Rootkity i Bootkity

Alex Matrosov, Eugene Rodionov, Sergey Bratus

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-21540-8

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2020

Liczba stron:

493

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Matrosov, Alex; Rodionov, Eugene; Bratus, Sergey. Rootkity i Bootkity. Red. . : Wydawnictwo Naukowe PWN, 2020, 493 s. ISBN 978-83-01-21540-8

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Matrosov, A.

A1 Rodionov, E.

A1 Bratus, S.

T1 Rootkity i Bootkity

PB Wydawnictwo Naukowe PWN

YR 2020

SN 978-83-01-21540-8

Bibliografia BibTex:

@Book{ 238722, author = "Matrosov, Alex and Rodionov, Eugene and Bratus, Sergey", editor = "", title = "Rootkity i Bootkity", publisher = "Wydawnictwo Naukowe PWN", year = "2020", address = "", isbn = "978-83-01-21540-8" }

Bibliografia endNote:

TY - BOOK

AU - Matrosov, Alex

AU - Rodionov, Eugene

AU - Bratus, Sergey

ED -

TI - Rootkity i Bootkity

PB - Wydawnictwo Naukowe PWN

CY -

PY - 2020

SN - 978-83-01-21540-8

ER -

Netografia (standard APA):

Matrosov, Alex; Rodionov, Eugene; Bratus, Sergey. Rootkity i Bootkity [baza danych online] : Wydawnictwo Naukowe PWN, 2020 [dostęp: 15 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/rootkity-i-bootkity-alex-matrosov-eugene-rodionov-238722.

zastosowania informatyki, złośliwe oprogramowanie, bezpieczeństwo informatyczne, rootkity

Rootkity i Bootkity pomaga zrozumieć i przeciwdziałać wyrafinowanym, zaawansowanym zagrożeniom, zagrzebanym głęboko w procesie rozruchowym maszyny albo oprogramowaniu układowym UEFI. Z pomocą rozlicznych studiów przypadków i profesjonalnych badań ...

Więcej

ISBN/ISSN:

978-83-01-21540-8

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2020

Liczba stron:

493

XML:ISBN/ISSN:

