Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

156_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

8.09 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 159 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
Хакерспейс — территория хакеровw Click				to						m
Хакерспейс — территория хакеровw Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		паетвролизонтичнойорганизациидлядругих
		хакспейсов.Этозначит,чтолюбойхакспейсможет
		статьдочернейорганизациейфонда,получить
		льготы(SpaceFoundationимеетналоговыельго-
		ты,чегодовольносложнодобитьсянаЗападе),
		проконсультироваться,обратитьсязапомощью
		воформлениидокументов,необходимыедля
		существованияхакспейса,ирассчитыватьна
		всестороннююподдержку.ВРоссииподобное,
		конечно,тожебылобыоченьполезно.
		Ороссийскихреалияхмыможемрассказать
		напримеревсетогожехакспейсаNeuron.Аренда
		помещения100кв.мврайонеВоробьевыхгор
		обходитсяв120тысячрублейвмесяц.Сюриди-
		ческойточкизренияподтакоеначинаниенужно
		создаватьНКО(некоммерческуюорганизацию),
		накоторуюиоформляютсявседокументы.Сейчас
		в«Нейроне»существуетдватипачленства:посто-
		янноеидинамическое.Постоянноечленствопод-
		разумевает,чтоучеловекаестьсвойстол,который
		разумевает,чтоучеловекаестьсвойстол,который
ВNYCResistorкипитработа		никтоиникогданетрогает.Можноспокойнопри-
ВNYCResistorкипитработа		ходитьиработатьвлюбоевремясуток.Динамиче-
		ходитьиработатьвлюбоевремясуток.Динамиче-
		скоечленствопозволяетпосещатьхакспейспосле
этонизвучало.Однаколюбойхакспейс,какпра-	ловек.Деловтом,что,когдахакспейспривлекает	работыизаниматьлюбыедоступныеплоскости:).
вило,финансируютегочлены,такимобразом,он	такмноголюдей,возникаютвполнезакономерные	Постоянноечленствостоит6тысячрублей
выводитсянасамоокупаемость.	проблемы—увы,далеконевселюдиспособны	вмесяц,динамическое—2тысячи.Цифрырас-
НаЗападеэтообычновыглядиттак:все	уживатьсядругсдругом.Начинаютразгораться	считанынаосновеарендныхставок.Наданный
членыхакспейсаежемесячноскидываютсяпо	конфликты(например,кто-нибудьпостоянно	моментвNeuronужесостоятпятьилишесть
$50–100,чтобыоплатитьарендупомещения	мусорит,аостальныхэтораздражает),людиразби-	постоянныхчленовисемьдинамических.Не-
(иногда,напримерприуниверситетах,помеще-	ваютсянагруппыитакдалееитомуподобное.Эта	сложноподсчитать,чтооснователямхакспейса
нияпредоставляютсябесплатно;втакихслучаях	встречапоказала,чтобольшинствоорганизаторов	покаприходитсядоплачиватьразницуизсвоего
взноснепревышает10–30баксов).Деньги,	хакспейсоввидятлишьоднорешениеэтойпро-	кармана.Однако,какужебылосказановыше,в
оставшиесяпослеоплатыаренды,неоседают	блемы—открыватьновыеотделения,создавать	скоромвременипланируетсяначатьпроведение
вчьем-нибудькармане,ауходятназакупку	новые,болеекамерныегруппы,которыебудут	платныхсеминаров,атакжеестьидеясобирать
необходимыхвещей,начинаяотнапиткови	заниматьсячем-тоодним.	пожертвованиянаоткрытыхсеминарах.Мы
заканчиваяновымоборудованием.Плюстакого	Кпримеру,ужеупоминавшийсяC-Baseна-	уверены,чтоуребятвсеполучитсяионивскоре
подходазаключаетсявтом,чтолюди,самостоя-	считываетболее300членов.Внемсостоятне	выйдутнасамоокупаемость.
тельнооплатившиепомещение,нечувствуют	толькохакеры,ноимногиедругиеинтересные	Нуиконечно,хотелосьбы,чтобы«Нейрон»и
никакогодавлениянисчьейстороны.Онине	люди—отюристовдоученых.ИуC-baseужеесть	HackSpace-SPbнесталипервымиипоследними
обязаныникакимспонсорам,иниктонедиктует	воттакиевотменьшиеподразделения.	хакспейсамивРоссии.Надеемся,чтонайдутся
им,надкакимипроектаминужноработатьив	Но,кактыпонимаешь,организоватьхакспейс	идругиеэнтузиасты,втомчислеивдругих
какомнаправлениидвигаться.	наЗападевцеломгораздопроще,чемунас.В	городахнашейогромнойстраны,которыеподо-
Думаю,тутумногихвозниклисомнения.	Америке,кпримеру,существуетнекоммерческая	стоинствуоценятиреализуютпрекраснуюидею
Вопросытипа«ахватитлиденег?»и«будетли	организацияSpaceFoundation,котораявысту-	хакспейсов.z
этоработать?»действительноприходятнаум.
Приведунебольшойпример.
ВНью-ЙоркевАмерикенаходитсявсемирно
известныйкрупныйхакспейс—NYCResistor.Из
него,кстати,вырослакомпанияMakerBot,кото-
раянынепроизводитнастольные3D-принтеры.
Вхакспейсесовсеммалопостоянныхчле-
нов—всего30человек.Однакоэтоосознанный
ход.Деловтом,чтофактическикомьюнити
хакспейсасущественнобольше—ононасчиты-
ваетнесколькосотенчеловек.Бизнес-модель
NYCResistorпроста:половинавсехрасходов
окупаетсязасчетвзносовпостоянныхчленов,а
другуюполовинуорганизаторынабирают,про-
водяплатныесеминарыисдаваяварендула-
зерныйрезак.Кстати,основнойдоходхакспейса
какразскладываетсяизплатызасеминарыпо
обучениюработенаэтомсамомрезаке.:)
Еслитебяудивило,чтовкрупномхакспейсе
такмалопостоянныхчленов,замечу,чтоэтокак
разнормально.Так,напоследнемСССпрошла
специальнаявстречадлясоздателейхакспейсов,
количествочленоввкоторыхдостигло200–300че-	Библиотекавхакспейсе

