Перейти к содержанию
Андрей-001

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?

Recommended Posts

Андрей-001

Тема навеена проблемой, предостережение о которой уже много раз прозвучало на этом форуме.

Тут p2u привёл очень хорошую ссылку по этой проблеме:

http://www.applicationsecurity.co.il/engli...61/Default.aspx

Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Полезные русскоязычные ссылки:

Платформа .NET Framework >>>

Википедия о .NET Framework >>>

Microsoft .NET Framework FAQ >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Очередная унылая хрень.

Самая основная проблема этого способа состоит в том, что необходимо подменять основную DLL .NET Framework. Также необходимо с собой носить громадное количество дополнительных инструментов для проведения автоматической атаки. Все скрытые файлы и ветки реестра будут скрыты лишь для .NET-приложений. Все перехваченные пароли и прочая информация может быть перехвачена только у .NET-приложений. И спрашивается: на кой хрен столько лишних действий, если

1) мы уже на машине пользователя

2) имеем права администратора

?

Современный антивирус увидит все выполненные действия, так как они рано или поздно придут в обычные Windows API.

Summary: Фтопку!

P.S. В качестве академический задачи - забавно, но не более того, уровень слишком низок. Понравилась лишь дыра с SN, все остальное - детский лепет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Очередная унылая хрень.

[...]

детский лепет.

Спасибо за комментарий, sww. Хотя применение Erez Metula неэкономно и запутано (пока), он доказал самое главное: Его техника не требует те 'Full Trust' разрешения, о которых Майкрософт говорит в документации, для того, чтобы копрометировать .NET Framework. Придут другие, которые более эффективно справятся. И ещё: эта техника, конечно, не только относится к NET.Framework. В JVM, например, будет, возможно, интереснее. Поживём - увидим. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
В JVM, например, будет, возможно, интереснее.

А можно узнать, что именно подразумевается под этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А можно узнать, что именно подразумевается под этим?

Да ничем это не будет интереснее в Java. Это все вообще мало применимо в реальной жизни, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мало применимо в реальной жизни, как мне кажется

Предупреждён - наполовину защищён. Мало ли как может всё обернуться. Сейчас маловероятно, а завтра - может обернуться против нас. Надо бы сейчас хотя бы самим попытаться найти слабые стороны, чем дожидаться "атаки клонов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А как же HIPS?

Или это в его функционал не входит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

NET - это большая детская песочница. но при работе с системой (как уже было сказано выше) все равно рано или поздно приходится уже этой песочнице с выньапи общаться - это на уровне проактивных технологий.

а про эмуляцию я говорить ничего не буду - вообще не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или это в его функционал не входит?

Чей функционал? Антивируса?

Ну если основная DLL .NET Framework будет подменена, а потом блокирована на запуск хипсом, то, получается, что даже Office2003-2007-2010 не будут работать по части фреймов, не говоря уже об интерактивных приложениях, или, к примеру, переводчике PROMT, играх, контроль-центре видеокарт ATI и пр. пр. пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ровно год спустя...

Получение прибыли с помощью системы раскрутки сайтов >>>

...После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET...

...“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download _http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Ждём экспертного мнения по ответу на вопрос:

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?, Всё что может быть связано с этой проблемой, вкл. человеческий фактор.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Мне, как Эксперту, совершенно непонятно, какое отношение новость об уязвимости в ASP.NET имеет к теме этого топика про руткиты.

Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

Спасибо, Илья, за настоящее Экспертное мнение.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Упаси бог! Обзываться мне позволяет прирожденное хамство.

Кстати, на правах офтопика, но в разделе "Помощь", позвольте дать вам совет - не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

Поясните.

Упаси бог! Обзываться мне позволяет прирожденное хамство.

??? А по ТВ вы совсем другой...

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Уже начал. Читаю:

ASP.Net. Лекция 12. Шаблоны дизайна страниц ASP.NET (исходники)

http://www.interface.ru/home.asp?artId=6279

Шаблоны дизайна - это визуальное наследование страниц, впервые появившееся в ASP.NET 2.0. Вы можете создавать основу для любого количества страниц приложения. Шаблоны позволяют легче создавать и поддерживать приложения. Visual Studio 2005 включает поддержку создания и редактирования шаблонов страниц. Эта лекция рассматривает использование шаблонов страниц в приложении и начинается с объяснения их преимуществ.

И далее по тексту...

Илья, Вы сказали:

ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

А еще я в неё ем © старый анекдот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще я в неё ем © старый анекдот.

Остроумно, как всегда, но тот ответ был лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Что-то не так. И ещё раз- ASP.NET это серверная технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вобщето сам по себе руткит не вредоносен, так как это технология сокрытия, но тем не менее она широко используется вредоносными программами специально для продления жизни на пораженных ПК пользователей, скрывая ключи реестра, файлы на диске и прочее от глаз как пользователя так и антивирусного решения.

Руткиты в .NET это скорее бред больного шизоф паранойей чем реальная возможность сокрыть что либо потому что .NET - это эмулируемая среда. Вот когда MS воплотят свою порномечту - зделать .NET не эмулированной, тогда можно что либо говорить.

Извините пожалуйста! Не удержался...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Компьютеры легко защитить антивирусами, а вот как защитить свою страницу в ВК, например, очень мало кто знает. Сам недавно повергался взлому, мало того что потерял страницу, так еще и у друзей мошенники выдурили деньги. Потому, что касается защиты и безопасности далеко не везде она так очевидна и понятна многим пользователям. Что точно знаю, так это то, что защитить аккаунт можно с помощью информации из этой статьи по защите аккаунта  ,  мне очень помогло, теперь хоть могу спать спокойно, что никто уже не взломает, ведь в ВК есть все возможности для защиты, но многие люди не знают об этом. 
    • Moraband
      Лучше бы за взломы в ВК сажали, но увы максимум это блокировка страницы взломщика, а чаще всего вообще никаких санкций нет, при том что владельцы ВК теперь представители мэйл ру, лояльные к правительству. Потому советую людям самим задумываться о своей безопасности в ВК, потому что это сейчас одна из самых актуальных проблем, взломщики активизировались из-за кризиса, деньги всем нужны, потому берут взламывают и клянчат у друзей взломанного пользователя деньги. Всем советую изучить статью по защите от взломов в ВК , чтоб хоть как-то защитить себя . Вот это куда более важное дело, что переживать из-за нецензурной лексики пользователей, но у нас же как всегда борются с тем что не надо, игнорируя важную проблему. 
    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
×