ONIX MARC21

PRZEDMOWA Rodriga Rubia Branco 22
PODZIĘKOWANIA 26
SKRÓTY 28
WPROWADZENIE 32
Dlaczego warto przeczytać tę książkę?33
Co znajdziemy w tej książce?34
Część 1: Rootkity34
Część 2: Bootkity34
Część 3: Obrona i techniki śledcze36
Jak czytać tę książkę37
CZĘŚĆ I: ROOTKITY 38
1. CZYM JEST ROOTKIT: STUDIUM PRZYPADKU TDL3 40
Historia dystrybucji TDL3 w świecie41
Procedura infekcji42
Kontrola przepływu danych45
Bring Your Own Linker45
Jak działają hooki trybu jądra w TDL346
Ukryty system plików49
Podsumowanie: TDL3 spotyka swoją Nemesis50
2. ROOTKIT FESTI: NAJBARDZIEJ ZAAWANSOWANY BOT SPAMOWY I DDOS 52
Przypadek botnetu Festi53
Analiza sterownika rootkita54
Informacje konfiguracyjne Festi do komunikacji z C&C55
Zorientowana obiektowo platforma Festi56
Zarządzanie wtyczkami57
Wbudowane wtyczki58
Techniki obrony przed uruchomieniem wmaszynie wirtualnej60
Metoda ukrywania złośliwego sterownika na dysku62
Techniki antydebuggerowe62
Metoda ochrony klucza rejestru Festi65
Sieciowy protokół komunikacyjny Festi66
Faza inicjowania66
Faza robocza67
Omijanie oprogramowania antywirusowego i oprogramowania do analizy śledczej68
Algorytm generowania domeny na wypadek awarii C&C71
Złośliwa funkcjonalność72
Moduł Spam72
Mechanizm DDoS73
Wtyczka proxy Festi74
Podsumowanie75
3. OBSERWOWANIE INFEKCJI ROOTKITAMI 78
Metody przechwytywania79
Przechwytywanie zdarzeń systemowych79
Przechwytywanie wywołań systemowych81
Przechwytywanie operacji plikowych83
Przechwytywanie dyspozytora obiektów85
Przywracanie jądra systemu87
Wielki rootkitowy wyścig zbrojeń: uwaga nostalgiczna88
Podsumowanie90
CZĘŚĆ II: BOOTKITY92
4. EWOLUCJA BOOTKITU 94
Pierwsze bootkity95
Elk Cloner i Load Runner95
Programy infekujące sektor rozruchowy95
Wirus Brain96
Ewolucja bootkitów97
Koniec ery BSI97
Zasada podpisywania kodu trybu jądra97
Pojawienie się Secure Boot98
Nowoczesne bootkity99
Podsumowanie101
5. PODSTAWY PROCESU ROZRUCHU SYSTEMU OPERACYJNEGO 102
Ogólny przegląd procesu rozruchu systemu Windows103
Starszy proces rozruchowy104
Proces rozruchu Windows105
BIOS i środowisko przeduruchomieniowe106
Master Boot Record106
Volume Boot Record i Initial Program Loader108
Moduł bootmgr oraz Boot Configuration Data110
Podsumowanie114
6. ZABEZPIECZENIA PROCESU ROZRUCHU116
Moduł Early Launch Anti-Malware117
Procedury wywołań zwrotnych API117
Jak bootkity omijają ELAM?119
Zasada podpisywania kodu trybu jądra120
Sterowniki trybu jądra podlegające testom integralności120
Lokalizacja podpisów sterowników121
Słabość integralności starszego kodu122
Moduł ci.dll124
Zmiany wmechanizmach ochronnych Windows 8126
Technologia Secure Boot127
Zabezpieczenia oparte na wirtualizacji w Windows 10128
Second Level Address Translation128
Virtual Secure Mode i Device Guard129
Ograniczenia Device Guard dotyczace tworzenia sterowników130
Podsumowanie131
7. TECHNIKI INFEKCJI BOOTKITÓW 132
Techniki infekcji MBR133
Modyfikowanie kodu MBR: technika infekcji TDL4133
Modyfikowanie tablicy partycji MBR140
Techniki infekcji VBR/IPL141
Modyfikacje IPL: Rovnix141
Infekcja VBR: Gapz142
Podsumowanie143
8. STATYCZNA ANALIZA BOOTKITU PRZY UŻYCIU IDA PRO 144
Analizowanie MBR zainfekowanego przez bootkit145
Ładowanie ideszyfrowanie MBR145
Analizowanie usługi dyskowej BIOS150
Analiza tablicy partycji zainfekowanego MBR155
Techniki analizy VBR156
Analizowanie IPL157
Inne komponenty bootkitów158
Zaawansowane wykorzystanie IDA Pro: tworzymy niestandardowy loader MBR159
Poznajemy loader.hpp159
Implementowanie accept_file160
Implementowanie load_file161
Tworzenie struktury tablicy partycji162
Ćwiczenia164
Podsumowanie164
9. DYNAMICZNA ANALIZA BOOTKITU: EMULACJA I WIRTUALIZACJA166
Emulacja przy użyciu Bochs167
Instalowanie Bochs168
Tworzenie środowiska Bochs168
