Статья Руткиты и Буткиты: Реверсинг современного вредоносного ПО и угроз следующего поколения. Введение

roduch

Заблокирован

roduch

Заблокирован
Заблокирован
126 3
Мы пришли к идее этой книги, когда, опубликовав серию статей и постов в блоге о руткитах и буткитах, мы поняли, что теме не уделяется столько внимания, сколько она заслуживает. Мы чувствовали, что тема была на самом деле более обширной, и нам была нужна такая книга, в которой мы бы попытались разобраться во всем этом - та, которая обобщала бы смесь изящных трюков, архитектурных наблюдений за операционной системы и шаблонов проектирования, используемых атакующим и защитником. Мы честно искали такую книгу и не нашли ни одной, поэтому мы решили написать такую, которую сами бы хотели прочитать.
Нам потребовалось четыре с половиной года, больше, чем мы планировали, и, к сожалению, намного больше, чем мы могли рассчитывать, чтобы потенциальные читатели и сторонники раннего доступа остались с нами. Если вы один из первых сторонников раннего доступа и все еще читаете эту книгу, мы смирились с вашей неизменной преданностью к нам!

За это время, мы наблюдали совместную эволюцию нападения и защиты. В частности, мы увидели, что защита Microsoft Windows зашла в тупик в нескольких основных ветках развития дизайна руткитов и буткитов. Вы найдете эту историю на страницах этой книги.

Мы также увидели появление новых классов вредоносных программ, предназначенных для BIOS и микропрограммного обеспечения чипсета, за пределами досягаемости современного защитного программного обеспечения Windows. Мы будем объяснять, как развивалась эта коэволюция и куда она пойдет дальше.

Другая тема этой книги - разработка методов реверс-инжиниринга, ориентированных на ранние этапы процесса загрузки ОС. Традиционно, чем раньше в длинной цепочке процесса загрузки ПК появлялся фрагмент кода, тем менее заметным он является. Этот недостаток наблюдения уже давно путают с безопасностью. Тем не менее, когда мы углубляемся в экспертизу буткитов и имплантатов для BIOS, которые разрушают низкоуровневые технологии операционной системы, такие как Secure Boot, мы видим, что безопасность основанная на неизвестности обходится здесь не лучше, чем в других областях компьютерной науки. Спустя какое-то время (которое становится все короче в масштабе времени Интернета), подход «безопасность основанная на неизвестности» становится более выгодным для злоумышленников, чем для защитников. Эта идея недостаточно освещена в других книгах на эту тему, поэтому мы постараемся заполнить этот пробел.

Зачем читать эту книгу?

Мы пишем для очень широкого круга исследователей информационной безопасности, заинтересованных в том, как продвинутые постоянные вредоносные угрозы обходят безопасность на уровне ОС. Мы фокусируемся на том, как эти сложные угрозы можно наблюдать, реверсить и эффективно анализировать.

Каждая часть книги отражает новый этап эволюционного развития современных угроз, начиная с их появления в качестве узких POC, до их последующего распространения среди субъектов угроз и, наконец, до их принятия в скрытый арсенал целевых атак.

Однако, мы стремимся охватить более широкую аудиторию, чем просто аналитики вредоносных программ. В частности, мы надеемся, что разработчики встраиваемых систем и специалисты по облачной безопасности найдут эту книгу одинаково полезной, учитывая, что угроза руткитов и других имплантатов в их соответствующих экосистемах значительно возрастает.

Что находится в этой книге?

В первой части мы начнем с изучения руткитов, где мы познакомимся с внутренними компонентами ядра Windows, которые исторически служили площадкой для руткитов. Затем во второй части, мы переключаем внимание на процесс загрузки ОС и буткиты, разработанные после того, как Windows начала укреплять режим ядра. Мы анализируем этапы процесса загрузки с точки зрения злоумышленника, уделяя особое внимание новым схемам прошивки UEFI и их уязвимостям. Наконец, в третьей части, мы сосредоточимся на экспертизе как классических атак руткитов ОС, так и новых атак буткитов на BIOS и программное обеспечение.

Часть 1: Руткиты

Эта часть посвящена классическим руткитам на уровне ОС в период их расцвета.

Эти исторические примеры руткитов дают ценную информацию о том, как злоумышленники видят внутреннюю часть операционной системы и находят способы надежного создания своих имплантатов в них, используя собственную структуру ОС.

Глава 1. Что находится в Рутките: Разбор TDL3

Мы начнем исследовать, как работают руткиты, рассказывая историю одного из самых интересных руткитов своего времени, основываясь на наших собственных столкновений с его разнообразными версиями и нашим анализе этих угроз.

Глава 2: Руткит Festi: Самый продвинутый спам и DDoS-бот

Здесь мы анализируем замечательный руткит Festi, который использовал самые продвинутые стелс техники своего времени для отправки спама и DDoS-атак.

Эти методы включали в себя использование своего собственного TCP/IP стека уровня ядра

Глава 3: Наблюдение за заражением руткитом

В этой главе мы углубимся в ядро операционной системы, выделяя приемы, используемые злоумышленниками для борьбы за контроль над более глубокими уровнями ядра, такими как перехват системных событий и вызовов.