ХАКЕР 01 /156/ 2012

079

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY	MALWAREm
w Click				to
w Click
w
	w									o
	.								.c
		p						g
			df	-xcha			n		e

Силен

Дуку

очень

Наверное, все слышали про подвиги Stuxnet в деле тонкой настройки иранской атомной электростанции в Бушере. Практически половина прошлогоднего летнего отпуска была проведена в IDA в сопровождении различных компонентов червя Stuxnet, большая часть была разобрана в статике, а повсеместное использование ООП не добавляло ни грамма веселья. Прошел год…

Рис.1.Встречайте—легальныйсертификат!

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to	BUY
МатросовАлександр,Seniormalwareresearcher,wESETClick					to						m
МатросовАлександр,Seniormalwareresearcher,wESETClick											m
	w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

WIN32/DUQU: ТЕМНЫЙПРЕЕМНИК ЧЕРВЯSTUXNET

ередина октября, спокойный хмурый осенний вечер за

Cчтением RSS-ленты и бокалом односолодового виски. И вот среди сотен заголовков мои глаза уцепились за слово

Stuxnet… Первая мысль — опять раздувают шумиху по поводу давнего инцидента. Но, пробежавшись глазами по статье в блоге Symantec,

я понял, что речь идет о чем-то другом, и это «что-то» имеет вполне определенное название — Duqu. Собственно, так и начался наш research преемника Stuxnet. После первых сообщений о том, что Duqu и Stuxnet базируются на одном исходном коде, нам захотелось разобраться во всем самим, так как коллектив нашего вирлаба еще не забыл бессонные ночи, проведенные за реверсом Stuxnet. =)

После внимательного изучения доступной информации стало ясно, что ноги растут из венгерской исследовательской лаборатории

Cryptography and System Security (CrySyS). Ее специалисты первыми обнаружили Duqu, заметили сходство этой вредоносной программы со Stuxnet, провели неплохой бинарный анализ и поделились его результатами со специалистам из антивирусных компаний. Видимо, сотрудники CrySyS имели какое-то отношение к расследованию одного из инцидентов с участием Duqu в Венгрии, что и объясняет их раннюю осведомленность.

