mboost-dp1

Microsoft Corporation

Rootkit omgår Windows’ driver-signering

- Via ThreatPost - , redigeret af Net_Srak , indsendt af OnkelDunkel

Sikkerheden under Windows 7 er rost for at være på et højt niveau, men det afholder ikke cyberkriminelle i at finde huller og udnytte dem. Et af de seneste huller er opdaget i måden, Windows 7 signerer sine drivere.

Rootkittet TDL4, der er seneste generation af de tidligere rootkits TDL1, TDL2 og TDL3, adskiller sig fra forgængerne ved at kunne omgå den stramme sikkerhed omkring signering af drivere.

For at forhindre uvedkommende drivere tjekker systemet via en proces kaldet “kernel mode code signing policy”, at en driver er tilladt. Der kigges på værdien for indstillingen “LoadIntegrityCheckPolicy”, og er værdien lav, så tillades driveren.

Det udnytter TDL4, der indlæses via MBR’en (Master Boot Record), idet den i hukommelsen sørger for, at værdien for “LoadIntegrityCheckPolicy” har den rette værdi, når der skal indlæses en inficeret fil.

Udover at kunne omgå Windows 7’s driversikkerhed, er det også meget svært at finde ud af, hvordan den virker, da den den er lavet, så den er svær at debugge.





Gå til bund
Gravatar #1 - webwarp
17. nov. 2010 13:14
Så vi skal bare upgrade til UEFI.. skal ikke skille os ad :p
Gravatar #2 - ZrednaZ
17. nov. 2010 13:20
Skulle der ikke være korrekturlæsere på newz?
Gravatar #3 - timon5022
17. nov. 2010 13:30
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :p
Gravatar #4 - mathiass
17. nov. 2010 13:36
#2: Jo, det er skrækkeligt at læse sådan noget. Jeg prøver at indsende nogle rettelser.

Umiddelbart lyder det her rootkit som noget man kun kan installere selv og kun med admin-rettigheder.
Gravatar #5 - LordMike
17. nov. 2010 13:41
#3... ITU?
Witzner? :)
Gravatar #6 - bitsmurf
17. nov. 2010 13:42
#3
det kan man bla ved at skrive en række rutiner der tjekker om softwaren (rootkitten) afvikles under en debugger og hvis dette er tilfældet crashe debuggeren eller på anden måde forhindre debuggeren til at snuse rundt i softwarens hukommelse. :)
Gravatar #7 - mathiass
17. nov. 2010 13:42
Timon5022 (3) skrev:
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :p
Variabelnavne er ikke med i binaries. Debugging af binaries fungerer ved at indsætte ting i koden og rootkittet sørger så for (aktivt) at ødelægge det som bliver indsat for at gøre det svært at reverse engineer'e dette rootkit ved at observere opførselen med en debugger.
Gravatar #8 - gensplejs
17. nov. 2010 13:57
bitsmurf (6) skrev:
#3
det kan man bla ved at skrive en række rutiner der tjekker om softwaren (rootkitten) afvikles under en debugger og hvis dette er tilfældet crashe debuggeren eller på anden måde forhindre debuggeren til at snuse rundt i softwarens hukommelse. :)

Tja... obfuskere koden med et eller andet åndsvagt tool og indsætte alt muligt lort når du attatcher debuggeren....
Lyder som en plan.
Gravatar #9 - mojo
17. nov. 2010 14:42
MS hacker.
Hacker cracker hacket.
(MS ansætter en hacker til at cracke cracket af hacket)
MS cracker cracket af hacket.
Hacker cracker cracket.
MS cracker cracket af cracket.
...
Gravatar #10 - Saxov
17. nov. 2010 14:50
Timon5022 (3) skrev:
Hvordan gør man noget svært at debugge? Ved at ændre koden til intet-sigende navne? >.< julemand1, julemand2, JUleMand? Eller hvad? :p
man fjerner console.writeline() linierne ;)
Gravatar #11 - mgX
17. nov. 2010 14:55
#3 man bruger et hav af c++ templates (går ud fra lortet er lavet i c++), gør brug af en pokkers masse makroer, og så compiler man skidtet med højeste optimization med en intel compiler... Plejer at gøre skidtet fuldstændigt uoverskueligt :)
Gravatar #12 - Daniel-Dane
17. nov. 2010 15:00
0 skrev:
Sikkerheden under Windows 7 er rost for at være på et højt niveau [...]
Heh, det har ændret sig. F.eks. har Stuxnet exploits til både XP og 7 for at opnå administratoradgang. Microsoft har udtalt, at de ikke sender nogen rettelser lige foreløbigt (ifl. en pdf fra nyheden om Stuxnet).
Gravatar #13 - timon5022
17. nov. 2010 15:03
#5
Præcis!
Da jeg læste denne nyhed, så var det sjovt nok det første jeg kom i tanke om :p
Gravatar #14 - mathiass
17. nov. 2010 15:14
#11 Når man ikke har koden som rootkittet er compiled fra så er det fuldstændig irrelevant hvordan og hvorvidt koden gør brug af makroer. Når man har kørt det igennem optimeringsfasen i GCC (eller lignende), så ligner den binære fil alligevel ikke koden på nogen som helst fornuftig måde.
Gravatar #15 - noise
17. nov. 2010 17:10
mojo (9) skrev:
MS hacker.
Hacker cracker hacket.
(MS ansætter en hacker til at cracke cracket af hacket)
MS cracker cracket af hacket.
Hacker cracker cracket.
MS cracker cracket af cracket.
...


Det er fandme humor... det var lige dagens grin for mig :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login