Часть 2: Буткиты

Вторая часть переводит акцент на эволюцию буткитов, условия, которые стимулировали эту эволюцию, и методы реверс инжиниринга этих угроз.

Мы увидим, как разрабатываются буткиты для внедрения их в BIOS и использования уязвимостей прошивки UEFI.

Глава 4: Эволюция буткита

В этой главе рассказывается о (ко) эволюционных силах, которые породили буткиты. Мы рассмотрим некоторые из первых обнаруженных буткитов, таких как печально известный Elk Cloner.

Глава 5: Основы процесса загрузки операционной системы

Здесь мы расскажем о внутренних процессах загрузки Windows и о том, как они менялись с течением времени. Мы углубимся в детали, таких вещей как основная загрузочная запись, таблицы разделов, конфигурационных данный и модуля bootmgr.

Глава 6: Безопасность процесса загрузки

В этой главе вы познакомитесь с технологиями защиты процесса загрузки Windows, такими как модули защиты от вредоносных программ раннего запуска (ELAM), политика подписи кода в режиме ядра и ее уязвимости, а также новые средства обеспечения безопасности на основе виртуализации.

Глава 7: Методы заражения буткитами

В этой главе, мы рассмотрим методы заражения загрузочных секторов и рассмотрим, как эти методы должны были развиваться с течением времени.

В качестве примеров мы будем использовать некоторые знакомые буткиты: TDL4, Gapz и Rovnix.

Глава 8: Статический анализ буткита с использованием IDA Pro

В этой главе рассматриваются методы и инструменты для статического анализа буткитов. В качестве примера мы проведем анализ буткита TDL4 и предоставим материалы, которые вы можете использовать в своем собственном анализе, включая образ диска для загрузки.

Глава 9: Динамический анализ буткита: эмуляция и виртуализация

Здесь мы переключаем внимание на методы динамического анализа, используя эмулятор Bochs и VMware встроенный отладчик GDB. Опять же, мы проведем вас через этапы динамического анализа буткитов MBR и VBR.

Глава 10: Эволюция методов заражения MBR и VBR: Olmasco

В этой главе прослеживается эволюция стелс-технологий, используемых для переноса буткитов на более низкие уровни процесса загрузки. Мы будем использовать Olmasco в качестве примера, рассматривая методы заражения и стойкости, функциональности вредоносных программ и внедрение полезной нагрузки.

Глава 11: IPL буткиты : Rovnix и Carberp

Здесь мы рассмотрим два самых сложных буткита, Rovnix и Carberp, нацеленных на электронный банкинг. Это были первые буткиты, предназначенные для IPL и уклоняющиеся от современного оборонного программного обеспечения. Мы будем использовать VMware и IDA Pro для их анализа.

Глава 12: Gapz: Продвинутая инфекция VBR

Мы проясняем вершину стелс-буткита: таинственный руткит Gapz, который использовал самые передовые методы своего времени нацеленные на VBR.

Глава 13: Восстание MBR Ransomware

В этой главе, мы рассмотрим, как буткиты в угрозах вымогателей.

Глава 14: Загрузка UEFI против процесса загрузки MBR/VBR

Здесь мы исследуем дизайн процесса загрузки UEFI BIOS - важную информацию для обнаружения новейшей эволюции вредоносных программ.

Глава 15: Современные UEFI буткиты

Эта глава посвящена нашему первоначальному исследованию различных имплантатов BIOS, как POC, так и распространенных в дикой природе. Мы обсудим методы заражения и сохранения в UEFI BIOS и рассмотрим вредоносное ПО для UEFI, обнаруженное в дикой природе, например Computrace.

Глава 16: Уязвимости прошивки UEFI

Здесь мы подробно рассмотрим различные классы современных уязвимостей BIOS, которые позволяют внедрять имплантаты BIOS. Это глубокое исследование уязвимостей и эксплоитов UEFI, включая примеры.

Часть 3: Методы защиты

Последняя часть книги посвящена анализу буткитов, руткитов и других угроз BIOS.

Глава 17: Как работает UEFI Secure Boot

В этой главе подробно рассматривается работа технологии Secure Boot, ее развитие, уязвимости и эффективность.

Глава 18. Подходы к анализу скрытых файловых систем

В этой главе представлен обзор скрытых файловых систем, используемых вредоносными программами, и методов их обнаружения. Мы проанализируем скрытый образ файловой системы и представим разработанный нами инструмент: HiddenFsReader.

Глава 19: BIOS/UEFI Forensics: подходы к сбору и анализу прошивки

В этой последней главе обсуждаются подходы к обнаружению самых современных угроз. Мы посмотрим на аппаратные, программно-аппаратные и программные подходы, используя различные инструменты с открытым исходным кодом, такие как UEFITool и Chipsec.

Как читать эту книгу

Все образцы угроз, обсуждаемых в книге, а также другие вспомогательные материалы, можно найти на веб-сайте книги, .

Этот сайт также указывает на инструменты, используемые в анализе буткитов, такие как исходный код плагинов IDA Pro, которые мы использовали в нашем оригинальном исследовании.

 
Сверху