080	ХАКЕР 01 /156/ 2012

				hang		e
			C			e	E
		X					E
	-						d
	F							t
	D							i
	D							r
P						NOW!		o
P
					BUY
				to	BUY
w Click				to					m
w Click									m
w
	w							o
	.						.c
		p					g
			df			n	e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
Силен Дуку оченьw Click				to						m
Силен Дуку оченьw Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис.2.Сертификатотозван.Тудаемуидорога

ДРОППЕР

В самом начале истории с Duqu не было информации о том, каким образом происходит ее установка в систему. Удалось извлечь лишь вредоносные компоненты, оставшиеся после заражения. Опять же нет никаких гарантий, что специалисты смогли найти все, поскольку Duqu, как и Stuxnet, использует целый комплекс методов для обхода защитного ПО.

ПРОЦЕСС УСТАНОВКИ

Установка Duqu проходит в несколько основных этапов:

0)Запусквредоносноговложенияввидеdoc-файла,которыйсодер- житкод,эксплуатирующийуязвимостьнулевогодняCVE-2011-3402.

1)Загрузкапервогоуровняшелл-кодавадресноепространствомоду- ляwin32k.sys.

2)Загрузкавторогоуровняшелл-кода,предназначенногодлявыпол- нениявядре.

3)Загрузкаполезнойнагрузкиввиденовогодрайвераиегоинициализация.

4)Внедрениевадресноепространствосистемногосервиса services.exeосновногомодуляустановщикаDuquиегоактивация.Послеэтогопроисходитзаражениесистемы.

На уровне шелл-кода Duqu местами очень напоминают Stuxnet. В результате складывается впечатление, что это просто немного видоизменённый шелл-код, заточенный под указанную уязвимость.

ОПЯТЬ ЛЕГАЛЬНЫЕ СЕРТИФИКАТЫ

Еще один небезынтересный момент заключается в том, что для компонентов Duqu используются легальные цифровые подписи. На данный момент выявлено, что в процессе заражения устанавлива-

Рис.4.Программныйкоднашего	Рис.5.Графпотокауправления
расшифровщика	Stuxnet

ется драйвер cmi4432.sys, который отвечает за внедрение кода и содержит легальную цифровую подпись, принадлежащую компании C-Media Electronics Inc. Цифровой сертификат, используемый для генерации подписи, был выдан VeriSign со сроком действия до августа 2012 года (рисунок 1). В настоящее время он уже отозван и не является валидным. При этом имена драйверов Duqu очень похожи на названия вполне легальных драйверов от производителей железа. Злоумышленники рассчитывали, что все это поможет как можно дольше скрывать факт атаки и сбить с толку специалистов во время криминалистической экспертизы файловой системы.

АНАЛИЗ КОМПОНЕНТОВ DUQU

Содержимое первого набора сэмплов, который мы получили для анализа, представлено на рисунке 3.

Оказалось, что часть файлов зашифрована. Это ввело нас в небольшой ступор, так как сэмплы были получены от коллег из другой антивирусной компании, у которых совершенно точно имелся расшифрованный вариант. Однако анализ одного из драйверов, который отвечал за внедрение других компонентов Duqu в системные процессы, позволил обнаружить код алгоритма расшифровки. Программный код нашего расшифровщика приведен на рисунке 4.

При анализе кода этого драйвера выяснилось, что функционально он практически полностью идентичен коду драйвера, используемого в Stuxnet. Все различия, которые мы обнаружили, были введены, скорее, для противодействия сигнатурному и эвристическому методу обнаружения вредоносного ПО. На рисунке 5 представлен граф потока управления Stuxnet, а на рисунке 6 — Duqu. Структура графов


		УДАР ПО ЦЕЛЯМ

		Атаки были проведены в следующих странах (возможно,
		обнаружены еще не все пострадавшие): Венгрия, Франция,
		Нидерланды, Швейцария, Украина, Индия, Иран, Судан, Вьетнам.
		Следует отметить, что Иран подвергался атаке и в прошлый раз.
		Немного забегая вперед, скажу, что нам удалось подтвердить
		идентичность некоторых участков кода Duqu и Stuxnet. Речь идет
		не просто об использовании отдельных идентичных функций, а об
		одинаковой платформе для разработки вредоносных программ,
		предназначенных для целенаправленных атак. В принципе, с
		высокой вероятностью за этими двумя громкими инцидентами
		могут стоять одни и те же люди или организация, разработавшая и

Рис.3.Наборсэмпловдляанализа		Stuxnet, и Duqu.

