Перейти к содержанию
Андрей-001

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?

Recommended Posts

Андрей-001

Тема навеена проблемой, предостережение о которой уже много раз прозвучало на этом форуме.

Тут p2u привёл очень хорошую ссылку по этой проблеме:

http://www.applicationsecurity.co.il/engli...61/Default.aspx

Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Полезные русскоязычные ссылки:

Платформа .NET Framework >>>

Википедия о .NET Framework >>>

Microsoft .NET Framework FAQ >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Вопрос такой:

Как же тогда и чем предстоит защищаться пользователям, если в большинстве современных программ требуется та или иная версия .NET Framework? И что думают по этому поводу антивирусные компании?

Очередная унылая хрень.

Самая основная проблема этого способа состоит в том, что необходимо подменять основную DLL .NET Framework. Также необходимо с собой носить громадное количество дополнительных инструментов для проведения автоматической атаки. Все скрытые файлы и ветки реестра будут скрыты лишь для .NET-приложений. Все перехваченные пароли и прочая информация может быть перехвачена только у .NET-приложений. И спрашивается: на кой хрен столько лишних действий, если

1) мы уже на машине пользователя

2) имеем права администратора

?

Современный антивирус увидит все выполненные действия, так как они рано или поздно придут в обычные Windows API.

Summary: Фтопку!

P.S. В качестве академический задачи - забавно, но не более того, уровень слишком низок. Понравилась лишь дыра с SN, все остальное - детский лепет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Очередная унылая хрень.

[...]

детский лепет.

Спасибо за комментарий, sww. Хотя применение Erez Metula неэкономно и запутано (пока), он доказал самое главное: Его техника не требует те 'Full Trust' разрешения, о которых Майкрософт говорит в документации, для того, чтобы копрометировать .NET Framework. Придут другие, которые более эффективно справятся. И ещё: эта техника, конечно, не только относится к NET.Framework. В JVM, например, будет, возможно, интереснее. Поживём - увидим. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
В JVM, например, будет, возможно, интереснее.

А можно узнать, что именно подразумевается под этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А можно узнать, что именно подразумевается под этим?

Да ничем это не будет интереснее в Java. Это все вообще мало применимо в реальной жизни, как мне кажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мало применимо в реальной жизни, как мне кажется

Предупреждён - наполовину защищён. Мало ли как может всё обернуться. Сейчас маловероятно, а завтра - может обернуться против нас. Надо бы сейчас хотя бы самим попытаться найти слабые стороны, чем дожидаться "атаки клонов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А как же HIPS?

Или это в его функционал не входит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

NET - это большая детская песочница. но при работе с системой (как уже было сказано выше) все равно рано или поздно приходится уже этой песочнице с выньапи общаться - это на уровне проактивных технологий.

а про эмуляцию я говорить ничего не буду - вообще не уверен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Или это в его функционал не входит?

Чей функционал? Антивируса?

Ну если основная DLL .NET Framework будет подменена, а потом блокирована на запуск хипсом, то, получается, что даже Office2003-2007-2010 не будут работать по части фреймов, не говоря уже об интерактивных приложениях, или, к примеру, переводчике PROMT, играх, контроль-центре видеокарт ATI и пр. пр. пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ровно год спустя...

Получение прибыли с помощью системы раскрутки сайтов >>>

...После первичного анализа было обнаружено, что скачивается множество файлов, в том числе .NET FrameWork, который в дальнейшем «тихо» устанавливается. Это было очень неожиданно для меня - давно я не видел настолько наглого зловреда, который устанавливает .NET...

...“.NET Setup” – скрытная установка .NET на машине пользователя из файла jnwmon.bat, реализуется следующим образом:

if exist %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll goto end dotnetfxupdt.exe -download _http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe dotnetfx.exe /q:a /c:"install /q"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ещё четыре месяца спустя...

Microsoft предупреждает о наличии серьезной уязвимости в ASP.NET. Ошибка прослеживается во всех версиях платформы .NET framework , а так же Windows XP, Vista, Windows 7, Windows Server 2003 и 2008...