Infekowanie obrazu dysku171
Korzystanie zwewnętrznego debugera Bochs173
Łączenie Bochs z IDA174
Wirtualizacja przy użyciu VMware Workstation176
Konfigurowanie VMware Workstation177
Łączenie VMware GDB z IDA178
Ćwiczenia183
Microsoft Hyper-V iOracle VirtualBox183
Podsumowanie183
10. EWOLUCJA TECHNIK INFEKOWANIA MBR I VBR: OLMASCO 186
Dropper187
Zasoby droppera188
Telemetria celem przyszłego rozwoju189
Triki zapobiegające debugowaniu iemulacji190
Funkcjonalność bootkitu192
Technika infekcji bootkitem192
Proces rozruchu zainfekowanego systemu193
Funkcjonalność rootkitu195
Obsługa ukrytego systemu plików195
Zahaczanie obiektu urządzenia dysku twardego iwstrzyknięcie payloadu195
Implementowanie Transport Driver Interface wcelu przekierowania łączności sieciowej198
Podsumowanie200
11. BOOTKITY IPL: ROVIX I CARBERP 202
Ewolucja bootkitu Rovnix203
Architektura bootkitu204
Infekowanie systemu205
Proces rozruchowy po infekcji iIPL208
Implementowanie polimorficznego deszyfratora208
Rozszyfrowywanie programu ładującego Rovnix przy użyciu VMware i IDA Pro209
Przejmowanie kontroli przez łatanie rozruchowego programu Windows216
Ładowanie złośliwego sterownika trybu jądra219
Funkcjonalność sterownika trybu jądra221
Wstrzykiwanie modułu payloadu221
Mechanizmy ukrywania isamoobrony223
Ukryty system plików224
Formatowanie partycji jako Virtual FAT225
Szyfrowanie ukrytego systemu plików225
Uzyskiwanie dostępu do ukrytego systemu plików226
Ukryty kanał łączności227
Historia przypadku: połączenie ztrojanem Carberp229
Rozwój Carberp229
Ulepszenia droppera231
Podsumowanie233
Wyciek kodu źródłowego233
12. GAPZ: ZAAWANSOWANA INFEKCJA VBR 234
Dropper Gapz235
Algorytm droppera237
Analiza droppera238
Omijanie HIPS239
Infekowanie systemu bootkitem Gapz244
Przypomnienie informacji o bloku parametrów BIOS-u244
Infekowanie VBR246
Ładowanie złośliwego sterownika trybu jądra247
Funkcjonalność rootkitu Gapz249
Ukryty magazyn252
Samoobrona przed oprogramowaniem antywirusowym253
Wstrzyknięcie payloadu255
Interfejs komunikacyjny payloadu261
Niestandardowy stos protokołu sieciowego263
Podsumowanie266
13. ROZWÓJ RANSOMWARE MBR 268
Krótka historia ransomware269
Ransomware z funkcjonalnością bootkitu270
Modus operandi ransomware271
Analiza ransomware Petya273
Uzyskiwanie uprawnień administratora273
Infekowanie dysku twardego (krok 1)274
Szyfrowanie przy użyciu danych konfiguracyjnych złośliwego programu ładującego278
Prowokowanie awarii systemu282
Szyfrowanie MFT (krok 2)282
Podsumowanie: końcowe przemyślenia na temat Petya288
Analiza ransomware Satana289
Dropper Satana289
Infekowanie MBR289
Informacje debugowania droppera291
Złośliwy MBR Satana292
Podsumowanie: końcowe przemyślenia na temat Satana294
Podsumowanie295
14. ROZRUCH UEFI A PROCES ROZRUCHOWY MBR/VBR 296
Unified Extensible Firmware Interface297
Różnice między starszym procesem rozruchowym BIOS a UEFI298
Partycjonowanie dysku: MBR kontra GPT299
Przepływ procesu rozruchu299
Inne różnice300
Specyficzne cechy tablicy partycji GUID302
Jak działa oprogramowanie wbudowane UEFI306
Specyfikacja UEFI308
Wewnątrz loadera systemu operacyjnego309
Windows Boot Loader315
Zalety UEFI z punktu widzenia bezpieczeństwa318
Podsumowanie319
15. WSPÓŁCZESNE BOOTKITY UEFI 320
Przegląd historycznych zagrożeń BIOS-u321
Mebromi322
WinCIH, pierwszy złośliwy program atakujący BIOS322
Przegląd innych zagrożeń i środków zaradczych323
All Hardware Has Firmware328
Podatności UEFI329
(Nie)skuteczność bitów ochrony pamięci330
Sprawdzanie bitów ochrony331
Sposoby infekowania BIOS-u332
Modyfikowanie niepodpisanego Option ROM UEFI334
Dodanie lub zmodyfikowanie sterownika DXE336
Istota iniekcji rootkitu337
Rootkity UEFI wykorzystywane watakach343
