Перейти к содержанию
Андрей-001

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?

Recommended Posts

Андрей-001

Тема навеена проблемой, предостережение о которой уже много раз прозвучало на этом форуме.

Тут p2u привёл очень хорошую ссылку по этой проблеме:

http://www.applicationsecurity.co.il/engli...61/Default.aspx

Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Полезные русскоязычные ссылки:

Платформа .NET Framework >>>

Википедия о .NET Framework >>>

Microsoft .NET Framework FAQ >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Очередная унылая хрень.

Самая основная проблема этого способа состоит в том, что необходимо подменять основную DLL .NET Framework. Также необходимо с собой носить громадное количество дополнительных инструментов для проведения автоматической атаки. Все скрытые файлы и ветки реестра будут скрыты лишь для .NET-приложений. Все перехваченные пароли и прочая информация может быть перехвачена только у .NET-приложений. И спрашивается: на кой хрен столько лишних действий, если

1) мы уже на машине пользователя

2) имеем права администратора

?

Современный антивирус увидит все выполненные действия, так как они рано или поздно придут в обычные Windows API.

Summary: Фтопку!

P.S. В качестве академический задачи - забавно, но не более того, уровень слишком низок. Понравилась лишь дыра с SN, все остальное - детский лепет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Очередная унылая хрень.

[...]

детский лепет.

Спасибо за комментарий, sww. Хотя применение Erez Metula неэкономно и запутано (пока), он доказал самое главное: Его техника не требует те 'Full Trust' разрешения, о которых Майкрософт говорит в документации, для того, чтобы копрометировать .NET Framework. Придут другие, которые более эффективно справятся. И ещё: эта техника, конечно, не только относится к NET.Framework. В JVM, например, будет, возможно, интереснее. Поживём - увидим. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
В JVM, например, будет, возможно, интереснее.

А можно узнать, что именно подразумевается под этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А можно узнать, что именно подразумевается под этим?

Да ничем это не будет интереснее в Java. Это все вообще мало применимо в реальной жизни, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мало применимо в реальной жизни, как мне кажется

Предупреждён - наполовину защищён. Мало ли как может всё обернуться. Сейчас маловероятно, а завтра - может обернуться против нас. Надо бы сейчас хотя бы самим попытаться найти слабые стороны, чем дожидаться "атаки клонов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А как же HIPS?

Или это в его функционал не входит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

NET - это большая детская песочница. но при работе с системой (как уже было сказано выше) все равно рано или поздно приходится уже этой песочнице с выньапи общаться - это на уровне проактивных технологий.

а про эмуляцию я говорить ничего не буду - вообще не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или это в его функционал не входит?

Чей функционал? Антивируса?

Ну если основная DLL .NET Framework будет подменена, а потом блокирована на запуск хипсом, то, получается, что даже Office2003-2007-2010 не будут работать по части фреймов, не говоря уже об интерактивных приложениях, или, к примеру, переводчике PROMT, играх, контроль-центре видеокарт ATI и пр. пр. пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ровно год спустя...

Получение прибыли с помощью системы раскрутки сайтов >>>

...После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET...

...“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download _http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Ждём экспертного мнения по ответу на вопрос:

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?, Всё что может быть связано с этой проблемой, вкл. человеческий фактор.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Мне, как Эксперту, совершенно непонятно, какое отношение новость об уязвимости в ASP.NET имеет к теме этого топика про руткиты.

Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

Спасибо, Илья, за настоящее Экспертное мнение.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Упаси бог! Обзываться мне позволяет прирожденное хамство.

Кстати, на правах офтопика, но в разделе "Помощь", позвольте дать вам совет - не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

Поясните.

Упаси бог! Обзываться мне позволяет прирожденное хамство.

??? А по ТВ вы совсем другой...

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Уже начал. Читаю:

ASP.Net. Лекция 12. Шаблоны дизайна страниц ASP.NET (исходники)

http://www.interface.ru/home.asp?artId=6279

Шаблоны дизайна - это визуальное наследование страниц, впервые появившееся в ASP.NET 2.0. Вы можете создавать основу для любого количества страниц приложения. Шаблоны позволяют легче создавать и поддерживать приложения. Visual Studio 2005 включает поддержку создания и редактирования шаблонов страниц. Эта лекция рассматривает использование шаблонов страниц в приложении и начинается с объяснения их преимуществ.

И далее по тексту...

Илья, Вы сказали:

ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

А еще я в неё ем © старый анекдот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще я в неё ем © старый анекдот.

Остроумно, как всегда, но тот ответ был лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Что-то не так. И ещё раз- ASP.NET это серверная технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вобщето сам по себе руткит не вредоносен, так как это технология сокрытия, но тем не менее она широко используется вредоносными программами специально для продления жизни на пораженных ПК пользователей, скрывая ключи реестра, файлы на диске и прочее от глаз как пользователя так и антивирусного решения.

Руткиты в .NET это скорее бред больного шизоф паранойей чем реальная возможность сокрыть что либо потому что .NET - это эмулируемая среда. Вот когда MS воплотят свою порномечту - зделать .NET не эмулированной, тогда можно что либо говорить.

