Перейти к содержанию
Андрей-001

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?

Recommended Posts

Андрей-001

Тема навеена проблемой, предостережение о которой уже много раз прозвучало на этом форуме.

Тут p2u привёл очень хорошую ссылку по этой проблеме:

http://www.applicationsecurity.co.il/engli...61/Default.aspx

Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Полезные русскоязычные ссылки:

Платформа .NET Framework >>>

Википедия о .NET Framework >>>

Microsoft .NET Framework FAQ >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Очередная унылая хрень.

Самая основная проблема этого способа состоит в том, что необходимо подменять основную DLL .NET Framework. Также необходимо с собой носить громадное количество дополнительных инструментов для проведения автоматической атаки. Все скрытые файлы и ветки реестра будут скрыты лишь для .NET-приложений. Все перехваченные пароли и прочая информация может быть перехвачена только у .NET-приложений. И спрашивается: на кой хрен столько лишних действий, если

1) мы уже на машине пользователя

2) имеем права администратора

?

Современный антивирус увидит все выполненные действия, так как они рано или поздно придут в обычные Windows API.

Summary: Фтопку!

P.S. В качестве академический задачи - забавно, но не более того, уровень слишком низок. Понравилась лишь дыра с SN, все остальное - детский лепет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Очередная унылая хрень.

[...]

детский лепет.

Спасибо за комментарий, sww. Хотя применение Erez Metula неэкономно и запутано (пока), он доказал самое главное: Его техника не требует те 'Full Trust' разрешения, о которых Майкрософт говорит в документации, для того, чтобы копрометировать .NET Framework. Придут другие, которые более эффективно справятся. И ещё: эта техника, конечно, не только относится к NET.Framework. В JVM, например, будет, возможно, интереснее. Поживём - увидим. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
В JVM, например, будет, возможно, интереснее.

А можно узнать, что именно подразумевается под этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А можно узнать, что именно подразумевается под этим?

Да ничем это не будет интереснее в Java. Это все вообще мало применимо в реальной жизни, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мало применимо в реальной жизни, как мне кажется

Предупреждён - наполовину защищён. Мало ли как может всё обернуться. Сейчас маловероятно, а завтра - может обернуться против нас. Надо бы сейчас хотя бы самим попытаться найти слабые стороны, чем дожидаться "атаки клонов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А как же HIPS?

Или это в его функционал не входит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

NET - это большая детская песочница. но при работе с системой (как уже было сказано выше) все равно рано или поздно приходится уже этой песочнице с выньапи общаться - это на уровне проактивных технологий.

а про эмуляцию я говорить ничего не буду - вообще не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или это в его функционал не входит?

Чей функционал? Антивируса?

Ну если основная DLL .NET Framework будет подменена, а потом блокирована на запуск хипсом, то, получается, что даже Office2003-2007-2010 не будут работать по части фреймов, не говоря уже об интерактивных приложениях, или, к примеру, переводчике PROMT, играх, контроль-центре видеокарт ATI и пр. пр. пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ровно год спустя...

Получение прибыли с помощью системы раскрутки сайтов >>>

...После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET...

...“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download _http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Флейм удален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Ждём экспертного мнения по ответу на вопрос:

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?, Всё что может быть связано с этой проблемой, вкл. человеческий фактор.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Мне, как Эксперту, совершенно непонятно, какое отношение новость об уязвимости в ASP.NET имеет к теме этого топика про руткиты.

Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

Спасибо, Илья, за настоящее Экспертное мнение.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Упаси бог! Обзываться мне позволяет прирожденное хамство.

Кстати, на правах офтопика, но в разделе "Помощь", позвольте дать вам совет - не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

Поясните.

Упаси бог! Обзываться мне позволяет прирожденное хамство.

??? А по ТВ вы совсем другой...