Rootkit Vector-EDK od Hacking Team344
Podsumowanie353
16. PODATNOŚCI OPROGRAMOWANIA UKŁADOWEGO UEFI 354
Co sprawia, że oprogramowanie wbudowane jest podatne?355
Klasyfikowanie podatności UEFI359
Podatności „po przejęciu"360
Podatności umożliwiające przejęcie łańcucha zaopatrzenia361
Historia zabezpieczeń oprogramowania układowego UEFI362
Neutralizowanie podatności łańcucha dostaw362
Jak działają zabezpieczenia BlOS-u363
Zabezpieczenia pamięci flash SPI i ich podatności364
Ryzyko związane z nieuwierzytelnioną aktualizacją BlOS-u367
Ochrona BlOS-u przy użyciu Secure Boot368
Intel Boot Guard369
Technologia Intel Boot Guard369
Podatności w Boot Guard370
Podatności w modułach SMM373
Istota SMM373
Nadużywanie programów obsługi SMI373
Podatności w skrypcie rozruchu S3378
Istota S3 Boot Script378
Wyszukiwanie słabości w skrypcie rozruchu S3379
Wykorzystanie podatności skryptu rozruchu S3380
Podatności wIntel Management Engine383
Naprawianie podatności skryptu rozruchu S3383
Ataki na kod ME384
Historia podatności ME384
Studium przypadku: ataki na Intel AMT i BMC385
Podsumowanie388
CZĘŚĆ III: OBRONA I TECHNIKI ANALIZY390
17. JAK DZIAŁA UEFI SECURE BOOT 392
Czym jest Secure Boot?393
Szczegóły implementacji UEFI Secure Boot394
Sekwencja rozruchu394
Uwierzytelnianie plików wykonywalnych za pomocą podpisów cyfrowych396
Baza danych db397
Baza danych dbx401
Uwierzytelnienie oparte na czasie402
Klucze Secure Boot403
UEFI Secure Boot: pełny obraz405
Zasady Secure Boot407
Ochrona przed bootkitami przy użyciu Secure Boot410
Atakowanie Secure Boot411
Łatanie oprogramowania PI w celu wyłączenia Secure Boot411
Modyfikowanie zmiennych UEFI w celu obejścia testów zabezpieczeń413
Ochrona Secure Boot za pomocą weryfikowanego lub mierzonego rozruchu414
Weryfikowany rozruch415
Intel BootGuard416
Mierzony rozruch416
Odszukiwanie ACM417
Poznawanie FIT419
Konfigurowanie Intel BootGuard421
ARM Trusted Boot Board423
ARM Trust Zone423
Programy ładujące warchitekturze ARM424
Przebieg Trusted Boot426
Weryfikowany rozruch kontra rootkity oprogramowania układowego428
Podsumowanie429
18. SPOSOBY ANALIZOWANIA UKRYTYCH SYSTEMÓW PLIKÓW 430
Przegląd ukrytych systemów plików431
Odczytywanie danych bootkitu z ukrytego systemu plików432
Odczytywanie danych z systemu w stanie offline432
Odczytywanie danych w działającym systemie433
Zahaczanie sterownika miniportu urządzenia pamięci masowej433
Analizowanie obrazu ukrytego systemu plików440
Narzędzie HiddenFsReader440
Podsumowanie442
19. ŚLEDZTWA BIOS/UEFI: PODEJŚCIA DO ZDOBYWANIA OPROGRAMOWANIA UKŁADOWEGO I ANALIZ 444
Dlaczego badanie oprogramowania układowego jest ważne445
Ograniczenia naszych technik badania445
Atakowanie łańcucha dostaw446
Przełamanie zabezpieczeń BIOS-u przez podatność oprogramowania układowego446
Pozyskiwanie oprogramowania układowego447
Podejście programowe do uzyskiwania oprogramowania układowego448
Lokalizowanie rejestrów obszaru konfiguracji PCI449
Obliczanie adresów rejestru konfiguracji SPI450
Korzystanie zrejestrów SPI451
Czytanie danych z pamięci flash SPI453
Uwzględnianie niedoskonałości podejścia programowego454
Sprzętowe podejście do uzyskiwania oprogramowania układowego456
Przegląd analizy przypadku Lenovo ThinkPad T540p457
Lokalizowanie układu pamięci flash SPI458
Odczytywanie pamięci flash SPI przy użyciu modułu FT2232459
Analizowanie obrazu oprogramowania układowego przy użyciu UEFITool462
Poznawanie regionów pamięci flash SPI462
Przeglądanie regionów pamięci flash SPI przy użyciu UEFITool463
Analizowanie regionu BIOS-u465
Analizowanie obrazu oprogramowania układowego przy użyciu Chipsec469
Poznawanie architektury Chipsec470
Analizowanie oprogramowania układowego przy użyciu Chipsec Util471
Podsumowanie474
SKOROWIDZ476