ХАКЕР 01 /156/ 2012

081

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	MALWAREm
w Click				to
w Click
w
	w								o
	.							.c
		p					g
			df	-xcha			n	e

Рис.7.Декомпилированныйкодпроверкидат

Рис.8.Расшифровываемконфигурационныефайлы

Рис.9.Конфигурационныйфайлзаражения

Рис.10.Ещеодинконфигурационныйфайлзаражения

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

и базовых блоков отчетливо показывает явное сходство этих двух вирусов, что опять же говорит об их преемственности.

КАК УСТАНОВИТЬ ТОЧНУЮ ДАТУ ЗАРАЖЕНИЯ СИСТЕМЫ?

Когда мы начали исследовать Win32/Duqu, нас сразу заинтересовал вопрос, каким образом можно установить точную дату заражения компьютера этой вредоносной программой. Эта информация, прежде всего, полезна для проведения криминалистической экспертизы и восстановления картины произошедших событий. У нас появилась идея о том, что если Duqu хранит информацию о времени своего самоудаления, то должна иметься и информация о том, когда начинается отсчет этого времени (она может быть либо зашита в счетчик, либо указана в виде даты заражения). С помо-

щью нескольких наборов сэмплов с разных зараженных машин нам удалось обнаружить одну интересную вещь. Оказывается, в процессе заражения формируется так называемая main.dll (основной компонент Duqu), в которой сохраняется точная дата заражения в UTC-формате. На рисунке 7 можно видеть декомпилированный код, осуществляющий проверку этой самой даты.

Эти данные позволяют установить в процессе криминалистической экспертизы точную дату и время заражения машины. В отчете «Duqu: the precursor to the next Stuxnet» указано, что время жизни вируса на зараженной машине составляет 36 дней, после чего он автоматически удаляется. Для того чтобы узнать дату заражения, сначала нужно расшифровать конфигурационные файлы при помощи нехитрого самопального криптоалгоритма (рисунок 8).

Изучив несколько наборов сэмплов, мы выяснили, что эта дата может меняться и, скорее всего, выставляется в процессе зара-


14.10.2011	19.10.2011	1.11.2011	3.11.2011	4.11.2011
Лаборатория CrySyS	Появляется аналитический	Подтверждена информация	Выходит Microsoft Secu-	Распространяется
обнародует информацию	отчет «Duqu: the precur-	о некоторых целях	rity Advisory (2639658),	информация с описанием
для сторонних	sor to the next Stuxnet»,	(точнее, о странах, где	который вносит ясность в	уязвимости CVE-2011-3402
специалистов.	содержащий первую	они находятся). Найден	вопрос о типе уязвимости.	по программе Microsoft
	публичную информацию о	дроппер для уязвимости	Становится ясно, что	Active Protections Program
	Win32/Duqu.	нулевого дня (CVE-	уязвимость кроется в	(MAPP). Доступ к дропперу
		2011-3402), связанной	системном компоненте	с эксплойтом имеют
		с инцидентом, который	win32k.sys и представляет	только CrySyS, Symantec и
		расследуют ребята из	собой ошибку в парсере	Microsoft. Распространение
		CrySyS.	шрифтов TrueType.	дроппера ограничено, так
				как внутри него содержится
				информация,раскрывающая
				имена целей.

082	ХАКЕР 01 /156/ 2012

				hang		e
			C			e	E
		X					E
	-						d
	F							t
	D							i
	D							r
P						NOW!		o
P
					BUY
				to	BUY
w Click				to					m
w Click									m
w
	w							o
	.						.c
		p					g
			df			n	e
				-xcha

Рис.11.RPCвDuqu

жения с учетом конфигурационных данных дроппера. Один набор сэмплов, который имелся в нашем распоряжении, также должен был удалиться через 36 дней, а вот второй — уже через 30. Конфигурационный файл, в котором указаны дата заражения 11.08.2011, его время 7:50:01 и период существования троянца в системе 36 дней, представлен на рисунке 9, а конфигурационный файл с датой 18.08.2011, временем 7:29:07 и периодом 30 дней — на рисунке 10.

RPC-ПРОТОКОЛ DUQU VS STUXNET

Особенности реализации RPC-протокола еще раз подтверждают сходство кода Duqu и Stuxnet. RPC-протокол представляет собой одну из самых интересных частей Stuxnet. В Duqu этот протокол, который подробно описан в нашем исследовании «Stuxnet under the Microscope» (стр. 56–57), реализован не полностью. Проанализировав реализацию локальной части протокола RPC в одном из компонентов Duqu и сравнив две основные процедуры в BinDiff, мы получили интересные результаты (рисунок 11).

