Волчьи IT-мысли » Вирусный анализ

MYBIOS. Возможно ли заразить BIOS?

SWW — Thu, 15 Sep 2011 09:37:54 +0000

Возможность заражения BIOS существует довольно-таки давно. Одна из лучших, на мой взгляд, статей на эту тему размещена в журнале Phrack, а на ресурсе pinczakko расположено много полезной информации. В данный момент прослеживается очевидная тенденция, которую я бы обозначил как «возвращение к истокам». Заражение MBR, перехваты указателей в различных системных таблицах операционной системы, заражение системных компонентов — все это уже было, и очень давно.

Как и в случае с MBR заражение BIOS позволяет вредоносному коду инициализироваться очень рано, сразу после включения компьютера. С этого момента появляется возможность контролировать все этапы загрузки компьютера и операционной системы. Очевидно, что такой метод загрузки привлекателен для вирусописателей, однако очевидны и трудности, с которыми они сталкиваются. Прежде всего — это неунифицированный формат BIOS: создателю вредоносной программы необходимо поддержать BIOS от каждого производителя и разобраться с алгоритмом прошивки в ROM.

Дальше

IsDebug-ли?

SWW — Mon, 21 Mar 2011 17:10:02 +0000

Пришлось мне тут анализировать один элементарный руткит, никак не срасталось у нашего анти-руткита кое-что с ним. Ерунда в принципе, бага не критичная, но разобраться все-таки стоило. В последнее время не часто выпадает возможность проанализировать что-либо, но тут повезло, можно немного отвлечься от процесса исследования/кодинга.

Для дальнейшего понимания сути поста надо запомнить то, что дата компиляции дроппера — 27 февраля 2011 года, т.е. сэмпл далеко не старый.

В процессе динамического анализа я натолкнулся на полнейший отказ руткита работать, во-первых, под виртуальной машиной, а во-вторых, под виртуальной машиной с отладчиком ядра. Дроппер, кстати, также использовал парочку элементарных и устаревших проверок виртуальной машины, но не о дроппере речь.

Вот такой код я обнаружил в драйвере:

char __cdecl IsDebug()
{
  UNICODE_STRING DestinationString; // [sp+4h] [bp-Ch]@4
  PVOID Object; // [sp+Ch] [bp-4h]@4
 
  if ( KdDebuggerEnabledAddr && *(_BYTE *)KdDebuggerEnabledAddr )
    return 1;
  RtlInitUnicodeString(&DestinationString, L"\\Driver\\NTICE");
  if ( !ObReferenceObjectByName(&DestinationString, 0x40u, 0, 0x1F01FFu, IoDriverObjectType, 0, 0, &Object) )
  {
    ObfDereferenceObject(Object);
    return 1;
  }
  return 0;
}

Способ, основанный на проверке переменной KdDebuggerEnabled, известен очень давно, однако, проверка на наличие в системе активного отладчика Soft(Win)Ice (наличие драйвера NTICE) — это что-то из ряда вон выходящее. Неужели авторы думают, что антивирусные лаборатории до сих пор используют этот устаревший инструмент?

Что ж, живы еще олдскул разработчики в родных селениях!

TDSS. TDL-4

SWW — Mon, 13 Dec 2010 12:27:06 +0000

Прошло совсем немного времени после публикации нашей аналитической статьи о рутките TDSS. Как мы и предполагали, TDSS продолжает совершенствоваться. В июле-августе появилась совершенно новая модификация данного руткита — TDL-4, — которая способна заражать не только x86 (32-х битные) операционные системы, но и x64 (64-х битные). В данной статье мы расскажем о новом способе загрузки руткита, а также о его возможности концептуально обойти защиту, встроенную в 64-х битные операционные системы Windows, — PatchGuard и механизм проверки целостности.

Дальше

Мирт и Гуава. Эпизоды. Свежие новости.