wieluinnychrootkitów,hookiwykorzystywaneprzezTDL3opierająsięna

kluczowychwzorcachsamejarchitekturyjądra.Wpewnymsensiehooki

rootkitamogąbyćlepszymprzewodnikiemporzeczywistejstrukturzejądra

niżoﬁcjalnadokumentacja,anapewnostanowiąnajlepszewskazówkidla

zrozumienianieudokumentowanychstrukturialgorytmówsystemu.

Wrzeczysamej,TDL3zostałzastąpionyprzezTDL4,którydzielizna-

czącączęśćfunkcjonalnościukrywaniasięiochronyprzedśledzeniem

zTDL3,alezwróciłsiędotechnikbootkituwceluominięciamechanizmu

podpisywaniakodutrybujądra(Kernel-ModeCodeSigning)w64-bitowych

systemachWindows(technikiteopiszemywrozdziale7).

Wtymrozdzialezwrócimyuwagęnakonkretneinterfejsyimechanizmy

OS,którewykorzystujeTDL3.Wyjaśnimy,jakTDL3ipodobnemurootkity

sąprojektowaneijakdziałają,poczymwdrugiejczęściksiążkiprzeanalizu-

jemymetodyinarzędzia,którymimożnajewykrywać,obserwowaćianali-

zować.

HistoriadystrybucjiTDL3wświecie

Porazpierwszywykrytywroku20101rootkitTDL3byłjednymznajbar-

dziejwyraﬁnowanychprzykładówzłośliwegooprogramowaniaopracowa-

negodotegoczasu.Jegomechanizmyukrywaniasięstanowiływyzwaniedla

całejbranżyantywirusowej(podobniejakjegobootkitowynastępca,TDL4,

którystałsiępierwszymszerokorozpowszechnionymbootkitemdlaplatfor-

myx64).

uWAGA

arodzinazłośliwegooprogramowaniaznanajestrównieżpodnazwamiTDSS,Ol-

mariklubAlureon.Takaobﬁtośćnazwtejsamejrodzinyniejestniczymszczególnym,

gdyżdostawcyantywirusówmająskłonnośćdostosowaniaróżnychnazwwswoich

raportach.Typowejestrównież,żezespołybadawczeprzypisująróżnenazwyróżnym

modułomwspólnegoataku,szczególnienawczesnychetapachanalizy.

TDL3byłdystrybuowanyprzyużyciumodelubiznesowegoPay-Per-In-

stall(PPI)zapośrednictwempowiązanychzesobągrupDogmaMillions

iGangstaBucks(obiezostałypóźniejwyłączone).SchematPPI,popularny

wśródgrupcyberprzestępców,jestpodobnydoschematówużywanychpo-

wszechniedorozpowszechnianiapaskównarzędziowychdlaprzeglądarek.

Dystrybutorzypaskówśledząichwykorzystanieprzeztworzeniespecjalnych

kompilacjizosadzonymunikatowymidentyﬁkatorem(UID)dlakażdego

pakietulubpaczkidostępnejdopobraniaprzezróżnekanałydystrybucyj-

ne.Pozwalatotwórcomnaobliczenieliczbyinstalacji(liczbyużytkowników)

powiązanychzUID,atymsamymustalenieprzychoduwygenerowanego

przezkażdykanałdystrybucyjny.Analogicznainformacjadystrybucyjna

http://static1.esetstatic.com/us/resources/white-papers/TDL3-Analysis.pdf.

Rozdział1

Brak wyników

Rootkity i Bootkity

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra