Archive for the ‘malware’ Category
DrWeb Live CD
DrWeb выложили LiveCD со своей продукцией, для более точной проверки рабочих станций.
Вредоносное ПО используют новый медот обхода проактивных защит
В блоге F-Secure появилась запись о том как они нашли вредоносное ПО (Worm.Win32.AutoRun.nox), которое использует GDI Local Elevation of Privilege Vulnerability для восстановления адресов функций в SSDT (System Service Descriptor Table). Это используется для того чтобы обходить проактивые защиты, которые контролируют загрузку драйверов. Потому что настоящие руткит технологии, которые можно использовать массово, можно реализовать только в ядре. Раньше я встречал ПО которое использует эту (старую) уязвимость для загрузки драйверов в обход проактивной защиты. Теперь же разработчики пошли дальше..Очень интересная реализация.
Open-source linux rootkit by Immunity Security.
Immunity Security выложили в public руткит под IA-32 Linux.
Руткит не использует банальные технологии на подобии модификации таблицу системных вызовов,либо прямой перехват функций.
An IA32 Debug Register based rootkit (last updated: 9/4/2008 SHA1: 2048f537ab3459b21150c2d0b09a042737758d39)
Отличная вещь для тестирование ваших анти-руткитов ;)
Нашлось время прочесть README:
О рутките
=====
DR rootkit использует регистры предназначенные для отладки, т.е. отладочные регистры.
Руткит не модифицирует IDT или syscall_table на прямую, но все равно позволяет перехватывать системные вызовы на архитектуре IA32.
Возможности
========
Перехват системных вызовов без модификации IDT или syscall_table.
Руткит устанавливает аппаратные прерывания на описатель системного вызова, и в момент прерывания подменивает адрес обработчика. Т.е. когда ядро пытается считать адрес обработчика того или иного вызова, срабатывает исключение, в котором руткит заменяет адрес функции.
И не важно как вызывается обработчик, через INT 0×80 или sysenter.
Execute global breakpoint on syscall handler in dr0, syscall is called,
breakpoint kicks in. Modified do_debug handler places global read watch
on syscall_table[__NR_syscall]. When syscall is called, memory access
breakpoint kicks in. Modified do_debug handler places function pointer
to hooked syscall in task regs eip. Execution is redirected to hooked
syscall. Repeat.
Вышел Rootkit Unhooker v3.8
Для тех кто не в курсе что это, советую погуглить. Название софтины говорит само за себя, это Анти-руткит. Программа для обнаружения руткитов в системе Windows. Я сам часто использую эту программу, действительно грамотно написана.
RkU умеет искать и снимать перехваты:
- Скрытые процессы;
- Перехваты ( как inline так и замена адреса функций ) в SSDT & Shadow SSDT;
- Скрытые драйвера;
- Скрытый код;
- Файлы
- Перехватчики ( хуки ) в АП процессов;
Скачать:
http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html
df4536abcf25ec8f77c91f2b058e4c02 *RkU3.8.341.552.exe
Locals
http://rapidshare.com/files/134702156/2local.rar.html
Windows Mobile 5&6 and Windows CE Embedded 6 Rootkit
Video from BlackHat.com
Must see.
ZLOB – фейковые DNS сервера.
Как сообщает TrendLabs Malware blog – сеть из фейковых DNS серверов принадлежащих ZLOB, на данный момент используются для подмены результатов поисковых систем. Трояны ZLOB меняют у жертвы адреса DNS серверов в настройках на свои, в результате чего могут подставлять фейковые IP адрес при запросе на резолв адресов поисковых систем. После этого пользователь работает уже не с настоящим сайтом, а с фейковым поисковиком, который может вставлять свои ссылки в результаты запросов поисковых систем. В принципе эта схема будет работать ещё долго,так как поисковики на данный момент ничего не могут поделать с этим. Троян живет на компе жертвы, а значит они бессильны.
Если раньше трояны вживались в ОС, «инжектились» в процессы браузеров, перехватывали\подменивали трафик браузеров,устанавливали компоненты для браузеров (BHO), то хакеры сейчас пошли дальше. И это радует :) Как работала схема ? После того как троян попадал на комп жертвы, он отслеживал запуск популярных браузеров, затем «внедрял» себя в адресное пространство процесса браузера и следил за действиями пользователя. Если жертва выполняла какой-нибудь запрос в поисковые системы, троян тут же перехватывал результат ( перехват функций сокетов recv\WSARecv\HttpRequest в ws2_32.dll\wsocks32.dll ) и вставлял фейковые ссылки своих клиентов.
Чем лучше подмена DNS ? Тем что не надо делать лишних тело-движений, нужно всего лишь подменить адреса DNS серверов и следить за тем что бы их не поменяли обратно. Не надо парится с обходом антивирусов и проактивных защит, не надо обходить файрволы для получения задания из центрального сервера ботнета. И все ! А дальше уже работает фейковы сервер куда уйдет запрос жертвы..
Решение проблемы для корпоративной сети?…