SWW — Tue, 20 Jul 2010 14:25:28 +0000

Мне нечего добавить, просто читайте по ссылке.

Мирт и Гуава. Эпизоды

SWW — Mon, 19 Jul 2010 18:45:52 +0000

Может быть вы еще не в курсе, но был найден довольно интересный вредоносный код, заточенный под промышленные системы. Драйверы-руткиты подписаны подписью компании Realtek, а распространяется вредоносная программа через уязвимость нулевого дня. На вопрос «Где деньги?» пока не ответил ни один вендор. На текущий момент в этой истории очень много белых пятен. Почему сэмпл был обнаружен компанией VBA? Почему обнаружен тогда, когда истекла подпись? Собственно говоря, где деньги?

Пока мы в ЛК анализируем (я — руткит компоненты), можете прочесть первые 3 записи в блоге:

Эпизод 1
Эпизод 2
Эпизод 3

TDSS

SWW — Fri, 25 Jun 2010 21:39:30 +0000

Руткит TDSS, появившийся еще в 2008 году, со временем стал намного популярнее нашумевшего руткита Rustock, а по своему функционалу и сложности для анализа практически приблизился к буткиту. В бутките использовался механизм заражения загрузочной области диска, приводивший к загрузке вредоносного кода раньше операционной системы. TDSS взял на вооружение функцию заражения драйверов, которые обеспечивают его загрузку и работу на самых ранних этапах работы ОС. Как следствие, идентификация руткита TDSS в системе является нелегкой задачей, а его лечение — серьезной проблемой.

Анализ семейства TDSS

Вернуть все как было

SWW — Fri, 19 Jun 2009 15:02:13 +0000

Борьба с вредоносными программами осложнена не только тем, что их необходимо обнаружить, но и тем, что после обнаружения необходимо провести корректное лечение найденного вредоносного кода и его модулей. Детектируемые объекты совершенно не желают быть обнаруженными и уничтоженными, поэтому они активно сопротивляются лечению.

Мешать антивирусному продукту можно различными способами. Можно использовать руткит-технологии для предотвращения обнаружения и удаления, а можно следить за своими компонентами и, в случае удаления, восстанавливать их. Рассмотрим те, которые восстанавливают компоненты в случае их лечения антивирусным продуктом.

Некоторые из способов, которые используются в современных вредоносных программах под Windows:

нотификации (информационные сообщения ОС) на изменение ключей реестра или значений реестра и восстановление их в случае лечения антивирусом;
следящий поток в цикле проверяющий ключи реестра, значения реестра или файлы;
второстепенный процесс, поток или внедренный код, следящий за основным процессом или потоком и перезапускающий его в случае уничтожения антивирусом;

Вышеперечисленные способы — основные, однако, вариаций существует намного больше.

15 мая мы представили статью о вредоносной программе, вернее ее новой модификации, носящей кодовое название ‘буткит’. В бутките используется метод заражения загрузочной записи диска, но не обошлось и без использования способа восстановления MBR в случае лечения его антивирусным продуктом.

Авторы данного руткита подошли к вопросу о перепроверке MBR с интересной стороны. На ранней стадии загрузки операционной системы запускается поток в режиме ядра, который в цикле проверяет наличие в памяти системного процесса explorer.exe и ожидает его завершения. После инициации перезагрузки операционная система завершает все процессы, в том числе и explorer.exe. Схематично этот код выглядит так:

NTSTATUS InitThreadWithExplorer(...)
{
        // выделяем память под MBR
        status = AllocateAndZeroMemory( &g_MainMbrBuf, 512, 0, ' kdD' );
 
        // читаем зараженный MBR в глобальный буфер
        status = SendIrpMjRead( g_MainMbrBuf ); 
 
        // запускаем поток, который находит explorer.exe и ждет
        status = RunSystemThread( FindExplorerWaitAndCallOnReboot, ... );
}
 
