斗智。Your Computer is Now Stoned (...Again!)读一半后感

fanqi1234

昨天在Symantec区看到有人讨论“鬼影”，今天有时间正好上网搜了一下。
看到某些“MBR受到感染后重装系统也无法清除”的言论后，怎么想怎么觉着不对劲，于是去google搜了一下

1. site:symantec.com rootkit

复制代码

正好看到一篇由Symantec研究员Elia Florio 和 F-Secure研究员Kimmo Kasslin 于2008年10月联名发表的文章
《Your Computer is Now Stoned (...Again!): The Rise of MBR Rootkits》


文章中提到的很多技术细节我看不懂，但看了部分内容后，我也算是感想良多。


首先，病毒库、查杀什么的，真的都是浮云。
文中提到利用MBR Rootkit的木马—— “Mebroot”，并不是被“普通用户上报样本，厂商俩小时搞定更新”这种流程发现的。
在2008年1月初，GMER小组截获了第一个样本。之后在一次司法部门与安全研究员们的联合行动中，抓到了一台骇客用的跳板主机——上面存储了木马盗来的50多万个信用卡、银帐号信息。从该木马本身携带的编译器遗留的信息中，研究人员认为其至少在2007年11月就已经进入了实测。
此木马明显是由非常专业的骇客编写。用来实际散布的版本不仅用尽各种隐藏手段，而且细节处理几近完美——绝无时下许多“流行病毒”那些爱炫耀、编写不良导致死机以至被当天发现的窘况。静静地来，$$悄悄地走。

其次，骇客与安全研究员的斗争真是精彩。
在截获样本后，辛苦的破解工作就开始了。此马有很阴险的招数——MBR上的只是极小的启动代码，其本体隐藏在硬盘保留区中（此区是硬盘上的“备用”存储空间。设计上是用来给少量坏道做替补），绝不在操作系统中以文件形式出现。它自己用过且不再需要的内存空间都被小心地清零，使得发现与追踪其动作变得极端困难。（技术细节没太看懂）

到了2008年3月，众多安全软件厂商在给最终用户更新后，已经能够检测此rootkit的行为。然而短短几天之后，厂商们就又发现这马也更新了——能够躲避杀软刚刚使用的全部3种检测方式。于是又是一轮角力……

其网络传输方面更是完全绕过了当时市面上的全部个人防火墙。盗取的信息传输时都加密，绝不给内容监控防火墙一丝可乘之机。而且它不仅内置了一个常用的目的地址，还预留了一套网址生成规则——通过获取系统时间，或者google网页的时间，配上几个特定的字母，再重新计算组合，就可得到备用目的地址。像之前那样查封几个主机，根本对犯罪组织没多大影响——一旦服务器被封，手头拿日历+算号器一算，用偷来的信用卡注册个新域名，就又可以安心收取木马偷来的新卡号了。

最大的威胁来自跨国犯罪集团。
那些搞搞小破坏（包括跑虫、上香、损坏BIOS、没事格格硬盘、搞个波把全球网络弄瘫几天）的所谓“病毒”实在是太温柔（或者说，250）了。被命了名的、到处“爆发”的，其实都没多大真正威胁。
这篇文章中提到的这个木马，仅仅是在捉到的样本中显示出它的早期试验版编译于最初发现的两个月前。谁能说，在此前三个月、五个月、一年，它是不是就已经在网上到处偷窥了呢？又有多少涉及商业机密的计算机被它监控了呢？这种神不知鬼不觉的东西才最恐怖。


内核安全不再是军事级的要求。
以前总以为微软发布每个新系统之前鼓吹的“更安全”是真正的吹牛。不过概略地看了一些Symantec的paper之后，我认识到，内核安全的需求已经不是科幻或YY小说中的情节了。如今这些专业的匪徒们，正以不亚于军队的严谨作风，来欺负手无寸铁的普通网民。
虽然微软树大招风，被攻的概率最高，但它的确在努力保护内核安全。近来的windows（vista、7）都有复杂的反rootkit自检能力（相对地，也就有了更强的数字版权保护能力…在线付费看的电影没那么容易被复制了…软件激活也更强悍了…）

虚拟机技术也可能被骇客使用。
《Your Computer is Now Stoned (...Again!): The Rise of MBR Rootkits》一文的结尾处有提到，未来的木马甚至有可能使用虚拟机技术，完整地包裹整个系统，使系统内的任何探测完全无效。
要知道，这篇文章发表于2008年。现在却已经是2010年3月末了……
对付这种东西，只能从最初入侵上进行防护。一旦被入侵，软件防护根本无用。
以后恐怕还是需要CPU、内存、硬盘、网卡等硬件在设计上的配合，才能确保安全。



Symantec
铁门家的软件好坏不说，写文章（恐吓信？）是够水平的

在这给自己留个链接，以免以后忘掉怎么查找：
site:http://www.symantec.com/avcenter/reference/ filetype:pdf




……待续……(吗？）

hello8888

什么意思啊....楼主最好弄个翻译....

夜空守望者

早在2008年，臭名昭著的MBR rootkit的（又名Mebroot或Sinowal）被证明是对恶意代码见过的最复杂的部分之一。 显然，由专业开发人员编写的，该Mebroot的rootkit隐形技术推向一个极端的水平，以支持更大的犯罪计划。

事实上，Mebroot可被视为一个真正的é犯罪平台，结合自己的作业系统的核心，以提供支持，以实施旨在窃取获得银行帐户等敏感信息模块，更高层次。 这成了一个投机2008年11月，其实当执法人员和一组研究人员能够获得远程服务器的情况下Mebroot团伙，它很快就发现，服务器around 500,000 contained被盗的信用卡和银行帐户量使用。

我们已经公布了一些 有趣的文章Mebroot 过去，但今天我很高兴地发布2008年10月链接到完整版本的Mebroot回文件，在提交会议的病毒公告。 本文是一个- Secure的好榜样和F之间的联合努力，赛门铁克，并书面安全，埃利亚弗洛里奥赛门铁克F和基莫Kasslin的。

现在，您可以从下面的链接下载PDF格式的文件：


Google翻译的简介

iuan

ghost不行,但你用微软安装盘是可以的,会重写mbr的

jason_jiang

很值得一看
铁壳写paper的水平比BD之流强多了

大气谦和

这才是大厂商的风范。

isprin

还好对vista无效

先回复，再去看看文章。

jpzy

第一，文件即使存在于硬盘保留区中，如果要运行，肯定要有动作啊。从进入被感染系统，到完成这一切的感染，肯定有一系列动作，起码要有磁盘底层访问。
第二，文件传输加密使得防火墙的内容检查失去作用，但是外联的动作肯定是可以侦测。假如是个非智能化的手动防火墙，肯定会有外联的提示框。当然木马也可以注入可信进程联网，这个一般的防火墙已经无能为力了，不过对于jetico这样可以细致定义每个进程每个连接的墙，如果做得防护足够严密，也还是有可能拦截的。

不过以上两点除了能够给予我们自我安慰以外，也证明了install and forget的安全软件是多么的脆弱。除非使用HIPS并且使用严密规则，并且这个HIPS还不能有漏洞，才有可能防范的住（HIPS一样可能被绕过，取决于HIPS自身的强度了）。而结论则非常悲观，普通用户恐怕只能装一个始终跟在病毒后面跑的安软，然后祈祷自己运气没那么差撞上这样的牛毒。。

luoyou1988117

看来用户是想求安全而不得啊，病毒厂商始终跟不上病毒变化的步伐，或许从操作系统内核这个源头上来解决安全问题不失为一个办法