Код оказался практически идентичным, за исключением несущественных артефактов, которые появились после его рекомпиляции в составе Duqu. Сам RPC имеет следующий функционал:

•RpcHandler_1—возвращаетустановленнуюверсию;

•RpcHandler_2—выполняетинжектмодулявуказанныйпроцесси вызываетуказаннуюфункциюэкспорта;

•RpcHandler_3—загружаетмодульивыполняетегосточкивхода;

Рис.12.Декомпилированныйкодобработчика,которыйвозвращаетномерверсии

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
Силен Дуку оченьw Click				to						m
Силен Дуку оченьw Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Функциональность	Stuxnet	Duqu

Легальные цифровые подписи	да	да

Модульная архитектура	да	да

Внедрение в SCADA-системы	да	нет

Модуль-кейлоггер	нет	да

Обход антивирусной защиты	да	да

Использование уязвимостей 1-day	да	нет

Использование уязвимостей 0-day	5	1

Внедрение в системные процессы	да	да

Использование RPC-протокола	remote	local

Хранение модулей в секции ресурсов	да	да

Использование методологии ООП	да	да

Обработка ошибок (в том числе и в шеллкоде)	да	да

Высокая стабильность кода	да	да

Использование компилятора Visual C++	да	да

Использование библиотеки шаблонов ATL	да	да

Использование упаковщика UPX	да	да

ФункциональностьStuxnetvs.Duqu

•RpcHandler_4—запускаетпроцесспосредствомвызова CreateProcess();

•RpcHandler_5—читаетсодержимоеуказанногофайла(например, конфига);

•RpcHandler_6—записываетданныевуказанныйфайл;

•RpcHandler_7—удаляетуказанныйфайлизсистемы.

Декомпилированный код обработчика, который возвращает номер версии, представлен на рисунке 12.

Использование RPC-протокола позволяет троянцу оставаться незамеченным и не вызывать подозрений со стороны различного защитного ПО.

ЗАЧЕМ ЭТО ВСЕ?

В рамках одной статьи не представляется возможным рассказать обо всех технических нюансах этой вредоносной программы — один наш аналитический отчет по Stuxnet занял более 80 страниц :), — поэтому в завершение я предлагаю тебе задаться вечным философским вопросом «зачем?».

Уже ни для кого не секрет, что многие государства формируют специальные военные подразделения для создания средств нападения в киберпространстве. Разрабатываются доктрины, регламентирующие последовательность действий во время кибервойны. Возможно, что история со Stuxnet, а теперь и с Duqu представляет собой как раз результат работы одного из таких вот подразделений. Сейчас сложно сказать, какова истинная цель и предназначение Duqu, так как в этой истории еще слишком много белых пятен, тем более что функционал этой вредоносной программы может различаться для разных целей, а дополнительно загружаемые модули расширяют ее возможности. На данный момент также обнаружен модуль-кейлоггер, который устанавливался на некоторые зараженные машины. Но это уже тема для отдельной статьи, а те, кто хотят разобраться во всем самостоятельно, смогут найти некоторые компоненты Duqu в Сети. z

ХАКЕР 01 /156/ 2012

083

hang

NOW!

BUY

MALWAREm

w Click

ГрековСергей(http://group.xakep.ru)w Click

-xcha

-x cha

Проверка

антивирусов:

bootkittest

BITDEFENDER,ESETNOD32,F-SECURE,

OUTPOSTSECURITY,RISINGПРОТИВ

«ЗАГРУЗОЧНЫХ»УГРОЗ

Вирусы, заражающие MBR, существуют давно:

они появились уже во времена MS-DOS, когда

мы с тобой играли в Doom 2 и были молодыми

и красивыми. В последние несколько лет

они снова подняли голову — теперь все их

боятся и называют модным словом «буткиты».

А что говорят по этому поводу товарищи

антивирусы? Могут ли они бороться с такими

угрозами? Вот это-то мы и проверим!

ЛогсканированияOutpostSecuritySuitePro7.5

084

ХАКЕР 01 /156/ 2012

hang

NOW!