Извините пожалуйста! Не удержался...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • BooiCasino
    • BooiCasino
    • BooiCasino
      20 линейные игровые автоматы
      3д игровые автоматы
      777 игровые автоматы
      777 игровые автоматы онлайн
      aztec игровой автомат
      book of ra бесплатно
      book of ra играть
      borderlands 2 игровые автоматы
      casino игровые автоматы
      casino отзывы
      casino платья
      casino скачать
      crazy monkey бесплатно
      crazy monkey игровые автоматы бесплатно
      crazy monkey онлайн
      crazy monkey скачать
      slot игровые автоматы
      автомат crazy monkey
      БОНУСЫ КАЗИНО ВУЛКАН от 100 до 400% за депозит 
      Выбирай казино и выигрывай  https://sochi.go-2.link/go/vrZZ?p57552p241174peed9 ВУЛКАН ДЕЛЮКС  https://sochi.go-2.link/go/PgGl?p57552p241175pb7d7 Казино ВаБанк  https://sochi.go-2.link/go/qgdk?p57552p241176pe255 Вулкан клуб
      https://tech.game-bonuses.club/eldorado/main?p57552p241177p7ff1 Эльдорадо  https://sochi.go-2.link/go/BDLB?p57552p241178p459eЛОТОРУ  https://sochi.go-2.link/go/bvrW?p57552p241179pca77 Vulkan Casino https://sochi.go-2.link/go/53ar?p57552p241180p1a18 ВУЛКАН 24 Лучшая подборка казино вулкан  https://richplayland.com/2117r/?refCode=wp_w28424p43_ Вулкан казино https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан 24 https://richplayland.com/2095_24/?refCode=wp_w28424p162_ Вулкан делюкс https://richplayland.com/2114/?refCode=wp_w28424p46_ Вулкан Слотс https://richplayland.com/1963/?refCode=wp_w28424p129_ Фараон казино https://richplayland.com/1964/?ref=wp_w28424p123_ Вулкан ставка https://richplayland.com/2077/?ref=wp_w28424p3_ Максбет Слотс  https://richplayland.com/1956/?partner=wp_w28424p130_ Вулкан старз https://richplayland.com/8104/?refCode=wp_w28424p122_ Адмирал 777 https://richplayland.com/2085/?ref=wp_w28424p8_ Слотозал казино https://richplayland.com/1959/?refCode=wp_w28424p157_ Эльдорадо казино https://richplayland.com/2084/?refCode=wp_w28424p176_ Джойказино
      бесплатные игровые аппараты
      https://visandgo.co/7jZssN?c=0117S4_OqkD713dcc783d20a39085b&saff_id=583  CasinoShans https://visandgo.co/7jZssN?c=0120S4_OqkD7133a0407cd0dbeba7a&saff_id=583 Furor Casino     https://visandgo.co/7jZssN?c=0114S4_OqkD7132d06a456a0c71770&saff_id=583  Вулкан Олимп     https://visandgo.co/7jZssN?c=0106S4_OqkD713627ec49215571e67&saff_id=583  Вулкан Maximum     http://visandgo.co/7jZssN?c=0091S4_OqkD713cc88948e9566fdf8&saff_id=583 Вулкан Миллион     http://visandgo.co/7jZssN?c=0094S4_OqkD7131efdd7d88cfbcd64&saff_id=583 Вулкан Олимп     http://visandgo.co/ctXWmT?c=0086S4_OqkD7136c8ca804a847a4eb&saff_id=583 Вулкан Prestige     http://visandgo.co/7jZssN?c=0104S4_OqkD71370629306dc83ff47&saff_id=583 Вулкан Победа     http://visandgo.co/7jZssN?c=0102S4_OqkD71329eab51b3dbd73c0&saff_id=583 Вулкан Neon     http://visandgo.co/7jZssN?c=0105S4_OqkD7133a7a4633ec2eeb05&saff_id=583 Admiral888 http://visandgo.co/7jZssN?c=0109S4_OqkD713ab04c78f5d33f76a&saff_id=583 Чудо Слот     http://visandgo.co/7jZssN?c=0108S4_OqkD7135e5931a83728fa89&saff_id=583 Вулкан Гранд    
      бесплатные игровые аппараты 777
      бесплатные игровые аппараты без регистрации
      бесплатные игровые аппараты вулкан
      бесплатные игровые аппараты играть бесплатно
      бесплатные игровые аппараты онлайн
      бесплатные игровые аппараты онлайн играть
      бесплатные игровые гаминатор
      бесплатные игровые клубы
      бесплатные игровые слоты
      бесплатные игровые слоты без регистрации бесплатные симуляторы игровых автоматов играть
      бесплатные старые игровые автоматы
      бесплатные эмуляторы игровых автоматов
      бесплатный book of ra
      бесплатный игровой автомат алькатрас
      бесплатный игровой автомат гладиатор
      бесплатный игровой автомат клубнички
      бесплатный игровой клуб вулкан
      бесплатный игровой клуб вулкан
      бесплатный слот играть онлайн
      бизнес игровые автоматы
      бонус за регистрацию в казино
      бонусы в казино
      бонусы интернет казино
      бонусы онлайн казино
      братва игровой автомат
      вегас игровые автоматы
      веселая ферма русская рулетка онлайн
      видео рулетка онлайн
      видеопокер
      видеопокер играть бесплатно
      видеопокер онлайн
      вип клуб вулкан
      вулкан игровой зал
      вулкан игровые автоматы
      вулкан игровые автоматы 777
      вулкан игровые автоматы бесплатно
      вулкан игровые автоматы на деньги
      вулкан игрософт
