свободное плавание, явно выражая симпатию к ЛК