NTSTATUS FindExplorerWaitAndCallOnReboot(...)
{
        // запускаем цикл поиска explorer.exe
        do
        {
                explorerpid = ReturnProcessPidByName( L"explorer.exe" );
 
                // если найден explorer.exe, то выходим из цикла
                if ( explorerpid )
                        break;
        } while(...);
 
        // получаем объект процесса explorer.exe по его идентификатору
        status = PsLookupProcessByProcessId( explorerpid, &pProcess  );
 
        // ожидаем завершения процесса explorer.exe
        KeWaitForMultipleObjects( 2, &Objects, WaitAny, 0, 0, 0, 0, 0 )
 
        // если explorer.exe завершился, то вызываем функцию проверки MBR
        CallOnReboot(...);
}

Функция CallOnReboot сравнивает текущий MBR с эталоном (зараженной загрузочной записью). Делается это для того, чтобы на момент перезагрузки системы восстановить вылеченную антивирусом загрузочную запись:

NTSTATUS CallOnReboot(...)
{
        pMBR = 0;
 
        // выделяем память под MBR
        status = AllocateAndZeroMemory( &pMBR, 512, 0, ' kdD' );
 
        // читаем MBR
        status = SendIrpMjRead( pMBR );
 
        i = 0;
 
        // запускаем цикл проверки
        do
        {
                k = i;
                l = i;
 
                // если какой-либо байт MBR отличается, то выходим из цикла
                if ( *(_BYTE *)(pMBR + i) != *(_BYTE *)(g_MainMbrBuf + i) )
                        break;
 
                k = i++ + 1;
 
        } while ( l < 432 );
 
        // если был найден отличающийся байт
        if ( k < 432 )
        {
                // копируем в pMBR зараженный MBR
                memmove( pMBR, g_MainMbrBuf, 432 );
 
                // перезаписываем вылеченный MBR
                status = SendIrpMjWrite( pMBR );
        }
}

Для борьбы с таким вредоносным кодом каждый раз приходится придумывать что-нибудь оригинальное, но мы не унываем и продолжаем вас защищать.

Оригинал

Буткит 2009

SWW — Sat, 16 May 2009 18:44:02 +0000

Сергей Голованов

Вячеслав Русаков

В 2008 году мы констатировали появление вредоносной программы Backdoor.Win32.Sinowal и расценивали ее как технологически крайне опасную.

Такая оценка была дана вследствие того, что авторы программы использовали самые продвинутые на тот момент технологии написания вирусов, включая основные:

«Индивидуальное» заражение пользователей взломанных сайтов с помощью большого количества разных уязвимостей, включая некоторые из разряда «0-day».
Использование передовых rootkit-технологий и методов загрузочных вирусов для заражения MBR компьютера пользователя. Методы заражения загрузочных секторов дисков были очень популярны на заре компьютерных вирусов; сейчас произошло возрождение старой технологии, но уже на новом уровне. Проблема усугубляется тем, что многие недавно появившиеся антивирусные средства защиты просто не умеют проверять MBR, так как считалось, что данная угроза уже давно не актуальна.
Использование технологии постоянной миграции серверов управления и заражения (изменение их IP-адреса и доменного имени). Зараженные компьютеры использовали специальный алгоритм создания доменного имени для поиска своих управляющих центров. Впоследствии аналогичная технология была использована во вредоносных программах семейства Kido (Conficker).

Эти вредоносные методы и технологии за год стали «классическими» и теперь используются во многих самых разнообразных вредоносных программах. Разработчики самого буткита тем временем не остановились на достигнутом и пошли дальше в создании, реализации и продвижении своих технологий.

Таким образом, на сегодняшний день буткит является самой продвинутой вредоносной программой: скрытой и не обнаруживаемой большинством современных антивирусных программ.

В конце марта 2009 года эксперты «Лаборатории Касперского» обнаружили распространение в интернете новой модификации буткита. Результаты анализа его работы и способа распространения представлены в данной статье.