Современные r0 rootkits, bootkits (bios, uefi), intel me\amt

Привет, накидайте ссылок по теме - анализы, реверс, новости о сабже, какие технологие перспективные и акктуальные на сегодняшний день, покрывающие современные акктуальные ОС семейства Windows, что думаете о таких руткитах как necurs какие сильные и слабые стороны у него есть, много новостей о нем мелькает на тематических лентах, что можно сказать о гипервизор руткитах на intel процессорах... Что умерло как технология, а что будет еще долго жить... слабые и сильные места реализации, установка без цифровой подписи...

Спасибо.

 

Зайди на сайт вирусной аналитики, например на сайт Касперского и там ищи все, что тебя интересует - сводки, статистика, прочее.

 

https://github.com/nyx0/Rovnix

ну вот посмотрите

 

1. Некурс это не руткит, а убогая, трешевая малварь по технологичности сравнимая с вредоносами(именно вредоносами, потому что вреда от них больше чем пользы) режима ядра 200x годов.
2. Руткиты на базе аппаратной виртуализации на данное время одни из лучших в плане универсальности и покрытия. Вполне сносно справляются с обходом KPP и прочих защит реализованных на уровне ядра. Имеют ряд недостатков связанных именно с тем уровнем на котором они работают. Несколько очевидных проблем: IOMMU, проблема с vmx тапками когда они уже оказываются занятыми другим HV, barel hv накладывающие доп. hardening против руткитов именно этого типа (ms плотно работает над решением этой задачи последние 2 года) и т.д.
3. Установка без цифровой подписи это по сути DSE, тема заезжанная вдоль и поперек. как ее обходить/вырубать см. на github / google по тегам: DSE bypass.
4. Сильные стороны руткитов заключаются в неизвестных доселе техниках и методах сокрытия. Слабые стороны же в том - что создать универсальный и качественный руткит - очень дорого и долго. Требуется качественный ресерч того уровня, на котором вы хотите реализовать сокрытие(хуки/подмена). Так ранее мной уже освещалась тема iratemonk'a от анб:
https://wasm.in/threads/mozhno-li-zarabotat-na-bsod.32352/page-2#post-394595
Нужно также понимать что стелс руткиты в реале оказывается мифом и не более того; любой руткит можно раскрыть имея физ. доступ к железке; руткит как решение от аверской автоматики - норм, но как решение для сокрытия malware активности от ручной экспертизы - совсем не очень. Профессионально разработанные руткиты - это плод работы нескольких десятков профессионалов в течении продолжительного времени. Как правило такие руткиты имеют достаточное спонсирование, но при этом выполняют минимальные требования по сокрытию / персистенции.

 

Кому лень гуглить, смотрите ресурсы васма)

 

ну потому что антируткиты типа PCHunter юзают сырое чтение с диска, в обход сисколов и дровера фс; а тот рк что у вас на тестах был очевидно хендлить такое не умел. ваши сомнения возникли только из за того, что вы не понимаете насколько это мощная техника: спуфить можно любой код(и данные) что робят на уровне ОС(r3/r0). я вам выше уже перечислил реальные проблемы этих руткитов, другие "проблемы" вполне решаемы.

superakira, гиперплатформа кстати годный фреймворк для организации хуков(код очень кошерный), однако он запилен в качестве poc, поэтому все фичи для андетекта дописываются уже вручную.
В прошлом году писал универсальный механизм хуков на его базе(сплайсить можно практически все, включая неэкспортируемые функции r0/r3) плюс добавил спуфинги для счетчиков производительности(которые косвенно палят нестед виртуализацию) - получилась весьма хорошая реализация. Писать там еще есть много чего, но со временем туговато - без фин. мотивации проекты долго не живут.

 

http://hypervsir.blogspot.com/
http://igorkorkin.blogspot.com/
http://standa-note.blogspot.com/

помимо гиперплатформы стоящих проектов как бы и нет, если конечно не смотреть в сторону полноценных гипервизеров и тулкитов использующих их в качестве средства интроспекции и манипуляции ОС(drakvuf и т.п). можно также заморочиться с barel гипервизерами(под uefi), код достаточно легко добывается поиском на гитхабе (BitVisor, ramoflax, etc).
я бы алсо посоветовал присмотреться к проектам на базе гиперплатформы(на том же гитхабе есть весьма интересные наработки: апи монитор, взаимоисключающий гипервизер, мемпрот и т.д). Успехов!

 

Indy_, это чем барел гипервизер вам не зашел ? и что странного в UEFI ?
не знаю как для вас, но для меня и нормальных людей - это возможность перехвата управления на ранних стадиях до загрузки ОС. не хотите/не можете перешить флешром, можете заморочиться с инфектом ESP. мне кажется момент с преимуществами барел вирты можно просто опустить; пишете внятно

вот тут я вообще ничего не понял.

 

Мне ваш пиар как до одного места честно говоря Напротив это вы как выскочка влезаете в каждый тред, даже там где не понимаете.. Зачем вы влезли туда, где вопрос был адресован лично мне ?

Я задачи эти решал и решаются подобные задачи с полпинка, и знаете почему ? потому что основная работа что в uefi, что в гиперплатформе упрощена до невозможности. Кто писал/портировал код под uefi и hyperplatform потвердят мои слова. но там речь я вел вообще не об этом, но вам же не надо вчитываться/понимать о чем люди пишут - ваше дело выпрыгнуть из штанов и показать какой вы крутой/умный/интересный.
бро инде прежде чем выпирать с такими заявлениями, попробуйте разобраться с собой. например с осознанием того что такое визор и что такое вообще секюрные анклавы. Secure Enclave мой юный друг в юзермоде существовать попросту не могут, ибо это противоречит здравой логике. вы сейчас начнете с пеной у рта доказывать обратное, это конечно же клиника. читали мы вашу матчасть; она есть ахинея с кучей с переопределенных/выдуманных терминов, которая конечно нам неврубным колхозникам недоступна для понимания. может отбросите выпендриваться и покажете нам крутых рк кодесов ?

 

глупый вопрос, без тех. уточнений. но я отвечу:
все детально просто, устанавливаем хук(trap) с гипервизера(hyperplatform) на один из обработчиков в шедове(win32k!InputApc) или лучше в фильтре клавиатуры(kdbfilter - kbdclass MJ_READ routines), для этого переопределяем:
в UtilPcToFileHeader (https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L174) адресс базового модуля который будем разбирать, далее разбираем EAT/non-EAT:
https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L180, мысленно опускаю атач со стеком драйверов обслуживающих ввод/вывод с клавиатуры), устанавливаем хук на OnReadCompletion(kbdinput) для этого:
1) описываем NTSTATUS DdimonpHandleHandleOnReadCompletion(_In_ PDEVICE_OBJECT pDeviceObject, _In_ PIRP pIrp, _In_ PVOID Context)
2) вносим в https://github.com/tandasat/DdiMon/blob/master/DdiMon/ddi_mon.cpp#L137 константу с именем экспортируемой/неэкспортируемой функции (DdimonpHandleHandleOnReadCompletion)
3) создаем хендлер хука:

Код (Text):

1.  
2. _Use_decl_annotations_ static NTSTATUS DdimonpHandleOnReadCompletion(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp, IN PVOID Context){
3. const auto original =
4.       DdimonpFindOrignal(DdimonpHandleHandleOnReadCompletion);
5.   const auto result = original(pDeviceObject, pIrp, Context);
6.   if (!NT_SUCCESS(result)) {
7.     return result;
8.   }
9. else {
10.  //реализуем перехват
11. if(pIrp->IoStatus.Status == STATUS_SUCCESS)
12. {
13. PKEYBOARD_INPUT_DATA keys = (PKEYBOARD_INPUT_DATA)pIrp->AssociatedIrp.SystemBuffer;
14. int numKeys = pIrp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA);
15. for(int i = 0; i < numKeys; i++)
16. {
17. ///....извлекаем сканкоды в потоке
18.  
19. }
20. }
21. return result;
22. }
23.  

хуки с EPT прозрачны и невидимы из любого мода ОС, скан коды будут копиться в памяти hv(если вы ее конечно зарезервировали) и также недоступны для чтения из ядра.

//upd: небольшое уточнение, если вы все же хотите чтобы вызовы с гипервизера были полностью "прозрачными" необходимо реализовать полноценную эмуляцию тех функций с которыми вы будете работать.

 

Leon.Marselle,

> Secure Enclave мой юный друг в юзермоде существовать попросту не могут, ибо это противоречит здравой логике. вы сейчас начнете с пеной у рта доказывать обратное, это конечно же клиника. читали мы вашу матчасть; она есть ахинея с кучей с переопределенных/выдуманных терминов, которая конечно нам неврубным колхозникам недоступна для понимания.

Так судя по всему и есть, раз вы это не можите понять. Изоляция привилегий это всегда основа защиты. Если всё ап не исполняемо, то что вы будите выполнять ?
(далее поскипано админом, во избежание перехода на личности)

 

> (далее поскипано админом, во избежание перехода на личности)

Почему то админа не волнует избежание судьбы прошлого форума. Думаю это не так и не он это отредактировал. Я же сацуру считаю не адекватным и не могу по этой причине ничего технически обсуждать. И есчо не понимаю как вы можите поддерживать вредителя.

Ну конечно, если бы не его взлом, то данного ресурса небыло бы(причина-следствие), как же я не подумал, какой же я идиот"..

 

задавайте более корректный вопрос, чтобы получить корректный ответ. у меня в голове после чтения вашего предложения сразу несколько ответов образовалось. ок, давайте попробую ответить обобщенно.
CPL реализованное на уровне железа имеет достаточно веское основание, чтобы быть недосягаемым из софта(по крайней мере в идеале так и должно быть). в реале конечно все печальнее, если железо не защищено от side channel атак оно оказывается уязвимым для различного рода атак. Meltdown, Spectre-1/2/n как один из ярких примеров реального времени.
окей, а что у нас с софтом ? точнее с тем что вы реализовали под маской секюрных анклавов(которые кстати никакие не анклавы и тем более не секюрные). проблема в том, что псевдоанклав на базе грязных хаков с памятью(и сомнительным хендлингом) далек от реального аппаратного анклава коим представляется например SGX или SEP(secure enclave processor). я уже имел практику писать "анклав" на базе аппаратной виртуализации и знаю что говорю. решение которое основывается на аппаратной виртуализации(shadowing PDT/PDE в EPT с перехватами nt сисколов и DKOM) как бы не анклав вообще(хотя предусматривает работу с CPL/DPL<0), ваше же решение на этом фоне смешно даже обсуждать. Для меня на данный момент SE - это решение которое представляется защищенным не только от программной атаки. так например аппаратные анклавы используемые iOS устройствами и интеловские камни совместимые с SGX уязвимы только в плане IC/logical design(side channel атаки).
вот вы говорите "ап не исполняемо, то что вы будите выполнять", с гипервизера(hv, начиная с nested) или с более привилегированного режима имея более высокий IRQL, я могу исполнить незаметно и очень быстро(для ОС) любой код в том ап который для вас является неисполняемым. шах и мат ? кажется да, досвидания

 

example,

Во первых обсуждайте, почему вы не обсуждаете ?
Во вторых этот человек адекватно обсуждать не может, вы это не знаете и не понимаете, я же это знаю и осознаю, зная данного человека, слишком долго длились такие обсуждения. Походу вы зелёный, но эти обсуждения помнят многие, термос например несомненно.
А в третьих мне не нужны его запросы, которые появляются у мня в логе, а есчо это единственный человек к которому я испытываю неприязнь, не только за прошлые действия, но за саму модель мышления, ход мыслей.

 

example,

Хорошо. Только помните что поток инфы от него на 98% состоит из заумных терминов и далёкой от реала теории, так как в этом и состоит смысл его обсуждения. А есчо я офигел от вашей рекомендации с 14 постами

 

example, его проблема в том что он никого не хочет слышать кроме себя. мне кажется его проще игнорить(что я и собираюсь сделать после этого сообщения), в том числе и подрастающему поколению.
вы читали его труды ? небольшое сравнение: читать спеки от intel достаточно сложное и нудное занятие(хотя весьма и полезное), читать инде намногое сложнее и нуднее - и это вовсе не потому что это черезвычайно умно/сокращенно, проблема в человеке который выдумывает терминологию и переопределяет сущности других терминов(секюрные анклавы как яркий пример). пример: вы понимающий технарь и хотите изучить его труд, по мере чтения у вас возникнет желание посмотреть что он подразумевает под тем или иным неизвестным вам доселе термином. вы идете в гугл вбиваете этот термин и получаете что ? термин соответствующий своему реальному значению, который идет в разрез с тем что описывает этот человек в своей документации.
а теперь внимание вопрос: вы больше доверяете авторитетным источникам информации или вбросу этого вечно непонятого/обиженного "интеллектуала" ? вопрос конечно риторический, но вы можете ответить

 

TermoSINteZ, спасибо не обязательно, я вообще тут на досуге зашел увидел интересную тему решил ответить, вроде человеку помогло и это уже хорошо. можно забанить акк(без проблем) - я и так ухожу в офф. Леитраот!