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Уже начал. Читаю:

ASP.Net. Лекция 12. Шаблоны дизайна страниц ASP.NET (исходники)

http://www.interface.ru/home.asp?artId=6279

Шаблоны дизайна - это визуальное наследование страниц, впервые появившееся в ASP.NET 2.0. Вы можете создавать основу для любого количества страниц приложения. Шаблоны позволяют легче создавать и поддерживать приложения. Visual Studio 2005 включает поддержку создания и редактирования шаблонов страниц. Эта лекция рассматривает использование шаблонов страниц в приложении и начинается с объяснения их преимуществ.

И далее по тексту...

Илья, Вы сказали:

ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

А еще я в неё ем © старый анекдот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще я в неё ем © старый анекдот.

Остроумно, как всегда, но тот ответ был лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Что-то не так. И ещё раз- ASP.NET это серверная технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вобщето сам по себе руткит не вредоносен, так как это технология сокрытия, но тем не менее она широко используется вредоносными программами специально для продления жизни на пораженных ПК пользователей, скрывая ключи реестра, файлы на диске и прочее от глаз как пользователя так и антивирусного решения.

Руткиты в .NET это скорее бред больного шизоф паранойей чем реальная возможность сокрыть что либо потому что .NET - это эмулируемая среда. Вот когда MS воплотят свою порномечту - зделать .NET не эмулированной, тогда можно что либо говорить.

Извините пожалуйста! Не удержался...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.99.2
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и снимает некоторые ограничения.
         Работа с удаленным рабочим столом вышла на новый уровень недостижимый для подавляющего большинства программ удаленного управления.
         Функция оптимизирована для работы в локальной сети, что обеспечивает минимальный, почти неощутимый лаг и высокий максимальный fps.
         Дополнительно это обновление исправляет проблему с анализом ответа от сервиса VT.

       o Для Windows 8 и старше для получения копии экрана теперь используется Desktop Duplication API + DX11,
         который уменьшает загрузку процессора в удаленной системе и изменяет FPS в зависимости
         от интенсивности изменения содержимого экрана, что позволяет устанавливать нулевую задержку
         для обновления экрана без существенной загрузки процессора, что в свою очередь обеспечивает
         минимальный инпут лаг. В этом режиме состояние кнопки "CAPBLT" игнорируется.
         Максимальный fps в этом режиме минимум в 2 раза выше, чем в устаревших системах.

       o В клиентской части для отрисовки экрана задействован Direct2D с поддержкой использования ресурсов видеокарты,
         что позволяет отображать удаленный рабочий стол с приличным FPS даже при масштабировании кадра.
         Качество масштабирования экрана при использовании аппаратного ускорения стало заметно выше.
         (!) Минимальные требования Vista SP2/Windows Server 2008 SP2.

       o Добавлена поддержка передачи стандартных курсоров, стандартные курсоры не рендерятся на рабочий стол,
         а устанавливаются в клиентской системе, что позволяет избежать лагов при движении курсора и повышает fps.
         (!) В удаленных системах без физической мыши для поддержки этой функции необходимо активировать отображение курсора мыши.
         (!) Win+U -> Мышь и выбрать "Управлять мышью с помощью клавиатуры".

       o Исправлена и оптимизирована функция сжатия фреймов при работе с удаленным рабочим столом, из-за ошибки
         не поддерживались фреймы размером более 2560x1600 пикселей.
         Время сжатия фрейма уменьшено на 40%. (для 32/24 битных режимов)
         Коэффициент сжатия фрейма увеличен на 25%. (для всех режимов)
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные часть uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o В целях уменьшения трафика добавлена поддержка понижения цветности для 32/24/16bpp  режимов экрана
         (детализация не понижается, а лишь удаляется избыточная информация о цвете).
         Вы можете выбрать в списке 24bpp (24 бита на цвет), 15bpp (15 бит) и 7bpp (7 бит).
         7bpp это черно-белый режим со 128 градациями серого. Яркость в это режиме представлена средним арифметическим
         цветовых компонент, этот вариант смотрится лучше и требует меньше ресурсов процессора, чем "правильное" обесцвечивание.
         Каждый шаг понижения цветности экономит до 70% трафика относительно предыдущего режима, однако 24bpp
         позволяет достичь максимального fps (только при достаточной ширине канала), за счет минимального времени сжатия картинки.