BUY

w Click

Проверка антивирусов: bootkitwtestClick

-xcha

-x cha

ДетектированиеSinowal’аNOD’ом

угрозами в MBR’е и Boot-секторе у нас сегодня будут сра-

жаться пять продуктов:

1) BitDefenderInternetSecurity2012—впоследнеевремяэтотанти-

вирусздоровонабралобороты,ктомужедвижокBitDefпокупают

несколькостороннихкомпаний.Интереснопосмотреть,чтоониз

себяпредставляет.

2) ESETNOD32SmartSecurity5—тутикомментироватьнечего,это

второйпопопулярностиантивирусвРоссиипосле«Каспера».

3) F-SecureInternetSecurity2012—достаточноизвестныйпродукт

СрабатываниеF-SecureInternetSecurityнаSinowal

финскойсекьюрити-компании.

4) OutpostSecuritySuitePro7.5—продуктоткомпанииAgnutim,кото-

раяделаетклассныйфайервол.Междупрочим,халявныйфайер-

Антивирус F-Secure Internet Security также успешно разобрался

волотOutpostвсвоевремяпользовалсявнашейстранеогромной

с буткитом и обозвал его Win32/Mebroot, как и NOD32. Любопытно,

популярностью.Пожалуй,сейчасегоместовнашихсердцахзанял

что в столбце «Объект» в GUI указано просто «Заражение систе-

тожехалявныйивсестороннемогучийComodo.

мы». По-видимому, разработчики решили не пугать пользователей

5) RisingInternetSecurity—антивирусоткитайскойкомпанииRising.

страшными названиями вроде MBR и «загрузочный сектор». :)

Посмотрим,начтоспособныкитайцы.

А вот Outpost несколько разочаровал: он обнаружил только

LET THE CONTEST BEGIN

файловые компоненты Sinowal’а, а заражённый MBR пропустил.

Пожалуй, продукт от Agnitum — это все-таки в первую очередь

Первым делом я заразил Windows XP SP3 на VmWare буткитом

файервол, а не антивирус.

Sinowal, который известен, обрати внимание, аж с 2009 года. Затем

Rising вообще не удалось привести в работоспособное состоя-

я с помощью Hiew убедился, что MBR действительно изменен, и

ние. Я несколько раз пытался установить и нормально запустить

стал поочерёдно устанавливать все продукты и сканировать (или

китайское изделие, но потерпел неудачу. Сначала я было подумал,

пытаться сканировать) систему.

что проблема в VmWare, но оказалось, что это не так (подробнее

Тестирование я начал с BitDefender’а. Для меня стало неожи-

читай дальше). По-видимому, именно Sinowal не дал антивирусу

данностью, что этот антивирус вообще не смог установиться! На

инсталлироваться.

середине установки он предложил мне перезагрузить компьютер,

ЕЩЕ ОДИН БУТКИТ: GHODOW

а после перезагрузки открылось окно установщика (и по совмести-

тельству downloader’а), прогресс-бар в котором показывал 55 %. По

После того, как все пять антивирусов были протестированы на

прошествии некоторого времени эта цифра так и не изменилось.

системе, заражённой Sinowal’ом, я решил откатиться к чистому

По-видимому, установленный Sinowal помешал BitDefender’у, что

снэпшоту и запустить дроппер другого буткита. Хотя второй буткит

весьма грустно.

не так широко известен, как Sinowal, антивирусы всё равно долж-

Ну а следующий испытуемый — NOD32 — не подвёл. Он успеш-

ны его детектировать, поскольку это злой вирус, который делает

но обнаружил не только сам дроппер в temp’е, но ещё и выявил за-

в системе много чего нехорошего. Называется он Win32/Ghodow.

ражение MBR’а. Очень радует, что этот популярный в России анти-

NAD (по данным ESET). В дальнейшем я буду называть его просто

вирус способен справляться с достаточно серьёзными угрозами.

Ghodow.

MBR,заражённыйSinowal’ом

МодифицированныйкодMBR

ХАКЕР 01 /156/ 2012

085

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	MALWAREm
w Click				to
w Click
w
	w								o
	.							.c
		p					g
			df	-xcha			n	e

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
ГрековСергей(http://group.xakep.ru)w Click				to						m
ГрековСергей(http://group.xakep.ru)w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ОкносрабатыванияESETSmartSecurity5набуткитGhodow

Антивирус BitDefender снова постиг провал: на этот раз он не прошёл даже первый этап установки — «Сканировать системные файлы на наличие вирусов». Мастер установки предлагал мне несколько раз перезагрузить компьютер, загрузиться в BitDefender Rescue Mode, который представляет собой *nix-систему с антивирусным сканером, и выполнить многие другие действия. Однако в конечном итоге установщик выдал примерно такое лаконичное сообщение: «Установить BitDefender не удалось».