Обнаруженная уязвимость проявляется при отображении сообщений о персонализированных ошибках веб-сервера во время дешифровки зашифрованного текста. Благодаря чему злоумышленник, имеет возможность просмотреть или испортить данные, которые были зашифрованы сервером, а так же дешифровать cookies и просмотреть состояния, формы проверки подлинности, пароли, данные пользователей.

В блоге Microsoft TechNet сообщается, что администраторы смогут протестировать свои ASP.NET-приложения на наличие уязвимости. Разработчикам будет оказываться техническая поддержка в вопросах решения данной проблемы.

Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Флейм удален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Извините товарищ флудер, но какое отношение ЭТО имеет к теме "Руткиты на основе .NET Framework" ?

Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Ждём экспертного мнения по ответу на вопрос:

Руткиты на основе .NET Framework: Как и чем защищаться? И надо ли?, Всё что может быть связано с этой проблемой, вкл. человеческий фактор.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это написано специально для Экспертов, но если вам самому больше, чем оскорблений или флуда сказать нечего... То какой же вы тогда эксперт?

Мне, как Эксперту, совершенно непонятно, какое отношение новость об уязвимости в ASP.NET имеет к теме этого топика про руткиты.

Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Возможно, вы как автор и топика и новости хотели что-то сказать и как-то обьяснить эту связь между ними ?

Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Читать надо было с первого поста. А не обзываться с порога.

Я просто хотел знать экспертное мнение всвязи с вновь открывшимися обстоятельствами.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

Спасибо, Илья, за настоящее Экспертное мнение.

Судя по всему ваших знаний не хватает для понимания самого термина "руткиты" и кроме того наблюдаются серьезные проблемы в понимании .NET Framework. Данные пробелы в вашем образовании не могут быть устранены в приемлемое время в рамках данного топика.

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, не хватает, потому и спрашивал и спрашиваю в разделе "Помощь". А разве экспертное звание позволяет вам обзываться?

Упаси бог! Обзываться мне позволяет прирожденное хамство.

Кстати, на правах офтопика, но в разделе "Помощь", позвольте дать вам совет - не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
не пишите болдом, это выглядит крайне странно и заставляет думать о вас всякое негативное.

Поясните.

Упаси бог! Обзываться мне позволяет прирожденное хамство.

??? А по ТВ вы совсем другой...

Рекомендую заняться самообразованием - так будет гораздо продуктивней.

Уже начал. Читаю:

ASP.Net. Лекция 12. Шаблоны дизайна страниц ASP.NET (исходники)

http://www.interface.ru/home.asp?artId=6279

Шаблоны дизайна - это визуальное наследование страниц, впервые появившееся в ASP.NET 2.0. Вы можете создавать основу для любого количества страниц приложения. Шаблоны позволяют легче создавать и поддерживать приложения. Visual Studio 2005 включает поддержку создания и редактирования шаблонов страниц. Эта лекция рассматривает использование шаблонов страниц в приложении и начинается с объяснения их преимуществ.

И далее по тексту...

Илья, Вы сказали:

ASP.NET не имеет отношения к десктопному .NET. Это вообще серверная технология.

А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

А еще я в неё ем © старый анекдот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще я в неё ем © старый анекдот.

Остроумно, как всегда, но тот ответ был лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А страницы мы просматриваем в браузере или в других приложениях Windows. Или опять что-то не так?

Что-то не так. И ещё раз- ASP.NET это серверная технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Вобщето сам по себе руткит не вредоносен, так как это технология сокрытия, но тем не менее она широко используется вредоносными программами специально для продления жизни на пораженных ПК пользователей, скрывая ключи реестра, файлы на диске и прочее от глаз как пользователя так и антивирусного решения.

Руткиты в .NET это скорее бред больного шизоф паранойей чем реальная возможность сокрыть что либо потому что .NET - это эмулируемая среда. Вот когда MS воплотят свою порномечту - зделать .NET не эмулированной, тогда можно что либо говорить.

Извините пожалуйста! Не удержался...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×