       o Повышена точность трансляции координат курсора.

       o Добавлена дополнительная кнопка "1:1", при нажатии на нее устанавливается размер отображаемого рабочего стола 1:1
         (при физической возможности), а при нажатии на нее правой кнопкой мыши высота окна остается неизменной,
         а ширина окна подстраивается под соотношение сторон удаленного рабочего стола.

       o Изменена функция кнопки "[ ]", при при первом нажатии на нее высота удаленного рабочего стола становится максимальной
         с учетом высоты таскбара, при повторном нажатии размер удаленного рабочего стола масштабируется до максимума в соответствии
         с текущим разрешением клиентского монитора и учетом соотношения сторон исходного изображения вплоть до перехода в полноэкранный режим,
         заголовок окна и управляющие кнопки автоматически скрываются и проявляются если подвести курсор мыши к верхней границе дисплея,
         эффект от третьего нажатия на эту кнопку соответствует эффекту от первого нажатия.
         Горячая клавиша RWIN доступна и в полноэкранном режиме, при ее нажатии в клиентской системе полноэкранный режим будет отменен и будет
         активировано ближайшее окно другого приложения (эмуляция Alt+Tab), при повторном ее нажатии или переключении в окно удаленного рабочего стола
         полноэкранный режим будет восстановлен.

       o Передача удаленного рабочего стола и нажатий кнопок теперь производится через сокет открываемый на время
         передачи по случайному порту, что позволило дополнительно повысить FPS и отзывчивость удаленного интерфейса.
         Серверная часть uVS на удаленном компьютере автоматически добавляет себя в исключения брандмауэра Windows при запуске
         и удаляет себя из исключений при завершении. При использовании стороннего фаервола необходимо добавить uVS в исключения
         самостоятельно на удаленной машине, в этом случае необходимо прописать bFixedName=1 в settings.ini, что бы имя исполняемого файла
         было постоянным.
         В качестве имени удаленного компьютера допустимо использовать:
          o IPv4 (подключение по TCP-IPv4, максимальная скорость запуска серверной части)
          o Имя компьютера (автоматический выбор версии IP, скорость передачи картинки выше в случае TCP-IPv6 в пределах 4%)
          o Доменное имя   (автоматический выбор версии IP)
         (!) Приоритетным протоколом является IPv6, т.е. если у удаленной системы есть IPv4 и IPv6 адрес, то подключение будет по IPv6.
         (!) Если вы используете Ф или сторонний фаервол то в клиентской и удаленной системе необходимо разрешить исходящие запросы
         (!) по протоколу ICMPv6 для SYSTEM.
         (!) Подключение по IPv6 доступно начиная с WinXP.
         (!) Для работы с удаленной системой без отображения рабочего стола внесение изменений в настройки фаервола не требуется.

       o Новый параметр в settings.ini
         [Settings]
         ; Использовать IPv6 при подключении к удаленному рабочему столу.
           bIPv6 (по умолчанию 1)

       o В окне удаленного рабочего увеличено количество поддерживаемых мониторов с 6 до 10 (кнопки 1-10).

       o Окно удаленного рабочего стола теперь не приходится перезапускать при смене разрешения, положения или смены состояния
         текущего монитора в удаленной системе.