Ну а NOD32 и здесь не подкачал: он успешно обнаружил второй буткит в «MBR-секторе физического диска 0».

Но того, что произошло дальше, я совсем не ожидал. Ни один из трёх оставшихся антивирусов не смог обнаружить заразу в MBR’е, хотя каждый из них корректно установился и обновился. Более того, я пробовал различные варианты сканирования — от quick/ поверхностного до руткит-сканирования системы. Однако ни один из них не привел к положительному результату, были обнаружены только компоненты буткита в файловой системе, что, конечно, не радует.

ПОПРОБУЕМ ПО-СВОЕМУ

Однако руки мои продолжали чесаться, и я решил не останавливаться на достигнутом и сделать нестандартный MBR. Я написал в

Сообщения,выдаваемыепризапускеRisingInternetSecurit

Hiew небольшой код, который копировал область памяти размером 0x200 с адреса 0x200 на адрес 0x1000 и передавал туда управление. Код, конечно, безвредный, но мне было любопытно, как отреагируют антивирусы на нестандартный MBR. Стоит отметить, что в этом случае и BitDefender, и Rising успешно установились, обновились и заработали. Таким образом, моё предположение о том, что установленные буткиты могут мешать инсталляции антивирусов, подтвердилось.

Оказалось, что измененный MBR совершенно не трогает железные сердца антивирусов. Таким образом, я предположил, что буткиты детектируются обычными сигнатурами и сделать вредоносный MBR, который бы не обнаруживался, совсем не проблема. Для проверки я проделал аналогичную операцию с кодом NTFS-загрузчика (по сути, с кодом бут-сектора) и получил тот же результат.

ЗАКЛЮЧЕНИЕ

Какие можно сделать выводы по результатам теста? Антивирусы недостаточно хорошо детектируют буткиты. На компьютер, инфицированный буткитом, встанет не каждый антивирусный продукт. Так что держись и, главное, не забывай перед выключением компьютера в дисководе А: сомнительные дискеты ;). z


ОкноустановщикаBitDefender2012	ОкноуспешноустановленногоBitDefender,толькочто	УстановкаBitDefender2012
	просканировавшегокомпьютер

086	ХАКЕР 01 /156/ 2012

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w					Preview
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

UNIXOID

СВОЯПРОШИВКАДЛЯANDROID

112АльтернатнаяпрошивкаCyanogenMod, которуюкогда-тоначилаларазраба- тыватьгруппаэнтузиастов,сейчас установленаболеечемна2миллионах Android-устройств.Многиеинсталят еесразупослепокупкителефона,отказываясьотофициальныхfirmware. Номалоктознает,чтоможносоздать своюсобственнуюпрошивку,исделать этонетакужисложно.Заосновуможно взятьужесуществующуюпрошивкуи немногоеемодифицировать,добавив необходимоеПОиподправивнекоторыесистемныепараметры,влияющие навремяоткликаэкрана,времяжизни батареи,работу3G-модуляит.д.

Этостатья—полныймануалпосборке своейхакерскойAndroid-прошивкидля твоеготелефона.

КОДИНГ	UNIXOID	SYN\ACK

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	88	.NET-КРИПТОГРАФИЯ	102	АТАКАФОРКОВ		122	ЗАЩИЩАЕМДАННЫЕВ«ОБЛАКЕ»
	88	ДляшифрованияпоГОСТуненадосамому	102	Альтернативныеветкипопулярныхпроек-		122	Облачныепровайдерыпозволяютподнять
		реализоватькрипто-алгоритмы.Всеуже		товпоройразвиваютсятакстремительно,			100серверовводинклик.Ноитакжепро-
		нативнореализованопрограммистами		чтомногиепопростузабываютобихпро-			стопозволяютихуронить.Такможноли
		Microsoft.Ивродедаженекриво-накосо.		родителях.Вотчтозначитopensource.			доверятьданныеоблачнымпровайдерам?
SYN\ACK			FERRUM		ФРИКИНГ

БУМАЖНАЯРАБОТАБЕЗОПАСНИКА

118Чтонасамомделезначит«безопасная система»длярегулирующихорганов? Увы,совсемнетожесамое,чтосистема,в которойнетуязвимостей.

