使用Rootkit技术的病毒木马或黑客程序,已经在今天大行其道,早已经不是什么新闻了。各种反制的措施或程序相信大家也都接触了不少。大家也都知道,卡巴7相对与卡6大大的加强了反RootKit技术。而从现在我们得到的消息,可知卡巴8的版本将继续加强反Rootkit技术。俄罗斯人是玩Rootkit的高手,也是反制Rootkit的行家。下面是前段时间的一个新Rootkit技术的新闻:
两名俄罗斯黑客EP_XOFF和MP_ART于美国时间19日上午7时45公布了他们的新型Rootkit技术, 命名为"Unreal", 目前所有的Rootkit检测工具均对其无效。
美国时间19日上午7时45分 在Windows Sysinternals论坛的Malware (恶意软件) 版块上, 两名俄罗斯黑客发布了如下帖子:"New technology of rootkits: Unreal", 其中说明了他们最新发现的Unreal Rootkit技术, 并给出了一个样本. 声称该技术可以做到无进程, 隐藏文件和驱动, 无注册表隐藏, 包括俄罗斯, 中国, 美国, 波兰等多个国家的安全组织、杀毒软件厂商的25种权威反RootKit工具全都在这个新的RootKit技术前失效.
已被验证的失效反RootKit工具有:
1. Rootkit Unhooker v3.01
2. Rootkit Revealer v1.71
3. F-Secure Blacklight
4. DarkSpy v1.05
5. DarkSpy v1.05fixedbeta2
6. IceSword v1.20
7. GMER v1.012
8. Helios v1.1a
9. SVV v2.3
10. McAfee Rootkit Detective
11. Sophos AntiRootkit
12. TrendMicro RootkitBuster
13. AVG AntiRootkit
14. AVZ v4.23 ARK Module
15. BitDefender Rootkit Uncover
16. Panda AntiRootkit
17. Panda Tycan
18. modGreeper v0.3
19. flister
20. UnHackMe
21. SEEM v4.x
22. SafetyCheck v1.5.x
23. Avira AntiRootkit
24. HiddenFinder v1.301
25. RkDetector v0.6
其中包括趋势、麦克菲, 熊猫等著名杀毒厂商的反Rootkit工具, 以及国内知名的反rootkit工具Icesword(冰刃),DarkSpy,Rootkit Unhooker,Gmer等
俄罗斯黑客称他们都是 "no best antirootkits"
样本中的Unreal.exe虽然只是一个演示demo, 没有任何危害系统的部分 (只是不断地输出调试信息以证明自己的存在)
但是由于两名俄罗斯黑客同意向有需要的人提供样本的源代码, 因此该技术很容易被恶意软件的制作者利用.
两名俄罗斯黑客称, 虽然该技术理论上可以被检测和清除, 但实际上存在较大的困难. 该技术一旦被恶意利用, 可能很长一段时间内反病毒及反Rootkit厂商或作者都无法做出回击.(目前所有反Rootkit工具无法做到,即使直接编辑磁盘的WINHEX也无法检查到该文件)
中国RootKit研究者MJ0011在16时53分公布了对这种恶意软件的分析:
1.该Rootkit使用了ADS 即NTFS文件流技术对文件进行隐藏, 使很多反Rootkit工具失效
2.该Rootkit同时使用FileSystem Filter技术同ADS技术结合, 互相保护, 导致即使具有ADS检测功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex也无效
3.该Rootkit使用了新型的DKOM, 即Direct Kernel Object Modify (内核模块直接修改) 技术, 不通过任何内核钩子, 对自己的Driver Object进行隐藏, 这种隐藏技术极难被检测出来, 此次放出的新型Rootkit使一些本来能检测DKOM隐藏的反RootKit工具比如DarkSpy,Rootkit Unhooker也都失效了, 可见使用了更高超的DKOM技术
由于此种Rootkit仍需依赖文件, 因此MJ0011提出直接将相关的FileSystem Filter清除或是绕过Filter, 直接读取ADS, 就可以检测出被隐藏的文件, 并清除之, 这样, 重启动后, 该Rootkit将无法继续生效. 据说在其最新的DarkDetector中, 就使用了相关的方法, 以使文件可以被检测出来并进行清除.
此外。前段时间关于卡巴的一个漏洞新闻,相信大家有了解:
6月4日,国外著名Rootkit研究站点rootkit.com上发表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者为EP_XOFF/UG North,是著名的反Rootkit工具Rootkit Unhooker,Process walker的开发者。文章中作者声称,卡巴斯基反病毒软件从6.0到目前最新的7.0版中始终存在这一个严重的漏洞 该漏洞最早由MS-Rem发现,安装了卡巴斯基反病毒软件后,任何具有最低用户权限的用户也可以使系统蓝屏崩溃。该漏洞主要存在与卡巴斯基反病毒软件用于挂钩 SSDT NtOpenProcess的代码中 该段代码用于阻止其他程序打开卡巴斯基的自身进程,以达到自我保护的目的。在该函数中,卡巴斯基反病毒软件的驱动程序没有对用户传入的参数做严格检查,导致只要在调用NtOpenProcess时传入错误的参数,即可使系统访问错误的内核地址,从而导致系统蓝屏崩溃。
作者声称他们早在数年前就发现了该漏洞并提交给卡巴斯基,但是被卡巴斯基忽略了 另外,卡巴斯基在新版中加入了异常处理机制来试图解决这一问题,作者称这是无法完全解决问题的,显然卡巴斯基的开发人员根本不知道使用一个非常简单的函数:MMIsAddressValid就可以解决这个问题。另外作者称,同样的漏洞还存在与卡巴斯基挂钩的多个函数中,包括
NtCreateKey NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSymbolicLinkObject
NtCreateThread
NtDeleteValueKey
NtOpenKey
NtLoadKey2
NtOpenSection
NtQueryValueKey 所有这些函数都是有问题的
漏洞包括:
Patching system services at runtime
Improper Validation of User-mode Pointers
Hiding Threads from User-mode
Improper Validation of Kernel Object Types
Patching non-exported, non-system-service kernel functions
Allowing User-mode Code to Access Kernel Memory 等等。
看来,病毒的发展趋势,在Rootkit技术方面,恶意软件作者将会更多的利用新的技术和漏洞来进行攻击,而反Rootkit技术将是众多安全厂商需要不断提升加强的
地方。双方将有翻激烈的争斗! |
[复制链接]
发表于 2007-9-5 00:03:56
发表于 2007-9-5 14:36:11