       o При работе с удаленным рабочим столом добавлена поддержка нажатия Ctrl+Alt+Del (кнопка CAD) для Windows Vista и старше.
         Для реализации этой функции добавлен новый модуль: usas.
         (!) На время его выполнения модифицируется групповая политика для разрешения использования SAS.
         (!) Чтобы эта функция работала в Windows Server 2008 и Windows Vista,
         (!) необходимо скопировать библиотеку(и) sas.dll из Windows 7:
         (!) C:\Windows\System32\sas.dll и C:\Windows\SysWOW64\sas.dll (для Vista x64 нужны обе)
         (!) и поместить их в C:\Windows\System32 и C:\Windows\SysWOW64 соответственно.
         (!) Эти библиотеки из Windows 7 были добавлены в STORE (каталоги NT60 и NT60x64).

       o Улучшена функция получения доступа к защищенным от чтения файлам на NTFS разделах.
         Теперь файлы, которые полностью защищены от открытия на уровне ядра, т.е. те что ранее не читались uVS,
         можно проверять по хэшу, копировать в Zoo и проверять их ЭЦП (в том числе и драйвер Ф).
         Добавлена поддержка чтения мелких защищенных файлов и файловых потоков полностью помещающихся в записи MFT.
         (новая функция прямого доступа к диску портирована из badNTFS Pro v2.21)

       o Обновлено окно лога для более быстрого добавления в него строк из нескольких потоков одновременно.
         Отображение строки лога ограничено 512 символами, однако при копировании строки или всего лога в буфер обмена копируется
         строка исходной длины, теперь лимита на длину строки нет.

       o Снят лимит на длину строк в окне информации о файле.

       o Снят лимит на путь и длину командной строки в окне истории процессов и задач.

       o Максимальный размер cmd/vbs и т.д. текстовых файлов, хранящихся в описании файла в поле #FILE#, увеличен до 128kb.
         Восстановить файл из образа автозапуска можно поместив значение данного поля в буфер обмена и далее
         сохранив его в любом текстовом редакторе.

       o В лог добавлено состояние брандмауэра. (0 - выключен, 1 - включен).

       o В окно установленных программ добавлена кнопка "Сохранить", которая сохраняет список программ в текстовый файл.

       o Обновлены start и start_x64: улучшена четкость шрифта в новых системах.

       o Обновлена функция разбора ответа от сервиса VT.
         Дополнительно в лог добавлены результаты из раздела sigma_analysis.

       o Окно истории процессов и задач стало немодальным.
         Перейти в это окно теперь можно из окна информации через его контекстное меню при щелчке правой кнопкой мыши по
         строке содержащей pid.
         (!) История процессов доступна лишь при активном отслеживании процессов и задач. (твик #39)

       o Исправлена критическая ошибка в функции обновления окна списка.

       o Исправлена критическая ошибка в функции проверки одного файла по списку критериев.

       o Исправлена критическая ошибка в функции сканирования реестра: длинные значения ключей полностью игнорировались.
         Теперь при обнаружении значения длиной свыше 1024 байт в лог выводится предупреждение с указанием ключа, имени значения
         и содержимого значения. Если в значении будет выделен файл то файл становится подозрительным.
         Эта ошибка присутствовала с v1.0.

       o Исправлена ошибка при открытии окна удаленного рабочего стола, задержка обновления экрана была 50мс
         вне зависимости от текущих настроек до ее изменения вручную.

       o Обновлена функция определения файлов запускавшихся неявно для совместимости с новыми билдами Windows.

       o Исправлена ошибка из-за которой в очень редких случаях мог не отображаться удаленный рабочий стол.

       o Исправлена функция обработки двойного щелчка кнопкой мыши.

       o Исправлена ошибка из-за которой клиент мог долго завершать работу с выдачей ошибок
         при штатном завершении серверной части.

       o Исправлена ошибка [Error: 0x80004002 - Интерфейс не поддерживается] в твике(27) удаления политик Chrome
         при работе с удаленной системой и при выполнении команды "regt 27" из скрипта.

       o Для Windows 11 возвращен оригинальный стиль чекбоксов, начиная с некоторого обновления их наконец-то исправили.

       
    • PR55.RP55
      Как бы это выявлять и исправлять в uVS ? https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15).
    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
×