ТЕСТ-ДРАЙВNAS'ОВ

126СетевыехранилищаизстарогоPentiumи IDE-дисков—sux!Намнужнапроизводи- тельность,объемпод12Тбивозможность поднятьнаNAS'еполезныесервисы.

LOOPВОБЛАГО

132Когдавсетщательноизбегаютсозданияпетливлокальнойсети,пытливый умфрикерапридумывает,какизвлечь изнеепользу.Сумасшедший.

ХАКЕР 01/156/2012

087

				hang		e
			C			e		E
		X						E
	-								d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY	КОДИНГm
w Click				to
w Click
w
	w									o
	.								.c
		p						g
			df	-xcha			n		e

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
plaintext(first@plaintext.su,www.plaintext.su)w Click				to						m
plaintext(first@plaintext.su,www.plaintext.su)w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

.NET-

криптография

РАЗБИРАЕМСЯСКРИПТОГРАФИЧЕСКОЙ ПОДСИСТЕМОЙ.NETFRAMEWORK

DVD

Исходникивсех примеровсмотри наприлагаемомк журналудиске.

Сегодня сложно найти информационную систему, которая бы не использовала криптографию. Коммерческие системы в большинстве своем используют криптографические примитивы, которые внесены

встандарты в США, но порой возникают ситуации, когда такой вариант просто неприемлем. Здоровый партриотизм, отсутствие доверия и некоторые законы наталкивают нас на мысль о применении своих алгоритмов, определенных

внаших государственных стандартах (ГОСТах).

INFO

•Strongnameсборки

—наборпараметров, включающийвсебя имясборки,версию, информацию окультуре,а

такжеоткрытый ключизначение электронной подписи.

•Криптографический примитив— обобщенное название какого-либо криптографического алгоритмаили протокола.

WWW

•http://gacbrowser. blogspot.com/—сайт разработчикаGAC Browser.

•bit.ly/uyxZs5

—статьяотом, какреализовать алгоритмпоГОСТу 28147-89наC#.

этой статье я расскажу о том, как устроена криптографи-

Вческая подсистема .NET Framework, представленная в пространстве имен System.Security.Cryptographi, а также

отом, как реализовать свой алгоритм в стиле .NET Framework и заставить CLR использовать его в качестве криптографического алгоритма по умолчанию.

Это поможет тебе как в разработке собственных криптопровайдеров для .NET, так и во внедрении уже существующих библиотек с криптографическими алгоритмами.

SYSTEM.SECURITY.CRYPTOGRAPHI

Все, что касается криптографии, в .NET Framework находится в пространстве имен System.Security.Cryptographi, которое условно можно разделить на следующие составляющие:

•криптографическиепримитивы—наборклассов,применяемых дляреализацииалгоритмовшифрования,хеш-функцийит.д.;

•вспомогательныеклассы—отвечаютзагенерациюслучайных чисел,шифрованиенаосновепотоковоймоделиит.д.;

•сертификатыX.509ицифровыеподписиXML-документов

(XMLSignature).

Что касается криптографических примитивов, то для всех их типов имеются абстрактные классы и интерфейсы, от которых наследуются конкретные программные реализации алгоритмов (см. рисунок 1). Так, любая реализация симметричного алгоритма шифрования должна наследовать абстрактный класс SymmetricAlgorithm, алгоритм с открытым ключом —

088	ХАКЕР 01 /156/ 2012

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 159 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202421.12 Mб12151_Optimized.pdf
#
20.04.20248.27 Mб12152_Optimized.pdf
#
20.04.20248.91 Mб12153_Optimized.pdf
#
20.04.20247.83 Mб12154_Optimized.pdf
#
20.04.202414.25 Mб12155_Optimized.pdf
#
20.04.20248.09 Mб12156_Optimized.pdf
#
20.04.20248.91 Mб12157_Optimized.pdf
#
20.04.20248.76 Mб12158_Optimized.pdf
#
20.04.20248.59 Mб12159_Optimized.pdf
#
20.04.20249.25 Mб12160_Optimized.pdf
#
20.04.20248.76 Mб12161_Optimized.pdf