Перейти к содержанию
Андрей-001

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?

Recommended Posts

Андрей-001

Тема навеена проблемой, предостережение о которой уже много раз прозвучало на этом форуме.

Тут p2u привёл очень хорошую ссылку по этой проблеме:

http://www.applicationsecurity.co.il/engli...61/Default.aspx

Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Полезные русскоязычные ссылки:

Платформа .NET Framework >>>

Википедия о .NET Framework >>>

Microsoft .NET Framework FAQ >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Очередная унылая хрень.

Самая основная проблема этого способа состоит в том, что необходимо подменять основную DLL .NET Framework. Также необходимо с собой носить громадное количество дополнительных инструментов для проведения автоматической атаки. Все скрытые файлы и ветки реестра будут скрыты лишь для .NET-приложений. Все перехваченные пароли и прочая информация может быть перехвачена только у .NET-приложений. И спрашивается: на кой хрен столько лишних действий, если

1) мы уже на машине пользователя

2) имеем права администратора

?

Современный антивирус увидит все выполненные действия, так как они рано или поздно придут в обычные Windows API.

Summary: Фтопку!

P.S. В качестве академический задачи - забавно, но не более того, уровень слишком низок. Понравилась лишь дыра с SN, все остальное - детский лепет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Очередная унылая хрень.

[...]

детский лепет.

Спасибо за комментарий, sww. Хотя применение Erez Metula неэкономно и запутано (пока), он доказал самое главное: Его техника не требует те 'Full Trust' разрешения, о которых Майкрософт говорит в документации, для того, чтобы копрометировать .NET Framework. Придут другие, которые более эффективно справятся. И ещё: эта техника, конечно, не только относится к NET.Framework. В JVM, например, будет, возможно, интереснее. Поживём - увидим. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
В JVM, например, будет, возможно, интереснее.

А можно узнать, что именно подразумевается под этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А можно узнать, что именно подразумевается под этим?

Да ничем это не будет интереснее в Java. Это все вообще мало применимо в реальной жизни, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мало применимо в реальной жизни, как мне кажется

Предупреждён - наполовину защищён. Мало ли как может всё обернуться. Сейчас маловероятно, а завтра - может обернуться против нас. Надо бы сейчас хотя бы самим попытаться найти слабые стороны, чем дожидаться "атаки клонов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А как же HIPS?

Или это в его функционал не входит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

NET - это большая детская песочница. но при работе с системой (как уже было сказано выше) все равно рано или поздно приходится уже этой песочнице с выньапи общаться - это на уровне проактивных технологий.

а про эмуляцию я говорить ничего не буду - вообще не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или это в его функционал не входит?

Чей функционал? Антивируса?

Ну если основная DLL .NET Framework будет подменена, а потом блокирована на запуск хипсом, то, получается, что даже Office2003-2007-2010 не будут работать по части фреймов, не говоря уже об интерактивных приложениях, или, к примеру, переводчике PROMT, играх, контроль-центре видеокарт ATI и пр. пр. пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ровно год спустя...

Получение прибыли с помощью системы раскрутки сайтов >>>

...После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET...

...“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download _http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Ждём экспертного мнения по ответу на вопрос:

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?, Всё что может быть связано с этой проблемой, вкл. человеческий фактор.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Мне, как Эксперту, совершенно непонятно, какое отношение новость об уязвимости в ASP.NET имеет к теме этого топика про руткиты.

Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

Спасибо, Илья, за настоящее Экспертное мнение.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Упаси бог! Обзываться мне позволяет прирожденное хамство.

Кстати, на правах офтопика, но в разделе "Помощь", позвольте дать вам совет - не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

Поясните.

Упаси бог! Обзываться мне позволяет прирожденное хамство.

??? А по ТВ вы совсем другой...

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Уже начал. Читаю:

ASP.Net. Лекция 12. Шаблоны дизайна страниц ASP.NET (исходники)

http://www.interface.ru/home.asp?artId=6279

Шаблоны дизайна - это визуальное наследование страниц, впервые появившееся в ASP.NET 2.0. Вы можете создавать основу для любого количества страниц приложения. Шаблоны позволяют легче создавать и поддерживать приложения. Visual Studio 2005 включает поддержку создания и редактирования шаблонов страниц. Эта лекция рассматривает использование шаблонов страниц в приложении и начинается с объяснения их преимуществ.

И далее по тексту...

Илья, Вы сказали:

ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

А еще я в неё ем © старый анекдот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще я в неё ем © старый анекдот.

Остроумно, как всегда, но тот ответ был лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Что-то не так. И ещё раз- ASP.NET это серверная технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вобщето сам по себе руткит не вредоносен, так как это технология сокрытия, но тем не менее она широко используется вредоносными программами специально для продления жизни на пораженных ПК пользователей, скрывая ключи реестра, файлы на диске и прочее от глаз как пользователя так и антивирусного решения.

Руткиты в .NET это скорее бред больного шизоф паранойей чем реальная возможность сокрыть что либо потому что .NET - это эмулируемая среда. Вот когда MS воплотят свою порномечту - зделать .NET не эмулированной, тогда можно что либо говорить.

Извините пожалуйста! Не удержался...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×