      вулкан казино игровые автоматы бесплатно
      вулкан клуб
      вулкан клуб игровые автоматы
      вулкан клуб игровые автоматы
      відео рулетка онлайн платные игровые автоматы
      платы игрософт
      поиграть в бесплатные игровые автоматы
      поиграть в игровые автоматы
      поиграть в игровые автоматы бесплатно
      поиграть в игровые аппараты
      поиграть в игровые аппараты бесплатно
      поиграть онлайн игровые автоматы
      порно игровые автоматы
      пробки игровые автоматы
      продажа игровых автоматов
      продажа игровых аппаратов
      работа в игровых автоматах
      реальное интернет казино
      реальные игровые автоматы
      реальные онлайн игровые автоматы
      рейтинг интернет казино
      рулетка игра онлайн
      рулетка играть онлайн бесплатно
      рулетка онлайн
      рулетка онлайн бесплатно
      рулетка онлайн бесплатно без регистрации
      рулетка онлайн бесплатно чат
      рулетка онлайн на деньги
      рулетка онлайн с девушками
      рулетка с живым дилером
      русская рулетка играть онлайн
      русская рулетка играть онлайн бесплатно
      русская рулетка онлайн
      русская рулетка онлайн бесплатно
      русская рулетка онлайн игра
      русская рулетка ферма играть онлайн
      русские игровые автоматы
      русские игровые автоматы бесплатно
      сайты игровых автоматов
      секреты игровых автоматов
      секс рулетка онлайн
      семерки игровые автоматы
      симулятор игровых автоматов играть
      симулятор игровых аппаратов скачать
      симуляторы игровых автоматов
      симуляторы игровых автоматов бесплатно
      симуляторы игровых автоматов играть бесплатно
      симуляторы игровых автоматов скачать бесплатно
      симуляторы игровых аппаратов
      скайп рулетка онлайн
      скачать crazy игровые автоматы
      скачать азартные игры бесплатные
      скачать бесплатно игровые автоматы компьютер
      скачать бесплатно игровые слоты
      скачать бесплатные игровые аппараты
      скачать бесплатные игры игровые автоматы
      скачать игровые автоматы
      скачать игровые автоматы resident
      скачать игровые автоматы на андроид
      скачать игровые автоматы на компьютер
      скачать игровые аппараты
      скачать игровые слоты
      скачать игру игровые автоматы
      скачать симулятор игровых автоматов
      скачать слоты игровые автоматы бесплатно
      скачать торрент игру игровые автоматы
      скачать эмулятор игровых автоматов бесплатно
      скачать эмуляторы игровых автоматов
      скачать эмуляторы игровых аппаратов
      слот автоматы играть онлайн бесплатно
      слот автоматы онлайн
      слот автоматы онлайн бесплатно
      слотозал 
      слотомания игровые автоматы
      слотомания игровые автоматы бесплатно
      слотомания игровые автоматы играть бесплатно
      слотосфера игровые автоматы
      слотосфера игровые автоматы играть бесплатно
      слоты играть онлайн
      слоты играть онлайн без регистрации
      слоты игровые бесплатно без регистрации
      слоты игровых автоматов вулкан
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов играть бесплатно
      слоты игровых автоматов скачать
      слоты игровых автоматов скачать
      слоты онлайн
      слоты онлайн без регистрации
      слоты онлайн бесплатно
      слоты онлайн бесплатно без регистрации
      смотреть игровые автоматы
      собачки игровые автоматы
      старые игровые автоматы играть бесплатно
      старые игровые аппараты
      старый игровой автомат
      супер игровые автоматы
      фараон игровые автоматы
      ферма русская рулетка онлайн
      флеш игровые автоматы
      флэш игровых автоматов
      черти игровые автоматы
      эмуляторы игровых автоматов
      эмуляторы игровых автоматов бесплатно
      эмуляторы игровых автоматов играть бесплатно
      эмуляторы игровых аппаратов
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.23.
    • KarinaDrozd
      Разыскиваются профессиональные дизайнеры для творческого onion проекта изготовления лэндов.
      Пример дизайна студии: http://ruonion.net/
      http://onionwiki.xyz/
      http://godnota.online/
      https://hydra2web.bio/
      https://hydraonion.la/
      http://hydra2web.wine/
      http://hydra2web.gy/
      http://hydra2web.gg/
      http://tor-browser.biz/ Тематические разделы:
      Бизнес Молодсть
      Трансфрматор
      Аяз Шабутдинов
      Косенко
      Оплата попроектаная, от 50к за профессиональный дизайн.
      Пиши свою почту под темой и ссылку на портфолио, мы обязательно свяжемся с тобой!
×